【51CTO.com 綜合消息】為什么要說這樣的話？云安全聯(lián)盟中國(guó)區(qū)高峰論壇上一位嘉賓說，“水壺?zé)龅乃^對(duì)不是云”。那么云安全的問題，也就需要整個(gè)信息安全產(chǎn)業(yè)，就云安全達(dá)成共識(shí)。云是互聯(lián)網(wǎng)和大規(guī)模數(shù)據(jù)中心不斷發(fā)展的必然產(chǎn)物。在未來10年里，云必將成為影響整個(gè)IT行業(yè)的關(guān)鍵性技術(shù)，也會(huì)對(duì)現(xiàn)有的信息技術(shù)體系架構(gòu)帶來了深遠(yuǎn)的影響，云安全也隨之成為一個(gè)重要問題。

云計(jì)算是什么？

提到云安全，不能不說云計(jì)算。早在2000年的時(shí)候，國(guó)際上已經(jīng)有人提出網(wǎng)格計(jì)算與分布式計(jì)算的概念，隨著信息產(chǎn)業(yè)及市場(chǎng)的日益成熟，這個(gè)概念經(jīng)過商業(yè)化運(yùn)作，有了初步的框架，進(jìn)而形成了云計(jì)算的雛形。綠盟科技副總裁吳云坤表示，云計(jì)算并不是新東西，它所改變的只是運(yùn)營(yíng)方式、用戶交互方式以及營(yíng)銷方式等，可以說這是一種新的商業(yè)模式。正是這樣的轉(zhuǎn)變，讓各個(gè)領(lǐng)域、各個(gè)行業(yè)的廠商及企業(yè)，會(huì)根據(jù)業(yè)務(wù)及市場(chǎng)的特性，就云計(jì)算的定義提出各自的觀點(diǎn)。

Frost & Sullivan市場(chǎng)研究機(jī)構(gòu)提出，云計(jì)算是一種靈活的、可擴(kuò)展的共享環(huán)境，第三方供應(yīng)商利用虛擬化技術(shù)，基于按需提供的平臺(tái)，通過互聯(lián)網(wǎng)向客戶提供及分配計(jì)算資源。國(guó)際云安全聯(lián)盟，在征詢國(guó)際業(yè)界廣泛的意見和實(shí)踐經(jīng)驗(yàn)后，指出云計(jì)算應(yīng)該包含如下方面：

◆按需供應(yīng)，必須是密切結(jié)合業(yè)務(wù)需求，按照需求提供資源及服務(wù)

◆彈性，隨業(yè)務(wù)拓展可以靈活的調(diào)整及拓展架構(gòu)

◆多層租用，根據(jù)不同業(yè)務(wù)，不同受眾，可以提供不同資源、不同形式的租用服務(wù)

◆云包含如下特征模塊： 

基礎(chǔ)架構(gòu)即服務(wù)Infrastructure as a Service (IaaS)，包含基本的IT架構(gòu)，比如操作系統(tǒng)，比如存儲(chǔ) 

平臺(tái)即服務(wù)Platform as a Service (PaaS)，包含IaaS以及快速應(yīng)用設(shè)備 

軟件即服務(wù)Software as a Service (SaaS)，包含所有的應(yīng)用程序 

共有云，私有云，社區(qū)以及混合云部署

下面這張圖，對(duì)云給出了一個(gè)可視化的呈現(xiàn)，說明了云計(jì)算的服務(wù)交付模式，以及如何部署云。  

圖1 云計(jì)算架構(gòu)

云安全產(chǎn)業(yè)

云計(jì)算所帶來的深遠(yuǎn)影響，讓綠盟科技以及安全業(yè)界的先行者們清晰的認(rèn)識(shí)到，云計(jì)算所面臨的挑戰(zhàn)。IDC市場(chǎng)調(diào)研機(jī)構(gòu)數(shù)據(jù)顯示，云計(jì)算服務(wù)將在2013年達(dá)到整體IT消費(fèi)的10%，年收益高達(dá)442億美元，5年內(nèi)年平均增長(zhǎng)是26%，這是傳統(tǒng)IT行業(yè)增長(zhǎng)速度的6倍。而Frost & Sullivan市場(chǎng)研究機(jī)構(gòu)，在2009年年末，對(duì)亞太區(qū)6個(gè)市場(chǎng)，300個(gè)大型企業(yè)，500人以上的大型企業(yè)他們的IT決策人做了一項(xiàng)云計(jì)算的調(diào)查。調(diào)查數(shù)據(jù)顯示，55.3%的人擔(dān)憂云安全問題，尤其是數(shù)據(jù)安全性。毫無疑問，云計(jì)算的蓬勃發(fā)展，已經(jīng)讓云安全已經(jīng)上升到產(chǎn)業(yè)的高度。

云安全產(chǎn)業(yè)鏈條，包括了云安全環(huán)境，云安全設(shè)計(jì)，云安全部署，云安全交付，云安全管理，再到云安全咨詢，這是一個(gè)閉環(huán)。IDC 報(bào)告指出，云安全性包含至少兩個(gè)層次，一是制約用戶接受云計(jì)算的信用環(huán)境問題，這是云計(jì)算得以廣泛應(yīng)用的基礎(chǔ),也是推廣門檻，然后才是云計(jì)算的應(yīng)用安全。而其中良好的信用環(huán)境是技術(shù)層面的云計(jì)算安全之基礎(chǔ)，也就是說，只有用戶認(rèn)可并采用云服務(wù)，才談得上的云安全技術(shù)問題。

那么就云計(jì)算的信用環(huán)境來說，一方面是云計(jì)算提供商方面要樹立自身的信譽(yù)，構(gòu)造可信的云；另一方面是云安全服務(wù)商方面，要對(duì)互聯(lián)網(wǎng)資源建立安全信譽(yù)評(píng)估系統(tǒng)，以對(duì)抗云攻擊的“地下產(chǎn)業(yè)鏈”。這方面，Google和StopBadware走在了前面，隨后國(guó)內(nèi)安全業(yè)界的廠商也認(rèn)識(shí)到這一點(diǎn)，紛紛采取了相應(yīng)的措施。2009年，綠盟科技發(fā)布互聯(lián)網(wǎng)信譽(yù)服務(wù)白皮書，并提供信譽(yù)評(píng)估服務(wù)。根據(jù)多年的安全研究積累，綠盟科技對(duì)互聯(lián)網(wǎng)相關(guān)資源進(jìn)行威脅分析和信譽(yù)評(píng)級(jí)，累積IP地址、域名和URL等不同資源的內(nèi)容和行為記錄。同時(shí)，匯集了來自于授權(quán)客戶和第三方合作伙伴的威脅反饋、自身安全產(chǎn)品的安全事件以及安全研究團(tuán)隊(duì)的風(fēng)險(xiǎn)預(yù)警，與目標(biāo)站點(diǎn)的歷史信息進(jìn)行整合，建立針對(duì)互聯(lián)網(wǎng)領(lǐng)域的長(zhǎng)期信譽(yù)追蹤機(jī)制。正是這樣的積累，讓綠盟科技在2010年8月，正式與StopBadware達(dá)成戰(zhàn)略合作，繼Google之后，成為其數(shù)據(jù)提供商。

而就云安全技術(shù)方面來說，云安全主要面臨這些挑戰(zhàn)：

◆云計(jì)算的濫用、惡用、拒絕服務(wù)攻擊

◆不安全的接口和API

◆惡意的內(nèi)部攻擊

◆共享技術(shù)產(chǎn)生的問題

◆數(shù)據(jù)泄漏

◆賬號(hào)和服務(wù)劫持

◆未知的風(fēng)險(xiǎn)場(chǎng)景#p#

云安全如何定義

面對(duì)這些挑戰(zhàn)，我們應(yīng)該從哪些層面入手，才能實(shí)現(xiàn)安全云呢？從IT架構(gòu)管理來看，企業(yè)敏感數(shù)據(jù)，尤其是涉密企業(yè)，出于安全性考慮，目前還會(huì)以私有云為主，在未來的一段時(shí)間，才會(huì)逐步過渡到共有云；從產(chǎn)業(yè)和市場(chǎng)發(fā)展，云安全還處在初級(jí)階段，從未有一個(gè)廠家的產(chǎn)品可以囊括云安全所有層面，也未能提出一個(gè)完整的解決方案。

要對(duì)云安全有一個(gè)全面的認(rèn)知，必須認(rèn)識(shí)到云安全是動(dòng)態(tài)的，是不斷演變的。云安全解決方案必須與應(yīng)用及服務(wù)充分結(jié)合，并適應(yīng)業(yè)務(wù)的發(fā)展需求。云安全聯(lián)盟提出，應(yīng)該從治理和運(yùn)營(yíng)兩個(gè)方面入手：

云安全治理：

◆Best opportunity to secure cloud engagement is before procurement – contracts, SLAs, architecture

◆Know provider’s third parties, BCP/DR, financial viability, employee vetting

◆Knowing where your data is

◆Plan for provider termination & return of assets

◆Preserve right to audit

◆Reinvest provider cost savings into due diligence

云安全運(yùn)營(yíng)：

◆Encrypt data when possible, segregate key mgt from cloud provider

◆Adapt secure software development lifecycle

◆Understand provider’s patching, provisioning, protection

◆Logging, data exfiltration, granular customer segregation

◆Hardened VM images

◆Assess provider IdM integration, e.g. SAML, OpenID

如何做到云安全

那么用戶該如何選擇云安全服務(wù)，又怎么才能做到云安全？ 國(guó)際云安全聯(lián)盟發(fā)布的云安全指南指出，云安全要覆蓋云安全完整的生命周期，并完成最佳實(shí)踐以及分析工具。在云安全完整的生命周期中，理想的云安全狀態(tài)至少應(yīng)該包括安全治理、識(shí)別、訪問控制、數(shù)據(jù)保護(hù)以及審核，最終實(shí)現(xiàn)安全即服務(wù)（Security as a Service）。

圖2 理想的云安全

要實(shí)現(xiàn)這些，云安全治理及運(yùn)營(yíng)至少應(yīng)該包含13個(gè)領(lǐng)域，包括：

圖3 云安全治理與運(yùn)營(yíng)模型

而云安全分析工具，要區(qū)分用戶及供應(yīng)商角色，并完全遵從于ISO 27001, COBIT, PCI, HIPAA等國(guó)際標(biāo)準(zhǔn)，從而彌補(bǔ)管理者及云安全審核之間的差距。云安全聯(lián)盟為此提供了云安全控制矩陣工具，請(qǐng)?jiān)L問Cloud Security Alliance官方主頁。

正是遵循這樣的云安全治理與運(yùn)營(yíng)原則，綠盟科技作為中國(guó)安全業(yè)的領(lǐng)先者，多年來始終致力于網(wǎng)絡(luò)安全的研究，并一直積極推動(dòng)國(guó)內(nèi)云安全的發(fā)展。2008年，綠盟科技宣布正式啟動(dòng)云安全計(jì)劃，成為國(guó)內(nèi)第一家進(jìn)入云計(jì)算和云安全領(lǐng)域的網(wǎng)絡(luò)安全廠商。云安全計(jì)劃中包含具備多種能力類型的安全云，目的是通過對(duì)互聯(lián)網(wǎng)進(jìn)行大規(guī)模集中分析和匯總，在全球范圍內(nèi)大規(guī)模部署中心服務(wù)器群，覆蓋入侵防御、漏洞掃描、掛馬防范、流量清洗等方面，全面檢測(cè)惡意網(wǎng)站與異常流量，提供了在大范圍網(wǎng)絡(luò)環(huán)境下解決云安全問題的全新思路，這種模式已經(jīng)在多個(gè)運(yùn)營(yíng)商骨干網(wǎng)和城域網(wǎng)得到了廣泛的部署。

2009年12月，綠盟科技成為國(guó)際云安全聯(lián)盟在亞太地區(qū)的第1個(gè)企業(yè)成員，并為推動(dòng)云安全本地化工作不懈努力。同年，云安全計(jì)劃持續(xù)完善，推出包括內(nèi)容安全監(jiān)管、異常行為審計(jì)、應(yīng)用安全交付等多種計(jì)算能力的云模式。2010年9月2日，云安全聯(lián)盟中國(guó)區(qū)分會(huì)宣布成立。#p#

云安全的實(shí)質(zhì)是什么？

面對(duì)龐大的云計(jì)算架構(gòu)，要提供安全云服務(wù)，靠單打獨(dú)斗是不行的。在經(jīng)歷了云計(jì)算紛爭(zhēng)的年代之后，日益復(fù)雜的應(yīng)用，云安全整體解決方案的需求，以及市場(chǎng)發(fā)展的磨合，都讓安全企業(yè)認(rèn)識(shí)到，云安全必須產(chǎn)業(yè)化，形成一個(gè)產(chǎn)業(yè)鏈條。而實(shí)現(xiàn)它的前提，就是必須找到一種方式，讓大家走到一起來，通過一系列溝通，描繪一個(gè)共同的愿景，解決一些分歧，推動(dòng)一些項(xiàng)目，交付一些成果，才能穩(wěn)固云安全的“短板”，推動(dòng)本地市場(chǎng)云安全產(chǎn)業(yè)的發(fā)展。另一方面，中國(guó)乃至亞太區(qū)的云安全形態(tài)及發(fā)展，對(duì)于國(guó)際云安全產(chǎn)業(yè)不可或缺，而國(guó)際規(guī)范只有適應(yīng)本地的、大規(guī)模市場(chǎng)后，產(chǎn)生有效的分析工具及方法，才具有實(shí)際意義。

云安全的實(shí)質(zhì)在于溝通協(xié)作，溝通協(xié)作需要平臺(tái)。隨著市場(chǎng)經(jīng)濟(jì)關(guān)系深化發(fā)展，以及社會(huì)分工在市場(chǎng)領(lǐng)域細(xì)化，必然會(huì)產(chǎn)生云安全的聯(lián)盟組織，它的完善與否是市場(chǎng)體系成熟與否的一個(gè)重要標(biāo)志。在這樣的背景下，國(guó)際云安全聯(lián)盟CSA（Cloud Security Alliance）于2009年RSA大會(huì)上宣布成立，是一個(gè)非盈利性組織。成立后，獲得了業(yè)界的廣泛認(rèn)可，與ISACA、OWASP等業(yè)界組織建立了合作關(guān)系，很多國(guó)際領(lǐng)袖公司成為其企業(yè)成員。

國(guó)際云安全聯(lián)盟于2010年，首次在中國(guó)舉辦峰會(huì)，以“溝通分享，合作共贏”為主題，號(hào)召亞太區(qū)安全業(yè)界的參與，其意義就在這里。在本次峰會(huì)上，中國(guó)區(qū)分會(huì)正式成立，CSA主席Dave Cullinane以及國(guó)際安全界同行，紛紛到場(chǎng)或以各種形式表示祝賀。綠盟科技副總裁吳云坤先生表示，云安全的問題已經(jīng)讓大家達(dá)成共識(shí)。

多年來，綠盟科技始終致力于國(guó)內(nèi)網(wǎng)絡(luò)安全方面的研究，積累了大量的數(shù)據(jù)，我們?cè)敢獠⒄谂c各方面展開積極的合作，分享數(shù)據(jù)和經(jīng)驗(yàn)。綠盟科技首席戰(zhàn)略官趙糧博士也提到，“在未來的12個(gè)月中，國(guó)際云安全聯(lián)盟中國(guó)區(qū)分會(huì)，將會(huì)推動(dòng)一些列云安全方面的項(xiàng)目，并提交項(xiàng)目成果，還會(huì)積極開展地區(qū)性的云安全技術(shù)交流研討活動(dòng)”。正是安全業(yè)界各知名企業(yè)的積極參與，讓云安全聯(lián)盟在亞太區(qū)安全業(yè)界中引起了強(qiáng)烈的反響。

云安全產(chǎn)業(yè)的契機(jī)

毫無疑問，云安全產(chǎn)業(yè)鏈中的先行者們，將會(huì)在市場(chǎng)發(fā)展中，占據(jù)及其重要的地位，而這一點(diǎn)，甚至能夠左右企業(yè)未來的發(fā)展，這也是為什么云安全聯(lián)盟一經(jīng)發(fā)起，幾乎所有與云安全產(chǎn)業(yè)相關(guān)的企業(yè)，紛紛加入。在不到2年時(shí)間里，已經(jīng)有超過50個(gè)國(guó)際領(lǐng)袖級(jí)公司成為其企業(yè)成員，包括Google、HP、CISCO、Intel、MS、Oracle、Novell、AT&T、CA、McAfee、TREND、Symantec、NSFOCUS、3PAR等。

而在之前，國(guó)內(nèi)尚未具有影響力的云安全聯(lián)盟組織，隨著云計(jì)算的不斷發(fā)展和演變，國(guó)內(nèi)各個(gè)廠商及研究機(jī)構(gòu)對(duì)于云計(jì)算、云安全都有自己的獨(dú)特見解，這些觀點(diǎn)都代表了各個(gè)領(lǐng)域的發(fā)展特性。另一方面，來自國(guó)際信息安全方面的規(guī)范，也不能完全適應(yīng)國(guó)內(nèi)云安全發(fā)展的各個(gè)層面及特性?？梢钥吹?，國(guó)內(nèi)云安全尚處于初級(jí)階段，而每個(gè)廠商或者企業(yè)的技術(shù)力量，都是有限的，不可能涵蓋云安全產(chǎn)業(yè)鏈的所有層面。國(guó)際云安全聯(lián)盟中國(guó)區(qū)分會(huì)的成立，對(duì)中國(guó)和亞太地區(qū)推動(dòng)云安全的實(shí)踐和創(chuàng)新，構(gòu)建中國(guó)乃至亞太地區(qū)云安全產(chǎn)業(yè)的理論指引，發(fā)掘及云安全產(chǎn)業(yè)中的契機(jī)，具有及其重要的價(jià)值。