云計(jì)算在迅猛發(fā)展的同時(shí)，也積累下了安全水平堪憂的負(fù)面口碑。不過(guò)隨著進(jìn)一步完善，相信這種新型資源供給模式將很快具備超越傳統(tǒng)內(nèi)部IT體系的良好安全機(jī)制。

[[143716]]

在談到IT安全這個(gè)議題時(shí)，云計(jì)算總是給人一種負(fù)面口碑典型代表的印象——實(shí)際情況可能也的確如此。將工作負(fù)載從傳統(tǒng)內(nèi)部體系當(dāng)中遷移至公有、私有乃至混合云架構(gòu)當(dāng)中，往往會(huì)導(dǎo)致傳統(tǒng)安全工具徹底失效。這不僅引發(fā)了新的安全漏洞，同時(shí)也造成了諸多前所未見(jiàn)的安全盲點(diǎn)。然而云安全水平正在發(fā)展過(guò)程中日益提升，而且很快各類云安全工具就將全面超越任何非云類型的安全架構(gòu)。

綜合各個(gè)角度來(lái)看，云安全正立足于似乎最為薄弱的基礎(chǔ)積蓄自己的保護(hù)力量。云服務(wù)供應(yīng)商擁有獨(dú)特的定位，這種角色使其能夠吸收到規(guī)模龐大的數(shù)據(jù)集合。由于規(guī)?；企w系在地理層面上分布于全球各地，因此管理人員能夠從中提取到各類與安全情報(bào)相關(guān)的重要數(shù)據(jù)流。而這些情報(bào)不僅能夠用于追蹤安全威脅動(dòng)向，更能夠以更為迅捷的速度對(duì)其加以扼制。

當(dāng)企業(yè)最終能夠接受云計(jì)算這一理念時(shí)，它將不再局限于對(duì)傳統(tǒng)企業(yè)網(wǎng)絡(luò)的延伸，而更多表現(xiàn)為中心焦點(diǎn)所在。最終用戶通過(guò)不同數(shù)據(jù)的入口點(diǎn)對(duì)云環(huán)境進(jìn)行訪問(wèn)，例如私有WAN或者公共互聯(lián)網(wǎng)。由于云體系對(duì)客戶而言屬于集中化入口點(diǎn)，這就保證其能夠成為理想的安全客戶端/服務(wù)器通信位置，同時(shí)作為加密密鑰的惟一管理點(diǎn)。

最后，隨著云計(jì)算與軟件定義技術(shù)的有機(jī)結(jié)合，我們將能夠在安全保護(hù)角度實(shí)現(xiàn)端到端可視化效果。在此之前，還從來(lái)沒(méi)有哪位IT安全管理員能夠通過(guò)這種方式實(shí)現(xiàn)如此水平的軟件覆蓋能力，而這相當(dāng)于將網(wǎng)絡(luò)環(huán)境加以平面化、從而確保安全手段能夠以更加簡(jiǎn)潔輕松的方式得到管理。

多年以來(lái)，云計(jì)算的發(fā)展速度一直高于為其提供保護(hù)的云安全技術(shù)。而從2015年開(kāi)始直到將來(lái)，二者之間的差距似乎正在不斷縮小。在今天的文章中，我們將共同分享幾款云安全工具及架構(gòu)，相信它們的出現(xiàn)代表著企業(yè)未來(lái)將能夠輕松愉快地利用將云計(jì)算服務(wù)納入主流業(yè)務(wù)體系，而大家也可以通過(guò)新的角度重新認(rèn)識(shí)云安全。

[[143717]]

大數(shù)據(jù)威脅情報(bào)

公有云在數(shù)據(jù)安全匯聚方面處于優(yōu)勢(shì)地位。它能夠汲取互聯(lián)網(wǎng)數(shù)據(jù)，例如網(wǎng)站請(qǐng)求及郵件樣本，并通過(guò)運(yùn)行大數(shù)據(jù)安全情報(bào)系統(tǒng)發(fā)現(xiàn)全球范圍內(nèi)的各類惡意軟件以及網(wǎng)絡(luò)入侵活動(dòng)。我們利用云計(jì)算精確定位并準(zhǔn)確評(píng)估安全威脅的速度越快，我們就能越早對(duì)自有基礎(chǔ)設(shè)施加以調(diào)整，從而更為主動(dòng)地應(yīng)對(duì)這些威脅因素。

[[143718]]

加密證書與密鑰管理

隨著數(shù)據(jù)開(kāi)始向傳統(tǒng)手段無(wú)法保護(hù)的安全邊界移動(dòng)，加密機(jī)制在企業(yè)環(huán)境當(dāng)中的地位也在不斷提升。對(duì)于IT部門來(lái)講，最主要的加密難題就是證書與密鑰管理。以Venafi(這家公司最近剛剛從英特爾手中籌得3900萬(wàn)美元融資)為代表的眾多安全方案供應(yīng)商已經(jīng)能夠提供完善的證書與密鑰管理系統(tǒng)，從而幫助企業(yè)客戶對(duì)全部云流量進(jìn)行加密。這一流程除了對(duì)密鑰及證書過(guò)期日期進(jìn)行追蹤之外，也會(huì)通過(guò)系統(tǒng)級(jí)掃描對(duì)云環(huán)境下的丟失或遺忘密鑰、證書進(jìn)行識(shí)別。

[[143719]]

#p#

自我修復(fù)且具備追溯能力的惡意軟件保護(hù)方案

歸功于云環(huán)境強(qiáng)大的大數(shù)據(jù)安全信息匯聚能力，我們現(xiàn)在不僅有機(jī)會(huì)更有效地在惡意軟件侵襲企業(yè)之前就將其制服，同時(shí)還能在安全事故發(fā)生之后更有效地加以恢復(fù)?？缭礁鳂I(yè)務(wù)體系及云網(wǎng)絡(luò)的全部網(wǎng)絡(luò)相關(guān)修改數(shù)據(jù)都能得到收集與整理。當(dāng)惡意活動(dòng)被發(fā)現(xiàn)之后，我們能夠利用這些信息識(shí)別、追溯并恢復(fù)任何在此期間受到影響的文件以及惡意軟件對(duì)系統(tǒng)作出的修改。

[[143720]]

“烘”入安全

物聯(lián)網(wǎng)技術(shù)革命已經(jīng)近在咫尺，云與IT安全供應(yīng)商則面臨著為數(shù)十億臺(tái)物聯(lián)網(wǎng)設(shè)備提供安全保障這一嚴(yán)峻挑戰(zhàn)。由于物聯(lián)網(wǎng)終端及傳感器將直接與云端進(jìn)行通信，因此我們必須直接“烘”入安全機(jī)制以確保物聯(lián)網(wǎng)設(shè)備只能與云端交互——同時(shí)在無(wú)需人為介入的前提下自動(dòng)根據(jù)最新安全策略實(shí)現(xiàn)更新。

[[143721]]

端到端可視化

由于云軟件定義網(wǎng)絡(luò)(簡(jiǎn)稱SDN)的持續(xù)發(fā)展，云安全當(dāng)中所存在的各類安全盲點(diǎn)將很快成為歷史。SDN能夠覆蓋云網(wǎng)絡(luò)的所有復(fù)雜性因素，并創(chuàng)建出更易于管理的虛擬網(wǎng)絡(luò)體系。通過(guò)這種方式，SDN允許IT管理員查看整套網(wǎng)絡(luò)，并根據(jù)實(shí)際情況控制數(shù)據(jù)流及安全策略。最終，我們將在云環(huán)境下享受到更出色的安全實(shí)現(xiàn)方式、更快的應(yīng)急響應(yīng)能力以及更清晰的企業(yè)數(shù)據(jù)所在位置(及具體訪問(wèn)者)。

[[143722]]

DDoS避震裝置

盡管分布式拒絕服務(wù)(簡(jiǎn)稱DDoS)攻擊已經(jīng)存在了幾十年，但其成熟度與產(chǎn)生的影響亦在不斷演進(jìn)。傳統(tǒng)的企業(yè)架構(gòu)無(wú)法保護(hù)自身免受大規(guī)模DDoS攻擊的侵?jǐn)_，因?yàn)镈DoS攻擊擠占網(wǎng)絡(luò)連接的速度要遠(yuǎn)大于應(yīng)對(duì)措施的處理速度。DDoS保護(hù)工作的關(guān)鍵在于搶在其接入企業(yè)門戶之前就加以阻止。以Akamai及CloudFlare為代表的云服務(wù)供應(yīng)商能夠利用自身規(guī)模龐大的資源體系吸收這種影響(類似于車輛上的避震裝置)。結(jié)果就是，DDoS攻擊能夠在直接觸及用戶網(wǎng)絡(luò)邊緣之前就得到控制。

[[143723]]

總結(jié)陳詞

以云為關(guān)注重點(diǎn)的安全工具在2015年獲得了長(zhǎng)足進(jìn)步。隨著企業(yè)對(duì)于網(wǎng)絡(luò)安全威脅的持續(xù)重視，云技術(shù)將很有可能成為保護(hù)企業(yè)免受外部威脅侵?jǐn)_的重要手段。您對(duì)于云安全有何認(rèn)識(shí)?云安全又對(duì)您所在的企業(yè)產(chǎn)生了怎樣的影響?歡迎您分享真知灼見(jiàn)。

原文標(biāo)題：Why Cloud Security Beats Your Data Center