那么云計算究竟面臨著(zhù)哪些安全挑戰？今天借此文，一起來(lái)探討下云安全問(wèn)題以及如何去應對。

　　針對這個(gè)問(wèn)題，CSA云安全聯(lián)盟對行業(yè)專(zhuān)家進(jìn)行了一次調查，根據調查問(wèn)卷結果從20個(gè)concerns中選出最嚴重的12個(gè)：

　　云安全面臨的威脅

　　（按照調查結果的嚴重程度排序）

　　從這些威脅可以看到，除了第10點(diǎn)濫用和惡意使用云服務(wù)是云計算環(huán)境特有的安全威脅外，其余的都屬于通用安全威脅，比如拒絕服務(wù)、數據泄露等，無(wú)論是否在云環(huán)境都有存在的可能。因此，不妨把云上的安全威脅分為兩大類(lèi)，云計算特有安全威脅，以及通用的安全威脅。

　　要了解云計算特有安全威脅，需要先了解云架構。以一個(gè)典型的虛擬化架構為例，底層由硬件層，網(wǎng)絡(luò )、存儲、計算資源組成，往上一層是宿主機和Hypervisor，再往上運行虛擬機。除去物理安全之外，虛擬化帶來(lái)的安全威脅包括：

　　hypervisor是CPU指令和物理硬件的中介，負責協(xié)調資源分配，一旦hypervisor被攻擊，就可以威脅所有頂層的虛擬機甚至是底層的物理機。

　　包括計算資源隔離、存儲資源隔離、網(wǎng)絡(luò )資源隔離等等。在網(wǎng)絡(luò )安全里一般只談網(wǎng)絡(luò )資源的隔離，在物理形態(tài)的時(shí)候，通過(guò)防火墻進(jìn)行訪(fǎng)問(wèn)控制就可以對物理機進(jìn)行隔離。但在虛擬化數據中心里，虛擬機之間如何做到有效的隔離，尤其是在東西向流量遠遠超過(guò)南北向流量的時(shí)候，東西向流量的安全問(wèn)題成為云安全的一大重點(diǎn)。

　　虛擬機被創(chuàng )建、遷移，需要相對應的安全措施，虛擬機本身也是操作系統，也需要做到操作系統級的安全，否則可能會(huì )產(chǎn)生虛擬機逃逸等安全問(wèn)題。

　　云本身承載著(zhù)企業(yè)的數據及業(yè)務(wù)，因此用戶(hù)一般關(guān)注對數據和業(yè)務(wù)會(huì )造成比較大影響的威脅。尤其云數據中心數據、算力集中，諸如數據被勒索、數據丟失、數據泄露等數據安全威脅，成為了云上安全威脅的關(guān)注重點(diǎn)。

　　首先要確保云架構是安全的，其次再通過(guò)技術(shù)手段來(lái)抵御通用的安全威脅。

　　那么，怎么確定云架構是安全的呢？

　　首先，可以建立可信的基礎，通過(guò)一系列的硬件+可信應用+隔離機制的使用，實(shí)現整個(gè)云架構安全可信，比如使用TPM管理方法。其次，建立基于SOA的分層安全，通過(guò)組合不同的service來(lái)開(kāi)發(fā)應用，這個(gè)接口可以是Http Service, Corba Service, Cloud Service 等等。 最后，實(shí)現資源、網(wǎng)絡(luò )、主機隔離。通過(guò)設置資源隔離，使得終端用戶(hù)使用虛擬機時(shí)，僅能訪(fǎng)問(wèn)屬于自己的虛擬機的資源（如硬件、軟件和數據），不能訪(fǎng)問(wèn)其他虛擬機的資源，避免虛擬機之間的數據竊取或惡意攻擊。網(wǎng)絡(luò )隔離主要涵蓋三個(gè)方面： 通信平面的隔離、虛擬網(wǎng)絡(luò )隔離以及東西向、南北向隔離。

　　主機隔離則可通過(guò)EDR以及微隔離技術(shù)來(lái)實(shí)現主機東西向流量的訪(fǎng)問(wèn)控制，確保業(yè)務(wù)安全域內部主機安全。

　　對于通用安全威脅的抵御，需要先了解目前安全威脅的發(fā)展形勢。隨著(zhù)黑色產(chǎn)業(yè)的不斷壯大，攻擊手段層出不窮，在防御過(guò)程中往往需要面對的是未知類(lèi)型的惡意威脅。在這種情況下，僅僅靠傳統的防御手段很難全部防御住，威脅可能通過(guò)釣魚(yú)郵件、或者跳板等方式繞過(guò)防御體系進(jìn)入到數據中。因此組織單位需要以網(wǎng)絡(luò )、平臺、主機、應用、管理、數據為主要防護對象，應用人工智能、威脅情報等新興技術(shù)，構建預防、防御、的動(dòng)態(tài)安全體系，真正有效應對未知威脅。

　　與此同時(shí)，針對核心關(guān)注的數據安全，構建全生命周期的數據安全體系，而非僅僅依賴(lài)DLP。比如在數據產(chǎn)生過(guò)程中，確保數據源真實(shí)性，可追溯性。在數據傳輸過(guò)程中通過(guò)VPN技術(shù)確保數據傳輸完整性，保密性。數據存儲過(guò)程，關(guān)注存儲平臺本身存在的漏洞或者安全配置缺陷等，及時(shí)進(jìn)行脆弱性檢測。數據使用過(guò)程關(guān)注數據使用的規范，進(jìn)行全量審計及細粒度權限控制。在數據轉移共享過(guò)程，確保數據脫敏不外泄。

　　安全的環(huán)境一直在變化，今天爆發(fā)了勒索，企業(yè)可能希望做勒索防御，明天爆發(fā)了數據泄漏，企業(yè)開(kāi)始重視數據安全，可以說(shuō)幾乎找不到完美的框架。因此，一套持續成長(cháng)的安全機制，要遠比完美的安全架構來(lái)得實(shí)用。建議用戶(hù)使用風(fēng)險評估，對云計算和云服務(wù)進(jìn)行評估后識別出風(fēng)險在哪里，進(jìn)而通過(guò)降低、規避、轉嫁、接受以及相應的安全解決方案，進(jìn)行風(fēng)險削減。當然， 不同的企業(yè)對風(fēng)險的接受程度是不同的，根據自身對風(fēng)險的接受程度，來(lái)對那些被接受的風(fēng)險進(jìn)行監控和應急響應服務(wù)等措施來(lái)進(jìn)行兜底。

　　此后，需要定期檢查云安全的薄弱環(huán)節，進(jìn)而對方案進(jìn)行優(yōu)化整改，實(shí)現更加適用自身環(huán)境的安全方案。

　　等保2.0已經(jīng)發(fā)布，云等保合規也成為了企業(yè)上云必須完成的基本要求。

　　而云等保合規建設過(guò)程中，目前最大的難點(diǎn)在于平臺方、租戶(hù)方用戶(hù)權責問(wèn)題，在云等保的要求里，不僅僅是對平臺建設方提出了要求，對于租戶(hù)方同樣提出了要求。但傳統云平臺安全架構僅能夠對用戶(hù)提供通用的安全策略，不能適用于所有用戶(hù)。用戶(hù)因而不能根據自身業(yè)務(wù)需求選擇和管理安全組件，這將放大用戶(hù)業(yè)務(wù)系統“上云”后安全責任難以界定等風(fēng)險，從而對“上云”產(chǎn)生顧慮。

　　因此，針對云安全建設這個(gè)問(wèn)題，深信服基于用戶(hù)在等保建設中的實(shí)際需求，提供基于安全資源池的軟件定義、輕量級、快速交付的等保合規套餐，不僅能夠幫助用戶(hù)快速有效地完成云上等級保護建設、通過(guò)等保測評，同時(shí)通過(guò)豐富的安全能力，可幫助用戶(hù)為各項業(yè)務(wù)按需提供個(gè)性化的安全增值服務(wù)。此外，為了實(shí)現“安全權責明晰、安全責任共擔”，深信服采用安全共擔的方案模型，將責任方大致分為以下三類(lèi)，并分別提供安全界面，以滿(mǎn)足各方需求。

　　秉持面向未來(lái)，有效保護的安全理念，深信服自適應的軟件定義云安全方案，通過(guò)旁路部署策略引流，與現有平臺實(shí)現了解耦，與需要進(jìn)行差異化安全保護的租戶(hù)VPC網(wǎng)絡(luò )打通，為租戶(hù)提供豐富的、可編排的、精細化的安全服務(wù)，租戶(hù)通過(guò)簡(jiǎn)單的自助服務(wù)申請、開(kāi)通流程，即快速獲得對應的安全服務(wù)。云運營(yíng)方可以像交付計算、存儲資源一樣進(jìn)行安全服務(wù)交付，實(shí)現更簡(jiǎn)單、更高效的安全運維與保障，為用戶(hù)提供更優(yōu)質(zhì)的安全交付體驗。