安全、可信的云計算不再難

文 | 本刊記者 姜紅德

提到云計算，今天已經不再是“云來霧往”，而是有了更多的實際應用和落地項目。在云計算風起云涌的信息化新階段，“云”上的安全也被提上了日程。

云安全形勢嚴峻

在今年11月于浙江烏鎮舉辦的首屆世界互聯網大會上，中國工程院院士鄔賀銓表示，云計算能力的分布化、虛擬化、服務化是云計算的技術基礎，但云計算平臺如果被攻擊，出現故障，就會導致大規模的服務器癱瘓。

時間回溯到2011年，由于亞馬遜網頁服務器出現故障，包括基于位置的社交網站FoureSquare、問題和解答服務商Quora、新聞共享網站Reddit以及為網絡出版商提供游戲工具的BigDoor癱瘓。分析師指出，該事件實際上是再一次敲響了云計算技術乃至整個產業的警鐘，它將迫使云計算行業重新考慮這項遠程控制技術所面臨的問題。專家表示，亞馬遜數據中心服務中斷事故對云計算行業造成的影響相當于一次航空事故，目前航空旅行仍被視為比汽車行駛更安全的交通方式。數據中心依舊比那些擁有自己IT基礎設施的個別公司更安全。關鍵的是，業界應該從亞馬遜服務中斷事故中汲取教訓。

普華永道今年9月份發布了一份關于云計算安全趨勢的報告，報告警告說：基于云計算的應用帶來的風險很多，包括數據安全、交易安全、業務聯系性和監管合規等問題，實際上有關云計算和大數據帶來的安全隱患并不是首次被提出，越來越多的虛擬化技術和海量數據分析挖掘技術的應用，讓更多的政府部門和企業陷入了更大的風險之中。

虛擬化技術帶來的第一個風險就是，傳統的邊界防御將失去效用，因為虛擬機的應用隨時可能會漂移（V-Motion），在虛擬化的環境下，如何部署和實現安全防護？另外，客戶數據都集中到了云端，如何保證租戶的信息不被泄露？如何免受來自于互聯網的DoS/DDos攻擊？

這種擔心并不多余，在目前一些涉密或公共服務領域，一些創新產品技術在存儲、分析或者應用層面仍需要考慮信息安全的風險。正如某國家政府部門一位負責人所說，“政府部門對云計算技術的引入應該謹慎才行，盡管這已經成為一種趨勢”。

目前政府部門和大型企業對云計算的支持毋庸置疑，但是廣大中小企業卻對云計算的渴求遠不如想象中的迫切。知名的IT調查機構IDC對企業CIO們進行了一份調查，結果顯示約有近一半的企業對未來一年內在企業信息化建設中是否采用云計算解決方案還處于觀望狀態，是否擁抱云計算的主要障礙來自于對信息安全的顧慮。

IDC中國服務研究部研究經理趙瀟表示，“在過去兩年里，企業對云計算的認知有了很大的提高，隨著企業業務的發展，未來幾年里與云服務有關的投資在企業每年地IT預算中的比例將越來越高?！?/p>

在越來越多的政府部門和企業選擇投資云計算的明天，也會有越來越多的網絡黑客和不法分子利用云計算技術及解決方案中存在的漏洞，這對有關組織和個人帶來巨大的安全隱患，而這些隱患和傳統固網中的安全問題又有所不同，特別是SDN、NFV這些網絡新技術應用涌現之后，讓用戶們幾乎防不勝防。

SDN成下一個安全關注點

SDN（軟件定義網絡）浪潮洶涌，號稱可以顛覆網絡格局。同時NFV(網絡功能虛擬化)的提出，也強有力地彌補了SDN應用層能力弱的不足。然而這些新技術的興起，使傳統網絡安全產品越來越不能適應新型網絡所帶來的變化，促使越來越多的國內企業開始在SDN安全方面進行了大量探索。

在2014年CSA云安全高峰論壇上，綠盟科技資深研究員劉文懋表示，綠盟科技在業界率先提出并實現了安全控制器概念，在南向安全設備，北向安全應用，東西向和SDN控制器等技術架構以及對抗APT、BYOD等場景下展現了巨大的應用潛力，按照劉博士的介紹，綠盟科技已經和業內領先的云計算服務提供商一起踏上了實際部署的征程。

在對抗安全漏洞上，SDN提供了新的可能性，然而SDN也可能擴展安全漏洞、誤配置、侵犯隱私和其他事變的危險。那SDN/NFV改變了網絡的哪些東西？安全漏洞通常會出現在什么地方？如何進行有效地防護？……針對一系列安全問題，啟明星辰公司首席戰略官潘柱廷進行了詳細分析，并揭示抗DDoS聯盟和XCert的本質。他認為水滴之所以能凝集變成云，是源于結構。有結構就有其匹配的操作，有所謂好操作和壞操作。對抗是結構之間操作的對抗，也是結構本身的對抗。

在山石網科副總裁蔣東毅看來，NFV與SDN的結合，以及虛擬化技術的發展，使不同租戶、不同應用對象的物理邊界模糊甚至消失，這對網絡、應用及數據安全提出了全新挑戰：一方面傳統硬件設備為主的網絡安全功能需要與以虛擬化SDN為主的云架構集成；另一方面，與傳統筒倉模式相比，云安全更需要解決東西向流量為主、彈性部署、無物理邊界、虛機遷移、高可視化和集中管理等特有的需求?；谶@些挑戰，山石網科遵循NFV理念，與SDN等云網絡集成組成服務鏈，全力打造了全分布式彈性虛擬防火墻架構。

打造可信的云生態

云安全研究與實驗的孵化器CSA（云安全聯盟）是一個專家社區，專注于各種云安全的研究。自成立以來，云安全聯盟目前成員已經達到了33個，名單中覆蓋了國際知名的電信運營商、IT網絡設備提供商、網絡安全商和云計算提供商，其成立的目的就是在云環境下提供安全的解決方案。CSA CEO Jim Reavis就未來云計算安全發展趨勢談到，云應用發展障礙不僅是安全問題，還有信任問題。如何創建可信任的基于云生態系統， 需要各行業領先者及其合作伙伴共同努力，建立基于可靠技術、通用標準和最佳實踐的身份信任解決方案。

目前BSI (英國標準協會)已經與云安全聯盟聯手推出STAR認證，致力于幫助企業在日趨激烈的云服務市場競爭中脫穎而出。 STAR認證是信息安全管理體系認證（ISO/IEC 27001）的增強版本，旨在應對與云安全相關的特定問題。2013年9月26日，兩機構正式宣布推出STAR認證項目，BSI成為目前全球唯一可以進行STAR認證的第三方認證機構。該項目采用中立性認證技術對云服務供應商安全性開展縝密的第三方獨立評估，并充分運用ISO等管理體系標準以及CSA云控制矩陣，幫助企業滿足對安全性有特定要求的客戶需求。

值得注意的是，中國專業安全公司綠盟科技成為中國、乃至亞太地區第一個企業成員。相信在不遠的將來，企業成員中還會出現越來越多的中國知名和新興企業機構的身影。目前中國版的C-STAR的認證包括對基礎設施、虛擬化安全、移動安全等16個方面進行安全評估。該認證評估體系汲取了CSA的經驗，并得到阿里、華為等企業的支持使其趨于完善，并得到了CSA的認可。

C-STAR評估的適用對象包括云服務提供商和用戶。從云服務提供商的角度來講，可以根據云計算行業最佳安全實踐，對云服務進行安全評估，識別安全問題，控制安全風險、提升安全水平、增強用戶信心；從用戶的角度來講，在采購云服務之前或使用云服務過程中，希望對提供商安全進行評估，以反映其安全控制情況與自身需求的差距。

作為云生態的管理部門態度也十分明確。工信部等有關部門也針對云計算的可信性和安全性進行了新一輪的認證。今年7月份，首批可信云服務的認證名單發布，包括了云主機服務、對象存儲服務、云數據庫服務、云引擎服務、塊存儲服務五大類。據了解，共有33家云服務商的54個云服務咨詢或參評可信云服務認證，其中19家云服務商共33項云服務通過了該次認證，為建立可信的云計算生態系統奠定了基礎。

工信部總工程師張峰表示，建立可信云服務評估機制，是推動我國云計算健康、安全、有效發展的重要途徑。據了解，工信部牌照申請重啟的實施方案有針對性地對IDC/ISP申請企業在多方面提出具體要求，IDC服務市場準入門檻有了進一步的界定；此外，工信部還將以電信主管部門的身份，引導和建立IDC和ISP企業信譽評價和機房星級評定管理機制。