2015年，網(wǎng)易大面積服務(wù)器癱瘓，支付寶光纜事故，攜程網(wǎng)出現(xiàn)業(yè)務(wù)故障，藝龍網(wǎng)遭受DDoS攻擊等事件使網(wǎng)絡(luò)安全受到前所未有的關(guān)注。

云計算的落地和移動設(shè)備的普及向信息安全提出了新的挑戰(zhàn)，產(chǎn)生了在新的IT環(huán)境下的新問題，例如公用云數(shù)據(jù)安全、專用云防御等。360云事業(yè)部產(chǎn)品總監(jiān)張曉兵表示，隨著公有云的發(fā)展，安全防護的重要性更加明顯，一旦云平臺遭受攻擊，將影響更多企業(yè)。

根據(jù)防火墻操作管理軟件公司AlgoSec的調(diào)查數(shù)據(jù)顯示，受訪者中，約有66%的企業(yè)稱其目前正在部署或計劃未來1-3年內(nèi)在云平臺上部署業(yè)務(wù)應(yīng)用程序。但是，這些企業(yè)對云安全的了解卻存在很多不足，其中超過30%的企業(yè)計劃未來部署云業(yè)務(wù)應(yīng)用，但卻不清楚該如何管理其云環(huán)境的網(wǎng)絡(luò)安全策略。

正視云安全差異

記者了解到，許多傳統(tǒng)用戶對于云安全存在一些錯誤的認知。例如，希望依靠傳統(tǒng)安全工具或靠物理隔離的方法來進行隔離防護，希望能從及時得到漏洞通知信息來服務(wù)，認為進行運維外包就能夠確保工程系統(tǒng)的安全，或指望云提供商具有集中的管理系統(tǒng)等。

中國聯(lián)通云計算公司專家表示，對于云環(huán)境，傳統(tǒng)的安全問題依然存在，同時虛擬化管理系統(tǒng)、云平臺管理系統(tǒng)等云平臺相關(guān)系統(tǒng)的出現(xiàn)，更加導致在這些平臺上的安全手段目前還處在非常初級階段。

IDC分析師王培在接受《通信產(chǎn)業(yè)報》(網(wǎng))記者采訪時表示，目前看來，中小企業(yè)或者非關(guān)鍵性業(yè)務(wù)傾向采用安全即服務(wù)的模式，而大企業(yè)，特別是金融、電信等行業(yè)的客戶，他們更傾向于自建安全防護體系來保護云業(yè)

技術(shù)繼承與創(chuàng)新

云安全可以更智能務(wù)的安全。

對于不同模式的云服務(wù)平臺，面臨的安全問題有所不同。對于SaaS模式，數(shù)據(jù)安全、應(yīng)用安全與身份認證是主要問題;對于PaaS模式，數(shù)據(jù)與計算的可用性、數(shù)據(jù)安全與災(zāi)難恢復等需求更加突出。IaaS模式是云安全面臨威脅最嚴峻的，其平臺建設(shè)過程涉及到的數(shù)據(jù)中心建設(shè)、物理安全、網(wǎng)絡(luò)安全、傳輸安全與業(yè)務(wù)系統(tǒng)安全等多方面的防護需求使得IaaS云安全防護需要引入多個層面的防護手段，并需要更加嚴謹?shù)目蚣芘c標準的保障。

事實上，云安全的標準和框架已經(jīng)逐漸形成，北京中油瑞飛信息技術(shù)有限公司信息安全專家黃晟在“云計算安全論壇”發(fā)言中介紹，CSA和NIST都已經(jīng)提出了較為完備的云安全框架，但是如何在實際的云計算環(huán)境中全面落實，一直是信息安全從業(yè)人員面對的挑戰(zhàn)。

繼承傳統(tǒng)防護手段

云計算平臺本質(zhì)上來說就是一個復雜的信息系統(tǒng)，特別是虛擬化管理與云管理系統(tǒng)采用通用軟件和現(xiàn)有技術(shù)開發(fā)，最終也部署在傳統(tǒng)硬件平臺之上，依然受到傳統(tǒng)軟硬件技術(shù)生態(tài)圈的影響。

因此，黃晟表示，傳統(tǒng)攻擊手段依然具有威脅性，還是需要依靠傳統(tǒng)防護手段作為私有云安全防護的基礎(chǔ)。

雖然在云計算環(huán)境中，傳統(tǒng)的防火墻不再出現(xiàn)，但是其防護功能仍需實現(xiàn)，在云服務(wù)中必須要打造傳統(tǒng)用戶所需要的安全性功能。

例如針對網(wǎng)站最常見的入侵行為，從部署最基本的防DDoS攻擊、端口安全檢測、Web漏洞檢測、木馬檢測等主要功能，到利用漏洞管理、質(zhì)量保證、軟件的安全性審查、審計和外部審計等工具進行安全威脅檢查，以及建立安全事件管理等平臺輔助制定安全策略。其中的技術(shù)手段與傳統(tǒng)安全防護沒有本質(zhì)上的區(qū)別。

針對云架構(gòu)升級

在滿足傳統(tǒng)防護需求的基礎(chǔ)上，針對虛擬化和云架構(gòu)帶來的特殊問題，防護技術(shù)需要進一步擴展和升級。阿里云安全部安全專家沈錫鏞表示，具備低成本、高精度、大規(guī)模的安全防御架構(gòu)，具備完善的數(shù)據(jù)安全保護能力的云平臺才能滿足用戶的需求。

除了在云平臺建設(shè)的過程中實施基礎(chǔ)安全防護措施，綜合采用現(xiàn)有成熟的安全防護手段，還要面向主流的云技術(shù)體系，有效應(yīng)對面向云計算平臺底層的主要云安全威脅，才能為云平臺的用戶系統(tǒng)實現(xiàn)不低于傳統(tǒng)物理機模式的安全保障。

那么，云計算服務(wù)安全的關(guān)鍵點在哪些方面?來自西交利物浦大學的信息安全專家接受采訪時介紹，從主要云技術(shù)體系的層級來看，云服務(wù)存在五大安全關(guān)鍵點。在數(shù)據(jù)中心層面，關(guān)鍵在于備份與容災(zāi)，以及網(wǎng)絡(luò)層面的防黑客入侵;在虛擬化平臺層面，關(guān)鍵在于云平臺的內(nèi)部安全監(jiān)控、管理行為審計、阻止虛擬機用戶“外泄”與上浮;在IaaS層面，虛擬機間的“溢出”監(jiān)控與阻斷是主要問題;在PaaS層面，要關(guān)注虛擬機間的安全監(jiān)控與用戶行為審計，以及病毒過濾;在用戶流量控制方面，則要重視雙向的身份鑒別、傳輸加密等問題。

分層實施防護措施

面對如此龐大的安全體系和需求，必須在設(shè)計和建設(shè)時注重調(diào)整云網(wǎng)絡(luò)拓撲與部署架構(gòu)，依托網(wǎng)絡(luò)縱深，設(shè)計多道防線，構(gòu)建一個由多個核心組件組成的多層次安全策略來支持海量云服務(wù)和產(chǎn)品。

專家指出，可以從邊界防護、基礎(chǔ)防護、增強防護以及云化防護四個方面，分階段提升云平臺的安全防護能力。

邊界防護是私有云安全防護的底線，與基礎(chǔ)防護能力一起都應(yīng)和私有云建設(shè)過程中同步開展，需要建立多層防御，以幫助保護網(wǎng)絡(luò)邊界面臨的外部攻擊。以阿里云為例，首先，嚴格控制網(wǎng)絡(luò)流量和邊界，使用行業(yè)標準的防火墻和ACL技術(shù)對網(wǎng)絡(luò)進行強制隔離，輔以網(wǎng)絡(luò)防火墻和ACL策略的管理，包括變更管理、同行業(yè)審計和自動測試等。其次，使用個人授權(quán)限制設(shè)備對網(wǎng)絡(luò)的訪問，通過自定義的前端服務(wù)器定向所有外部流量的路由，幫助檢測和禁止惡意的請求，并建立內(nèi)部流量匯聚點,幫助更好的監(jiān)控。多個組件構(gòu)成其完整的網(wǎng)絡(luò)安全策略。

隨著面向虛擬化和云計算的安全技術(shù)逐漸成熟，增強完善云安全服務(wù)，并面向SaaS等更復雜的云計算模式，引入云安全訪問代理等新技術(shù)，結(jié)合業(yè)務(wù)實現(xiàn)防護。對此，黃晟給出了多方面具體建議，例如注重操作系統(tǒng)加固技術(shù)在云底層平臺的應(yīng)用，特別是通過安全手段固化底層行為;構(gòu)建“安全數(shù)據(jù)平面”，收集多樣化的安全信息數(shù)據(jù)，結(jié)合大數(shù)據(jù)流式分析技術(shù)，對云平臺進行全面地持續(xù)監(jiān)控;或可基于SDN技術(shù)構(gòu)建“流網(wǎng)絡(luò)平臺”，提升“東西向”的隔離顆粒度與強度, 以及加強云內(nèi)流量監(jiān)控;面向業(yè)務(wù)操作與業(yè)務(wù)數(shù)據(jù)建立云安全代理機制等。

縱深安全運維

在虛擬化環(huán)境中，越來越多的開源軟件或開源組件得到應(yīng)用，云技術(shù)體系的生態(tài)安全也應(yīng)納入考慮之中。企業(yè)不僅需要考慮如何使用云服務(wù)，還必須考慮并落實云建設(shè)和運維牽涉到的所有細節(jié)。特別是考慮到開源軟件漏洞生命周期特點，需要有針對性地實現(xiàn)安全運維覆蓋。

在運維過程中，云監(jiān)控與云審計是有效手段。通過建立專門的管理團隊，制定預(yù)警應(yīng)急、分析評估、安全審計、測試認證、使用監(jiān)控等手段，結(jié)合使用情況及安全情報信息，及早發(fā)布預(yù)警，整體評估架構(gòu)的安全性和可控性，跟蹤了解云平臺的安全動態(tài)，進一步保障防護的及時性和全面性。