對客戶而言，云時代帶來安全挑戰(zhàn)的同時，在安全方面也帶來很多優(yōu)勢。大的云服務(wù)商都有很強(qiáng)的安全團(tuán)隊(duì)，有能力構(gòu)筑基于深層防御的云安全解決方案，可更好地應(yīng)對安全威脅；也有強(qiáng)大的應(yīng)急響應(yīng)能力，可提供更好的安全保障能力；同時，云服務(wù)商通常也會將自己保護(hù)云基礎(chǔ)設(shè)施的安全能力延伸到其客戶，提供豐富的安全服務(wù)，讓客戶按需選用，比如云服務(wù)商提供的漏洞掃描、安全配置檢查和補(bǔ)丁服務(wù)等；另外，也會將業(yè)界最好的第三方安全產(chǎn)品集成進(jìn)來提供安全服務(wù)，方便客戶選用，比如WAF、DLP和殺毒等產(chǎn)品。由于安全人才稀缺，薪酬也比較高，大多數(shù)客戶并沒有配備經(jīng)驗(yàn)豐富的安全團(tuán)隊(duì)，將業(yè)務(wù)遷移到云端以后，由于云服務(wù)商提供了安全解決方案部署的便利性、更強(qiáng)的安全技術(shù)和人才保障，其實(shí)更安全。

　　2016年9月22日，雅虎公司承認(rèn)兩年前其5億用戶的信息被黑客盜竊，該消息導(dǎo)致Verizon可能會放棄對其48億美元的收購計(jì)劃；此前，已經(jīng)發(fā)生過MySpace的3.6億郵件泄露、LinkedIn的1.67億用戶信息泄露，以及EBay的1.45億用戶信息泄露等類似事件。

　　部分企業(yè)CIO認(rèn)為，遷移到云服務(wù)將使保存在云端的數(shù)據(jù)更容易受到黑客的攻擊。數(shù)據(jù)泄露和其他攻擊經(jīng)常與身份驗(yàn)證不嚴(yán)格、弱密碼橫行以及密鑰或憑證管理松散有關(guān)。

　　正因?yàn)閿?shù)據(jù)安全如此重要，因此最近幾年，業(yè)界很關(guān)注“以數(shù)據(jù)安全為中心”進(jìn)行風(fēng)險分析和安全架構(gòu)設(shè)計(jì)。數(shù)據(jù)的安全防護(hù)是重中之重。

　　企業(yè)客戶希望能夠獨(dú)立驗(yàn)證其數(shù)據(jù)是如何存儲、訪問和加密的，以消除其對于數(shù)據(jù)安全性的擔(dān)心。另外，斯諾登事件后，很多企業(yè)擔(dān)心政府會通過合法或者非法的手段查看其數(shù)據(jù)，同時也擔(dān)心企業(yè)的數(shù)據(jù)會被云管理員等查看。另外，數(shù)據(jù)存儲在云端后，租戶無法確定其具體的存儲位置，擔(dān)心數(shù)據(jù)被人轉(zhuǎn)移；也擔(dān)心數(shù)據(jù)刪除時，云端物理存儲設(shè)備是否真正徹底地進(jìn)行了同步刪除。華為的公有云非常重視用戶隱私保護(hù)，絕對不允許觸碰租戶數(shù)據(jù)。華為在國外開展公有云業(yè)務(wù)，通常是交給合作伙伴去運(yùn)營。比如德國電信公有云，是由德國電信這樣在當(dāng)?shù)叵碛行抛u(yù)的電信公司來負(fù)責(zé)，更容易贏得客戶的信賴。

　　API和界面通常都可以從公網(wǎng)訪問，也就成為了系統(tǒng)對外暴露的部分，成為攻擊風(fēng)險最大的部分。

　　對于公有云，租戶和互聯(lián)網(wǎng)用戶能直接訪問到這些服務(wù)，比如用戶要登錄Web頁面訂購云服務(wù)，這些Web服務(wù)是面向所有互聯(lián)網(wǎng)用戶的，其風(fēng)險比較大。另外，租戶本身也可能是攻擊者，故意訂購一些云業(yè)務(wù)，其實(shí)是測試其中的漏洞，然后利用租戶身份發(fā)動攻擊。PaaS服務(wù)主要以API為服務(wù)的載體，API的設(shè)計(jì)和使用不當(dāng)容易引入風(fēng)險。

　　公有云是眾多租戶共享的一個大系統(tǒng)。云服務(wù)共享基礎(chǔ)設(shè)施、平臺和應(yīng)用，一旦其中任何一個出現(xiàn)嚴(yán)重漏洞，則每個人都可能會受到影響。

　　比如，最近幾年，虛擬化平臺出現(xiàn)多個嚴(yán)重漏洞，可以導(dǎo)致虛擬機(jī)逃逸�？蛻舯容^常見的問題之一就是如何解決虛擬機(jī)逃逸問題？

　　DDoS攻擊是云服務(wù)面臨的最常見的攻擊，影響到可用性，使網(wǎng)絡(luò)帶寬被大量占用甚至擠滿，造成業(yè)務(wù)癱瘓系統(tǒng)；或者響應(yīng)會被拖慢，消耗大量處理能力。

　　DDoS攻擊在數(shù)據(jù)中心中非常頻繁，消耗了管理員大量運(yùn)維時間。國內(nèi)攻擊流量達(dá)到數(shù)百Gbps已不少見，當(dāng)攻擊流量帶寬超過云服務(wù)商的數(shù)據(jù)中心入口帶寬時，要依賴和運(yùn)營商等合作。華為在抗DDoS產(chǎn)品上有十多年研發(fā)經(jīng)驗(yàn)，產(chǎn)品在國內(nèi)外運(yùn)營商網(wǎng)絡(luò)、數(shù)據(jù)中心均有廣泛部署，具有業(yè)界領(lǐng)先優(yōu)勢；并發(fā)起“云清聯(lián)盟”， 通過全球運(yùn)營商、MSSP、IDC合作，構(gòu)成一個云端的“DDoS防御生態(tài)系統(tǒng)”， 實(shí)現(xiàn)“近源清洗”，更好的解決DDoS攻擊問題。

　　內(nèi)部人員威脅擁有很多張面具：現(xiàn)員工或前雇員、系統(tǒng)管理員、承包商和商業(yè)合作伙伴等，惡意行為可以從單純的數(shù)據(jù)偷盜到報復(fù)公司。

　　這是公有云非常不同于傳統(tǒng)網(wǎng)絡(luò)的地方，公有云管理員管理的租戶數(shù)據(jù)并不屬于云服務(wù)商。公有云設(shè)計(jì)的重要前提就是要防止內(nèi)部人員“作惡”，因此對傳統(tǒng)管理員的內(nèi)部調(diào)試和定位問題的能力都要進(jìn)行限制。好的公有云設(shè)計(jì)要能夠做到除非得到客戶授權(quán)，否則無法進(jìn)入客戶系統(tǒng)窺探數(shù)據(jù)。

　　租戶本身的安全意識薄弱，則租戶自己的虛擬機(jī)就有可能被入侵，并被用于支持違法活動；當(dāng)然，也可能是租戶自身的惡意企圖。

　　作為云服務(wù)商，也要具備對租戶虛擬機(jī)“作惡”行為的監(jiān)控能力。當(dāng)然，這種監(jiān)控不能超越必要權(quán)限，比如獲取租戶的隱私信息就不允許。另外，國內(nèi)的公有云出口國家都會強(qiáng)制部署信安系統(tǒng)進(jìn)行檢測，對反動、黃賭毒等內(nèi)容進(jìn)行識別。

　　在國外，許多上市公司、政府機(jī)構(gòu)和醫(yī)院等客戶面臨很多法律法規(guī)的合規(guī)要求，IT設(shè)施和運(yùn)維必須要滿足這些要求。對于把業(yè)務(wù)遷移到云業(yè)務(wù)后是否滿足合規(guī)要求，客戶是有顧慮的。國內(nèi)對一些行業(yè)也有等級保護(hù)等各種要求。業(yè)界有眾多公司提供合規(guī)方面的認(rèn)證和咨詢服務(wù)，可以幫助客戶減少這方面的擔(dān)心。

　　為了應(yīng)對上述安全風(fēng)險，解決用戶信任問題，云服務(wù)商要綜合技術(shù)、合規(guī)運(yùn)營、信息透明和宣傳等多種手段。做好云的安全防御工作，要以黑客的視角看問題——“不知攻，焉知防”。漏洞無處不在，攻擊技術(shù)不斷演變，靠單一的手段防御很難奏效，需要綜合的解決思路來構(gòu)建深層防御體系。

　　推行SDL，以數(shù)據(jù)安全防護(hù)為核心，在設(shè)計(jì)中構(gòu)筑安全質(zhì)量，從源頭提升安全質(zhì)量：推行SDL（Secure Development Lifecycle）安全研發(fā)流程很重要，很多人理解不了SDL的重要性。實(shí)際上業(yè)界主要的大軟件公司都將此作為重要基礎(chǔ)手段。沒有SDL的推行，開發(fā)出的產(chǎn)品會漏洞百出�；�礎(chǔ)軟件安全質(zhì)量差，靠其他防御手段很難彌補(bǔ)。比如，這些年緩沖區(qū)溢出造成的高危漏洞居高不下，這與沒有推行SDL或者推行SDL落地不到位有很大關(guān)系。前面提到的界面和API的風(fēng)險，就需要依賴良好的安全設(shè)計(jì)和編程才能有效減少漏洞。

　　2016年10月21日，美國很多城市出現(xiàn)網(wǎng)絡(luò)癱瘓，起因是大量IoT設(shè)備的漏洞被利用，造成DDoS攻擊所致。根本原因就在于眾多研發(fā)IoT設(shè)備的小公司沒有安全研發(fā)流程，造成很多低級漏洞。比如，一些IoT設(shè)備上存在硬編碼的默認(rèn)賬號，還沒法修改密碼，必須要升級固件才能解決，這是非常低級的設(shè)計(jì)錯誤。華為公司嚴(yán)格推行SDL流程落地，這對于安全質(zhì)量的提升提供了重大保障。

　　從設(shè)計(jì)上講，強(qiáng)調(diào)以數(shù)據(jù)安全為核心來端到端設(shè)計(jì)安全架構(gòu)，涉及到密鑰的分發(fā)和管理、身份認(rèn)證、管理員賬戶的管理、數(shù)據(jù)加密和安全域隔離等各個環(huán)節(jié)。任何環(huán)節(jié)疏漏均可能造成數(shù)據(jù)泄露。華為為了增強(qiáng)對租戶隱私數(shù)據(jù)的保護(hù)，還采用了加密態(tài)搜索技術(shù)，確保管理員也無法獲取。

　　對于云這樣的大型系統(tǒng)來說，開發(fā)系統(tǒng)上要盡量歸一，才能減少漏洞引入和對專家的依賴。比如開發(fā)語言、操作系統(tǒng)、Web框架、API框架和虛擬化平臺等要盡量歸一。對于云產(chǎn)品，一般開發(fā)都采用了DevOps研發(fā)模式，為滿足快速交付，研發(fā)要增強(qiáng)安全自動化測試能力。

　　建立深層防御，防止單點(diǎn)突破，提升黑客攻擊難度：無論是單產(chǎn)品還是解決方案，架構(gòu)上都要設(shè)立多層次的防御系統(tǒng)，提升黑客攻擊的難度。比如，對于主機(jī)防護(hù)可以通過SELinux對操作系統(tǒng)進(jìn)行加固；打開DEP和ASLR等提升漏洞利用的難度；運(yùn)用可信計(jì)算技術(shù)防止代碼被篡改；關(guān)鍵數(shù)據(jù)進(jìn)行加密讓黑客拿到數(shù)據(jù)也難以破解等等；解決DDoS問題也要建立層次化防御，比如，與運(yùn)營商在骨干網(wǎng)進(jìn)行合作，防止入口帶寬打滿；在數(shù)據(jù)中心內(nèi)部也要建立抗DDoS清洗系統(tǒng)。深層防御已經(jīng)成為業(yè)界公認(rèn)的安全架構(gòu)設(shè)計(jì)的一個基本原則。當(dāng)然在安全設(shè)計(jì)上還有最小權(quán)限等業(yè)界公認(rèn)的8大安全設(shè)計(jì)原則，但是把軍事上的縱深防御思想引入到安全架構(gòu)設(shè)計(jì)原則是一個重大進(jìn)步。

　　建立“隔離艙”，避免影響整體安全或者避免關(guān)鍵域被攻擊：隔離涉及到網(wǎng)絡(luò)層面的隔離和軟件層面的隔離。其中的網(wǎng)絡(luò)隔離，比如劃分安全域，做好安全域隔離。網(wǎng)絡(luò)隔離的設(shè)計(jì)是安全方案最基礎(chǔ)的工作，具體做到什么程度還要兼顧成本和管理等多方面進(jìn)行考慮，但是安全等級不一樣的域和業(yè)務(wù)差別較大的域最好還是隔離開。比如，要把用戶訪問界面與運(yùn)營和認(rèn)證系統(tǒng)做好隔離；而提供給用戶的API必要時也需要通過代理（Proxy），并做好權(quán)限控制，以實(shí)現(xiàn)隔離。

　　軟件層面的隔離，比如應(yīng)用程序運(yùn)行在容器中，可以在應(yīng)用程序與其他系統(tǒng)之間建立一定的隔離墻，以減少彼此影響。比如，應(yīng)用程序不要以Root權(quán)限運(yùn)行，分配權(quán)限應(yīng)盡可能的小，盡可能實(shí)現(xiàn)與操作系統(tǒng)的隔離；隔離，也可以結(jié)合最新的硬件技術(shù)，比如，運(yùn)用Intel芯片的SGX技術(shù)將要保護(hù)的軟件和數(shù)據(jù)位于Enclave中，這樣即便操作系統(tǒng)或者Hypervisor被滲透，也無法影響Enclave中的代碼和數(shù)據(jù)。

　　假定系統(tǒng)已經(jīng)被入侵，關(guān)鍵點(diǎn)全面部署威脅感知系統(tǒng)：無法攻破的大型系統(tǒng)是不存在的，這已經(jīng)被無數(shù)案例證明。只能假定系統(tǒng)肯定會被入侵，那么我們的防御思路就會有徹底改變。

　　首先，我們要假定任何關(guān)鍵區(qū)域都有可能被突破，那么就不能出現(xiàn)監(jiān)控盲點(diǎn)。要對基礎(chǔ)設(shè)施、平臺和應(yīng)用全面實(shí)施安全監(jiān)控，消除監(jiān)控盲點(diǎn)。比如服務(wù)器可以考慮部署AGENT，輸出配置、進(jìn)程和訪問日志等信息，對這些信息進(jìn)行系統(tǒng)分析可以有效發(fā)現(xiàn)入侵，這也是防止內(nèi)部作惡的有效審計(jì)手段，同時也可以監(jiān)控云服務(wù)是否被濫用。但對于涉及到VM以上的租戶系統(tǒng)，要取得租戶許可，租戶可以根據(jù)需要選用。

　　前面談到虛擬機(jī)逃逸問題，業(yè)界主要就要靠監(jiān)控手段，比如在Hypervisor或更底層設(shè)置監(jiān)控。如果沒有這些監(jiān)控，則一旦突破之后就可能造成嚴(yán)重危害。這就好比我們在房子關(guān)鍵位置都設(shè)置了攝像頭和紅外傳感器，入侵者通常很難逃避這兩種傳感器，除非傳感器被破壞了。但是我們設(shè)置這些監(jiān)控，當(dāng)然不會把監(jiān)控技術(shù)公開，以免被入侵者找到規(guī)避的方法。

　　在假定系統(tǒng)肯定被入侵的基礎(chǔ)上，則系統(tǒng)的安全設(shè)計(jì)要全面增強(qiáng)。比如，對于機(jī)密數(shù)據(jù)，我們要假定操作系統(tǒng)已經(jīng)被入侵了，此時如何防范？首先就要對重要數(shù)據(jù)進(jìn)行加密，密鑰不能存儲在本地，讓入侵者拿到數(shù)據(jù)也沒法破解；其次，原來傳統(tǒng)認(rèn)為只有管理員才可能接觸到的區(qū)域，也要進(jìn)行深度防范，對于內(nèi)部機(jī)-機(jī)之間的通信也要認(rèn)證和加密。

　　云安全解決方案上還要應(yīng)用欺騙技術(shù)（Deception）。Gartner將欺騙技術(shù)列為2016年的10大信息安全技術(shù)之一。這個屬于威脅感知中很重要的主動防御技術(shù)之一，在云系統(tǒng)中很重要。偽裝的越真實(shí)，越能吸引攻擊者現(xiàn)身或者延緩對真實(shí)目標(biāo)的攻擊時間。傳統(tǒng)的蜜罐屬于這類技術(shù)，但蜜罐技術(shù)手段比較單一，容易被攻擊者識破。欺騙技術(shù)的發(fā)展方向?qū)⒏鼜?qiáng)調(diào)以各種綜合手段達(dá)到以假亂真的目的。

　　部署機(jī)器學(xué)習(xí)和大數(shù)據(jù)安全分析系統(tǒng)，實(shí)現(xiàn)安全智能化：云系統(tǒng)每天產(chǎn)生的安全日志數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超出人工能分析的范圍，運(yùn)維人員很難知道哪些是真正有威脅的攻擊，應(yīng)用機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析系統(tǒng)已經(jīng)必不可少。華為已經(jīng)在國內(nèi)的公有云中部署了大數(shù)據(jù)分析平臺來輔助安全運(yùn)維，該系統(tǒng)可以輔助人工決策，提高安全分析能力，是新一代智能SOC（Security Operation Center）的核心技術(shù)。另外，業(yè)界也強(qiáng)調(diào)SOC系統(tǒng)要和威脅情報結(jié)合到一起，威脅情報的核心是要做到“知己知彼”，不能被動防御，而要主動分析和了解攻擊者的最新攻擊態(tài)勢、攻擊方法、攻擊工具以及位置和身份等。云服務(wù)商要自己積累這方面能力，也需要與業(yè)界合作，獲取最新信息。機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析是建立威脅情報的一個重要手段。

　　安全運(yùn)維要實(shí)現(xiàn)安全的自動化和可視化：云規(guī)模龐大，但卻只有為數(shù)不多的安全運(yùn)維人員，必須盡可能實(shí)現(xiàn)安全運(yùn)維的自動化和可視化，能自動化的就不要靠手工。另外，這對云安全運(yùn)維人員提出了比較高的技能要求。新一代的安全運(yùn)維人員一般要求有比較熟練的編程能力，隨時可以根據(jù)需要編一些腳本或者開發(fā)一些工具，來滿足自動化需要。

　　（1）全面監(jiān)控整網(wǎng)的安全狀態(tài)，實(shí)現(xiàn)安全的可視化。比如對整網(wǎng)的各個部件的應(yīng)用軟件、操作系統(tǒng)版本和補(bǔ)丁狀況要一目了然，一旦爆出漏洞，監(jiān)控系統(tǒng)就能通報哪些設(shè)備需要打補(bǔ)丁，并自動生成工單，推動補(bǔ)丁的快速修補(bǔ)。事實(shí)上，業(yè)界絕大部分入侵并非0DAY漏洞造成，而是已知漏洞未及時打補(bǔ)丁造成的。

　　（2）引入在線的安全自動測試方法，比如實(shí)時探測系統(tǒng)漏洞、探測弱密碼賬號和錯誤配置導(dǎo)致的安全隱患等等，搶在黑客之前發(fā)現(xiàn)風(fēng)險。公有云每天會受到無數(shù)黑客工具的掃描，只要不是深層次漏洞，很快就會被黑客發(fā)現(xiàn)，對此不能存在僥幸心理。作為自動測試工具，要快速跟進(jìn)黑客的工具，因?yàn)楹诳偷墓ぞ吣芰Ω�新速度常常超出你的想象�?/div>