安全，打開企業(yè)云計(jì)算桎梏的金鑰匙

摘 要：隨著全球云計(jì)算產(chǎn)業(yè)的興起，云安全領(lǐng)域也取得了突破式發(fā)展。云計(jì)算正在轉(zhuǎn)化傳統(tǒng)的數(shù)據(jù)中心，包括公有云和私有云。企業(yè)將數(shù)據(jù)中心虛擬化，并將工作負(fù)荷和數(shù)據(jù)擴(kuò)展到公有云，數(shù)據(jù)中心外圍逐漸縮小。隨著數(shù)據(jù)中心從物理轉(zhuǎn)換為虛擬，并最終遷移到云端，企業(yè)業(yè)務(wù)將面臨新的安全和管理的挑戰(zhàn)。

關(guān)鍵詞：云計(jì)算；云安全；云服務(wù)

1 什么是云計(jì)算

據(jù)統(tǒng)計(jì)，目前云計(jì)算的定義超過(guò)50種。不同的專家、企業(yè)都從自己的角度對(duì)云計(jì)算的概念進(jìn)行了定義。其中得到認(rèn)可的、比較權(quán)威的是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的定義。

NIST對(duì)云計(jì)算的定義：云計(jì)算是一個(gè)模型，這個(gè)模型可以方便地按需訪問一個(gè)可配置的計(jì)算資源（如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備、應(yīng)用程序以及服務(wù)）的公共集。這些資源可以被迅速提供并發(fā)布，同時(shí)最小化管理成本或服務(wù)提供商的干涉。云計(jì)算模型由五個(gè)基本特征、三種服務(wù)模型和四種發(fā)布形態(tài)組成。

云計(jì)算的五個(gè)基本特征：按需自助服務(wù)、廣泛的網(wǎng)絡(luò)訪問、資源共享、快速的可伸縮性、可度量的服務(wù)。

云計(jì)算的三種服務(wù)模型：軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）、架構(gòu)即服務(wù)（IaaS）。

云計(jì)算的四種發(fā)布形態(tài)：私有云、社區(qū)云、公有云、混合云。

2 云計(jì)算的安全挑戰(zhàn)

近段時(shí)間以來(lái)，國(guó)內(nèi)外先后發(fā)生數(shù)據(jù)中心或云主機(jī)宕機(jī)事件，對(duì)企業(yè)和用戶造成了一定的損失。云安全這個(gè)問題又一次被擺上了臺(tái)面，吸引了人們的目光。

2.1 易混淆的云計(jì)算安全

云安全的產(chǎn)業(yè)鏈條，包括了云安全環(huán)境、云安全設(shè)計(jì)、云安全部署、云安全交付、云安全管理、再到云安全咨詢，是一個(gè)閉環(huán)。IDC 報(bào)告指出，云的安全性至少包含兩個(gè)層次，一是制約用戶接受云計(jì)算的信用環(huán)境問題，這是云計(jì)算得以應(yīng)用的基礎(chǔ)，也是廣泛推廣的門檻，然后才是云計(jì)算的應(yīng)用安全。而其中，良好的信用環(huán)境是云計(jì)算安全之基礎(chǔ)，也就是說(shuō)，只有用戶認(rèn)可并采用了云服務(wù)，接下來(lái)才談得上云安全的技術(shù)問題。對(duì)于云安全的推動(dòng)和實(shí)現(xiàn)，市場(chǎng)上的云安全提供商也發(fā)出不同的聲音。

同時(shí)不容忽視的是云計(jì)算安全，它與云安全的區(qū)別是Security for the cloud和Security form the cloud。云計(jì)算安全指的是如何保護(hù)云計(jì)算環(huán)境本身的安全性，云安全指的是如何利用云計(jì)算技術(shù)給用戶提供安全服務(wù)。

2.2 云計(jì)算安全七宗罪

安全專家表示，選擇云計(jì)算的企業(yè)可能熟悉多重租賃（多個(gè)公司將其數(shù)據(jù)和業(yè)務(wù)流程托管存放在SaaS服務(wù)商的同一服務(wù)器組上）和虛擬化等概念，但這并不表示他們完全了解云計(jì)算的安全情況。

安全專家Reavis認(rèn)為，選擇云計(jì)算時(shí)企業(yè)應(yīng)該采取更加務(wù)實(shí)的做法，如采用風(fēng)險(xiǎn)評(píng)估來(lái)了解真正的風(fēng)險(xiǎn)以及如何降低風(fēng)險(xiǎn)，然后再?zèng)Q定是否應(yīng)該采用云計(jì)算技術(shù)。

云安全聯(lián)盟與惠普公司共同列出了云計(jì)算的七宗罪，主要是基于對(duì)29家企業(yè)、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論。

⑴數(shù)據(jù)丟失/泄漏：云計(jì)算中對(duì)數(shù)據(jù)的安全控制力度并不十分理想，API訪問權(quán)限控制以及密鑰生成、存儲(chǔ)和管理方面的不足都可能造成數(shù)據(jù)泄漏，并且還可能缺乏必要的數(shù)據(jù)銷毀策略。

⑵共享技術(shù)漏洞：在云計(jì)算中，錯(cuò)誤的配置可能會(huì)造成嚴(yán)重影響，因?yàn)樵朴?jì)算環(huán)境中的很多虛擬服務(wù)器共享著相同的配置。因此必須為網(wǎng)絡(luò)和服務(wù)器執(zhí)行服務(wù)水平協(xié)議（SLA），以確保及時(shí)安裝修復(fù)程序。

⑶內(nèi)奸：云計(jì)算服務(wù)供應(yīng)商對(duì)工作人員背景的調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問權(quán)限的控制力度有所不同，很多供應(yīng)商在這方面做得不錯(cuò)，但還不夠，企業(yè)需要對(duì)供應(yīng)商進(jìn)行評(píng)估并提出如何篩選員工的方案。

⑷帳戶、服務(wù)和通信劫持：很多數(shù)據(jù)、應(yīng)用程序和資源都集中在云計(jì)算中，而云計(jì)算的身份驗(yàn)證機(jī)制如果很薄弱的話，入侵者就可以輕松獲取用戶帳號(hào)并登陸客戶的虛擬機(jī)。因此建議主動(dòng)監(jiān)控這種威脅，并采用多重身份驗(yàn)證機(jī)制。

⑸不安全的應(yīng)用程序接口：在開發(fā)應(yīng)用程序方面，企業(yè)必須將云計(jì)算看作是新的平臺(tái)，而不是外包。在應(yīng)用程序的生命周期中，必須部署嚴(yán)格的審核過(guò)程，開發(fā)者可以運(yùn)用某些準(zhǔn)則來(lái)處理身份驗(yàn)證、訪問權(quán)限控制和加密。

⑹沒有正確運(yùn)用云計(jì)算：在運(yùn)用技術(shù)方面，黑客可能比技術(shù)人員進(jìn)步更快，黑客通常能夠迅速采取新的攻擊技術(shù)在云計(jì)算中自由穿行。

⑺未知的風(fēng)險(xiǎn)：透明度問題一直困擾著云服務(wù)供應(yīng)商，用戶僅使用前端界面，他們無(wú)法確切知道供應(yīng)商使用的是哪種平臺(tái)以及將面臨何種風(fēng)險(xiǎn)。

另外，云計(jì)算也有有網(wǎng)絡(luò)方面的隱憂。由于病毒破壞，網(wǎng)絡(luò)環(huán)境等因素，一旦網(wǎng)絡(luò)出現(xiàn)問題，云計(jì)算反而成了桎梏。

3 云計(jì)算的發(fā)展與未來(lái)

云計(jì)算的發(fā)展大致分為三個(gè)階段：首先是準(zhǔn)備階段，主要進(jìn)行技術(shù)儲(chǔ)備和概念推廣，解決方案和商業(yè)模式尚在嘗試中，用戶對(duì)云計(jì)算認(rèn)知度仍然較低，成功案例較少；其次是起飛階段，這一時(shí)期成功案例逐漸豐富，用戶對(duì)云計(jì)算的了解和認(rèn)可程序也不斷提高，越來(lái)越多的廠商開始介入，市場(chǎng)上出現(xiàn)大量的應(yīng)用解決方案；第三是成熟階段，云計(jì)算產(chǎn)業(yè)鏈、行業(yè)生態(tài)環(huán)境基本穩(wěn)定，各廠商解決方案更加成熟穩(wěn)定，用戶云計(jì)算應(yīng)用取得良好的效果，并成為IT系統(tǒng)不可或缺的組成部分。

在云計(jì)算產(chǎn)業(yè)實(shí)際推進(jìn)的過(guò)程中，2011年無(wú)疑是云計(jì)算應(yīng)用的元年，各地云計(jì)算數(shù)據(jù)中心相繼興建和完善，很多軟硬件廠商也推出了云計(jì)算發(fā)展規(guī)劃和相應(yīng)的云計(jì)算產(chǎn)品及解決方案，云計(jì)算產(chǎn)業(yè)呈現(xiàn)出強(qiáng)勁的發(fā)展勁頭。

毫無(wú)疑問，云計(jì)算確實(shí)給企業(yè)帶來(lái)了新的契機(jī)。《2012年中國(guó)云計(jì)算安全調(diào)查報(bào)告》顯示：

⑴2012年，79.6的企業(yè)在進(jìn)行或考慮用云計(jì)算來(lái)做事（PaaS、IaaS、SaaS、云存儲(chǔ)/備份、私有云、混合云）。

⑵超過(guò)22.8%的企業(yè)正在使用私有云，50%的企業(yè)正在考慮建設(shè)私有云。

⑶企業(yè)當(dāng)前使用最多的云服務(wù)依次為電子郵件業(yè)務(wù)管理應(yīng)用（如谷歌APP、微軟Office）、遠(yuǎn)程存儲(chǔ)/備份、網(wǎng)絡(luò)監(jiān)控/管理。

……

然而，過(guò)去一年里爆發(fā)的云計(jì)算安全事件，如亞馬遜云計(jì)算中心宕機(jī)、微軟云計(jì)算交換在線服務(wù)故障、谷歌郵箱用戶數(shù)據(jù)泄露等，使云計(jì)算產(chǎn)業(yè)的發(fā)展不可避免地遭遇了瓶頸。

另外，從調(diào)查報(bào)告中我們也看到：

⑴企業(yè)表示對(duì)信用卡數(shù)據(jù)、商業(yè)或合作伙伴的財(cái)務(wù)數(shù)據(jù)和客戶身份信息等特殊類型的數(shù)據(jù)永遠(yuǎn)不會(huì)遷移到云端。

⑵在云計(jì)算模型中，企業(yè)認(rèn)為私有云是最安全的，其次為基礎(chǔ)設(shè)施即服務(wù)（IaaS），平臺(tái)即服務(wù)（PaaS）位居第三。

⑶在云計(jì)算模型中，企業(yè)認(rèn)為軟件即服務(wù)（SaaS）是最不安全的。

……

不難看出，安全問題仍是橫亙?cè)谠朴?jì)算與企業(yè)之間的一扇門。能否破解這道難題，是擺在云服務(wù)提供商、信息安全廠商面前的又一道坎，也是云計(jì)算未來(lái)能否實(shí)現(xiàn)跨越式發(fā)展?jié)饽夭实囊还P。

4 總結(jié)

有業(yè)內(nèi)人士認(rèn)為云安全是一個(gè)偽命題，這種說(shuō)法過(guò)于激進(jìn)，但也是有一定道理的。安全永遠(yuǎn)是相對(duì)的，沒有絕對(duì)的安全存在。就好像飛機(jī)是目前最安全的交通方式，卻還是會(huì)出現(xiàn)事故一樣。現(xiàn)在云計(jì)算的概念非常火熱，越來(lái)越多的企業(yè)也已經(jīng)意識(shí)到云計(jì)算的重要性，開始投資部署云計(jì)算。

可以預(yù)見，隨著新的安全解決方案和技術(shù)的不斷出現(xiàn)，企業(yè)的業(yè)務(wù)、數(shù)據(jù)管理模式必將發(fā)生革命性的變化，但無(wú)論如何發(fā)展，統(tǒng)一、簡(jiǎn)單、自動(dòng)化、現(xiàn)代化的數(shù)據(jù)管理模式必將成為主流，也將為企業(yè)帶來(lái)更多收益。

[參考文獻(xiàn)]

[1]《2012年中國(guó)云計(jì)算安全調(diào)查報(bào)告》.