對客戶而言，云時代帶來安全挑戰(zhàn)的同時，在安全方面也帶來很多優(yōu)勢。大的云服務商都有很強的安全團隊，有能力構筑基于深層防御的云安全解決方案，可更好地應對安全威脅；也有強大的應急響應能力，可提供更好的安全保障能力；同時，云服務商通常也會將自己保護云基礎設施的安全能力延伸到其客戶，提供豐富的安全服務，讓客戶按需選用，比如云服務商提供的漏洞掃描、安全配置檢查和補丁服務等；另外，也會將業(yè)界最好的第三方安全產品集成進來提供安全服務，方便客戶選用，比如WAF、DLP和殺毒等產品。由于安全人才稀缺，薪酬也比較高，大多數(shù)客戶并沒有配備經驗豐富的安全團隊，將業(yè)務遷移到云端以后，由于云服務商提供了安全解決方案部署的便利性、更強的安全技術和人才保障，其實更安全。

　　2016年9月22日，雅虎公司承認兩年前其5億用戶的信息被黑客盜竊，該消息導致Verizon可能會放棄對其48億美元的收購計劃；此前，已經發(fā)生過MySpace的3.6億郵件泄露、LinkedIn的1.67億用戶信息泄露，以及EBay的1.45億用戶信息泄露等類似事件。

　　部分企業(yè)CIO認為，遷移到云服務將使保存在云端的數(shù)據(jù)更容易受到黑客的攻擊。數(shù)據(jù)泄露和其他攻擊經常與身份驗證不嚴格、弱密碼橫行以及密鑰或憑證管理松散有關。

　　正因為數(shù)據(jù)安全如此重要，因此最近幾年，業(yè)界很關注“以數(shù)據(jù)安全為中心”進行風險分析和安全架構設計。數(shù)據(jù)的安全防護是重中之重。

　　企業(yè)客戶希望能夠獨立驗證其數(shù)據(jù)是如何存儲、訪問和加密的，以消除其對于數(shù)據(jù)安全性的擔心。另外，斯諾登事件后，很多企業(yè)擔心政府會通過合法或者非法的手段查看其數(shù)據(jù)，同時也擔心企業(yè)的數(shù)據(jù)會被云管理員等查看。另外，數(shù)據(jù)存儲在云端后，租戶無法確定其具體的存儲位置，擔心數(shù)據(jù)被人轉移；也擔心數(shù)據(jù)刪除時，云端物理存儲設備是否真正徹底地進行了同步刪除。華為的公有云非常重視用戶隱私保護，絕對不允許觸碰租戶數(shù)據(jù)。華為在國外開展公有云業(yè)務，通常是交給合作伙伴去運營。比如德國電信公有云，是由德國電信這樣在當?shù)叵碛行抛u的電信公司來負責，更容易贏得客戶的信賴。

　　API和界面通常都可以從公網訪問，也就成為了系統(tǒng)對外暴露的部分，成為攻擊風險最大的部分。

　　對于公有云，租戶和互聯(lián)網用戶能直接訪問到這些服務，比如用戶要登錄Web頁面訂購云服務，這些Web服務是面向所有互聯(lián)網用戶的，其風險比較大。另外，租戶本身也可能是攻擊者，故意訂購一些云業(yè)務，其實是測試其中的漏洞，然后利用租戶身份發(fā)動攻擊。PaaS服務主要以API為服務的載體，API的設計和使用不當容易引入風險。

　　公有云是眾多租戶共享的一個大系統(tǒng)。云服務共享基礎設施、平臺和應用，一旦其中任何一個出現(xiàn)嚴重漏洞，則每個人都可能會受到影響。

　　比如，最近幾年，虛擬化平臺出現(xiàn)多個嚴重漏洞，可以導致虛擬機逃逸�？蛻舯容^常見的問題之一就是如何解決虛擬機逃逸問題？

　　DDoS攻擊是云服務面臨的最常見的攻擊，影響到可用性，使網絡帶寬被大量占用甚至擠滿，造成業(yè)務癱瘓系統(tǒng)；或者響應會被拖慢，消耗大量處理能力。

　　DDoS攻擊在數(shù)據(jù)中心中非常頻繁，消耗了管理員大量運維時間。國內攻擊流量達到數(shù)百Gbps已不少見，當攻擊流量帶寬超過云服務商的數(shù)據(jù)中心入口帶寬時，要依賴和運營商等合作。華為在抗DDoS產品上有十多年研發(fā)經驗，產品在國內外運營商網絡、數(shù)據(jù)中心均有廣泛部署，具有業(yè)界領先優(yōu)勢；并發(fā)起“云清聯(lián)盟”， 通過全球運營商、MSSP、IDC合作，構成一個云端的“DDoS防御生態(tài)系統(tǒng)”， 實現(xiàn)“近源清洗”，更好的解決DDoS攻擊問題。

　　內部人員威脅擁有很多張面具：現(xiàn)員工或前雇員、系統(tǒng)管理員、承包商和商業(yè)合作伙伴等，惡意行為可以從單純的數(shù)據(jù)偷盜到報復公司。

　　這是公有云非常不同于傳統(tǒng)網絡的地方，公有云管理員管理的租戶數(shù)據(jù)并不屬于云服務商。公有云設計的重要前提就是要防止內部人員“作惡”，因此對傳統(tǒng)管理員的內部調試和定位問題的能力都要進行限制。好的公有云設計要能夠做到除非得到客戶授權，否則無法進入客戶系統(tǒng)窺探數(shù)據(jù)。

　　租戶本身的安全意識薄弱，則租戶自己的虛擬機就有可能被入侵，并被用于支持違法活動；當然，也可能是租戶自身的惡意企圖。

　　作為云服務商，也要具備對租戶虛擬機“作惡”行為的監(jiān)控能力。當然，這種監(jiān)控不能超越必要權限，比如獲取租戶的隱私信息就不允許。另外，國內的公有云出口國家都會強制部署信安系統(tǒng)進行檢測，對反動、黃賭毒等內容進行識別。

　　在國外，許多上市公司、政府機構和醫(yī)院等客戶面臨很多法律法規(guī)的合規(guī)要求，IT設施和運維必須要滿足這些要求。對于把業(yè)務遷移到云業(yè)務后是否滿足合規(guī)要求，客戶是有顧慮的。國內對一些行業(yè)也有等級保護等各種要求。業(yè)界有眾多公司提供合規(guī)方面的認證和咨詢服務，可以幫助客戶減少這方面的擔心。

　　為了應對上述安全風險，解決用戶信任問題，云服務商要綜合技術、合規(guī)運營、信息透明和宣傳等多種手段。做好云的安全防御工作，要以黑客的視角看問題——“不知攻，焉知防”。漏洞無處不在，攻擊技術不斷演變，靠單一的手段防御很難奏效，需要綜合的解決思路來構建深層防御體系。

　　推行SDL，以數(shù)據(jù)安全防護為核心，在設計中構筑安全質量，從源頭提升安全質量：推行SDL（Secure Development Lifecycle）安全研發(fā)流程很重要，很多人理解不了SDL的重要性。實際上業(yè)界主要的大軟件公司都將此作為重要基礎手段。沒有SDL的推行，開發(fā)出的產品會漏洞百出�；�礎軟件安全質量差，靠其他防御手段很難彌補。比如，這些年緩沖區(qū)溢出造成的高危漏洞居高不下，這與沒有推行SDL或者推行SDL落地不到位有很大關系。前面提到的界面和API的風險，就需要依賴良好的安全設計和編程才能有效減少漏洞。

　　2016年10月21日，美國很多城市出現(xiàn)網絡癱瘓，起因是大量IoT設備的漏洞被利用，造成DDoS攻擊所致。根本原因就在于眾多研發(fā)IoT設備的小公司沒有安全研發(fā)流程，造成很多低級漏洞。比如，一些IoT設備上存在硬編碼的默認賬號，還沒法修改密碼，必須要升級固件才能解決，這是非常低級的設計錯誤。華為公司嚴格推行SDL流程落地，這對于安全質量的提升提供了重大保障。

　　從設計上講，強調以數(shù)據(jù)安全為核心來端到端設計安全架構，涉及到密鑰的分發(fā)和管理、身份認證、管理員賬戶的管理、數(shù)據(jù)加密和安全域隔離等各個環(huán)節(jié)。任何環(huán)節(jié)疏漏均可能造成數(shù)據(jù)泄露。華為為了增強對租戶隱私數(shù)據(jù)的保護，還采用了加密態(tài)搜索技術，確保管理員也無法獲取。

　　對于云這樣的大型系統(tǒng)來說，開發(fā)系統(tǒng)上要盡量歸一，才能減少漏洞引入和對專家的依賴。比如開發(fā)語言、操作系統(tǒng)、Web框架、API框架和虛擬化平臺等要盡量歸一。對于云產品，一般開發(fā)都采用了DevOps研發(fā)模式，為滿足快速交付，研發(fā)要增強安全自動化測試能力。

　　建立深層防御，防止單點突破，提升黑客攻擊難度：無論是單產品還是解決方案，架構上都要設立多層次的防御系統(tǒng)，提升黑客攻擊的難度。比如，對于主機防護可以通過SELinux對操作系統(tǒng)進行加固；打開DEP和ASLR等提升漏洞利用的難度；運用可信計算技術防止代碼被篡改；關鍵數(shù)據(jù)進行加密讓黑客拿到數(shù)據(jù)也難以破解等等；解決DDoS問題也要建立層次化防御，比如，與運營商在骨干網進行合作，防止入口帶寬打滿；在數(shù)據(jù)中心內部也要建立抗DDoS清洗系統(tǒng)。深層防御已經成為業(yè)界公認的安全架構設計的一個基本原則。當然在安全設計上還有最小權限等業(yè)界公認的8大安全設計原則，但是把軍事上的縱深防御思想引入到安全架構設計原則是一個重大進步。

　　建立“隔離艙”，避免影響整體安全或者避免關鍵域被攻擊：隔離涉及到網絡層面的隔離和軟件層面的隔離。其中的網絡隔離，比如劃分安全域，做好安全域隔離。網絡隔離的設計是安全方案最基礎的工作，具體做到什么程度還要兼顧成本和管理等多方面進行考慮，但是安全等級不一樣的域和業(yè)務差別較大的域最好還是隔離開。比如，要把用戶訪問界面與運營和認證系統(tǒng)做好隔離；而提供給用戶的API必要時也需要通過代理（Proxy），并做好權限控制，以實現(xiàn)隔離。

　　軟件層面的隔離，比如應用程序運行在容器中，可以在應用程序與其他系統(tǒng)之間建立一定的隔離墻，以減少彼此影響。比如，應用程序不要以Root權限運行，分配權限應盡可能的小，盡可能實現(xiàn)與操作系統(tǒng)的隔離；隔離，也可以結合最新的硬件技術，比如，運用Intel芯片的SGX技術將要保護的軟件和數(shù)據(jù)位于Enclave中，這樣即便操作系統(tǒng)或者Hypervisor被滲透，也無法影響Enclave中的代碼和數(shù)據(jù)。

　　假定系統(tǒng)已經被入侵，關鍵點全面部署威脅感知系統(tǒng)：無法攻破的大型系統(tǒng)是不存在的，這已經被無數(shù)案例證明。只能假定系統(tǒng)肯定會被入侵，那么我們的防御思路就會有徹底改變。

　　首先，我們要假定任何關鍵區(qū)域都有可能被突破，那么就不能出現(xiàn)監(jiān)控盲點。要對基礎設施、平臺和應用全面實施安全監(jiān)控，消除監(jiān)控盲點。比如服務器可以考慮部署AGENT，輸出配置、進程和訪問日志等信息，對這些信息進行系統(tǒng)分析可以有效發(fā)現(xiàn)入侵，這也是防止內部作惡的有效審計手段，同時也可以監(jiān)控云服務是否被濫用。但對于涉及到VM以上的租戶系統(tǒng)，要取得租戶許可，租戶可以根據(jù)需要選用。

　　前面談到虛擬機逃逸問題，業(yè)界主要就要靠監(jiān)控手段，比如在Hypervisor或更底層設置監(jiān)控。如果沒有這些監(jiān)控，則一旦突破之后就可能造成嚴重危害。這就好比我們在房子關鍵位置都設置了攝像頭和紅外傳感器，入侵者通常很難逃避這兩種傳感器，除非傳感器被破壞了。但是我們設置這些監(jiān)控，當然不會把監(jiān)控技術公開，以免被入侵者找到規(guī)避的方法。

　　在假定系統(tǒng)肯定被入侵的基礎上，則系統(tǒng)的安全設計要全面增強。比如，對于機密數(shù)據(jù)，我們要假定操作系統(tǒng)已經被入侵了，此時如何防范？首先就要對重要數(shù)據(jù)進行加密，密鑰不能存儲在本地，讓入侵者拿到數(shù)據(jù)也沒法破解；其次，原來傳統(tǒng)認為只有管理員才可能接觸到的區(qū)域，也要進行深度防范，對于內部機-機之間的通信也要認證和加密。

　　云安全解決方案上還要應用欺騙技術（Deception）。Gartner將欺騙技術列為2016年的10大信息安全技術之一。這個屬于威脅感知中很重要的主動防御技術之一，在云系統(tǒng)中很重要。偽裝的越真實，越能吸引攻擊者現(xiàn)身或者延緩對真實目標的攻擊時間。傳統(tǒng)的蜜罐屬于這類技術，但蜜罐技術手段比較單一，容易被攻擊者識破。欺騙技術的發(fā)展方向將更強調以各種綜合手段達到以假亂真的目的。

　　部署機器學習和大數(shù)據(jù)安全分析系統(tǒng)，實現(xiàn)安全智能化：云系統(tǒng)每天產生的安全日志數(shù)量已經遠遠超出人工能分析的范圍，運維人員很難知道哪些是真正有威脅的攻擊，應用機器學習和大數(shù)據(jù)分析系統(tǒng)已經必不可少。華為已經在國內的公有云中部署了大數(shù)據(jù)分析平臺來輔助安全運維，該系統(tǒng)可以輔助人工決策，提高安全分析能力，是新一代智能SOC（Security Operation Center）的核心技術。另外，業(yè)界也強調SOC系統(tǒng)要和威脅情報結合到一起，威脅情報的核心是要做到“知己知彼”，不能被動防御，而要主動分析和了解攻擊者的最新攻擊態(tài)勢、攻擊方法、攻擊工具以及位置和身份等。云服務商要自己積累這方面能力，也需要與業(yè)界合作，獲取最新信息。機器學習和大數(shù)據(jù)分析是建立威脅情報的一個重要手段。

　　安全運維要實現(xiàn)安全的自動化和可視化：云規(guī)模龐大，但卻只有為數(shù)不多的安全運維人員，必須盡可能實現(xiàn)安全運維的自動化和可視化，能自動化的就不要靠手工。另外，這對云安全運維人員提出了比較高的技能要求。新一代的安全運維人員一般要求有比較熟練的編程能力，隨時可以根據(jù)需要編一些腳本或者開發(fā)一些工具，來滿足自動化需要。

　　（1）全面監(jiān)控整網的安全狀態(tài)，實現(xiàn)安全的可視化。比如對整網的各個部件的應用軟件、操作系統(tǒng)版本和補丁狀況要一目了然，一旦爆出漏洞，監(jiān)控系統(tǒng)就能通報哪些設備需要打補丁，并自動生成工單，推動補丁的快速修補。事實上，業(yè)界絕大部分入侵并非0DAY漏洞造成，而是已知漏洞未及時打補丁造成的。

　　（2）引入在線的安全自動測試方法，比如實時探測系統(tǒng)漏洞、探測弱密碼賬號和錯誤配置導致的安全隱患等等，搶在黑客之前發(fā)現(xiàn)風險。公有云每天會受到無數(shù)黑客工具的掃描，只要不是深層次漏洞，很快就會被黑客發(fā)現(xiàn)，對此不能存在僥幸心理。作為自動測試工具，要快速跟進黑客的工具，因為黑客的工具能力更新速度常常超出你的想象。

　　（3）實現(xiàn)安全策略監(jiān)控、自動分析、編排和下發(fā)。比如數(shù)量眾多的防火墻，修改安全策略就比較容易出錯，特別是隨著虛擬機動態(tài)遷移，安全策略也要實現(xiàn)動態(tài)遷移，最終實現(xiàn)安全策略的編排和自動下發(fā)、安全策略監(jiān)控和自動分析，也可以稱之為軟件定義安全。

　　采用自適應的安全架構：對于公有云的攻擊無時無刻不在，入侵和反入侵的工作是常態(tài)。為此業(yè)界提出了自適應安全架構，云時代的安全服務應該以“持續(xù)監(jiān)控和分析為核心”，覆蓋防御、檢測、響應和預測4個維度。此外，該架構還多出了“預測”，旨在加強“威脅情報”，更加主動地發(fā)現(xiàn)和應對風險，提前采取行動。

　　對于租戶系統(tǒng)的安全，提供安全方案支持：對于VM之上租戶系統(tǒng)的安全，原則上由租戶自己負責，但很多租戶缺乏安全能力。一方面，我們可以將應用在云平臺的安全方案能力開放出來，讓用戶可以自行選擇，比如用戶可以選擇安裝我們開發(fā)的主機AGENT，以增強主機入侵檢測能力；另外，也可以與業(yè)界安全廠商廣泛合作，比如把DLP和入侵檢測等安全產品引入到解決方案中來，做好解決方案的集成工作，以方便用戶選用。

　　強化漏洞管理能力，加快應急響應：公有云軟件體量龐大、業(yè)務快速迭代上線，而且還采用了不少開源軟件，這就需要采用有效措施來降低漏洞風險。

　　首先，應加強漏洞情報工作，同時也可以考慮實行漏洞獎勵計劃。與業(yè)界漏洞組織合作，確保開源漏洞爆發(fā)的第一時間通知到云服務商；構建安全生態(tài)，讓業(yè)界白帽子在第一時間把漏洞報過來。此外，對于主動上報云漏洞的可以給予獎勵。這本質是一種眾測模式，是一個雙贏的方法。

　　其次，應建設適應互聯(lián)網模式的快速應急響應能力。公有云應急響應的本質是與黑客賽跑，一旦爆出高危漏洞，常常需要24小時內解決問題，需要高水平的專家、工具、技術和必要的強制運維要求。公有云業(yè)務要有批量自動化打補丁的工具；要盡可能支持熱補丁技術；要支持業(yè)務熱遷移，通過熱遷移解決打冷補丁導致的業(yè)務中斷問題；在運維要求上，云中的OS要盡量歸一，用白名單來管理；要實現(xiàn)OS和上層業(yè)務的版本發(fā)布解耦，實現(xiàn)各自的補丁獨自發(fā)布。

　　合規(guī)運營是取信于人的基礎，也是防止“內鬼”的重要手段，既要有運營/運維的管理制度和執(zhí)行要求，也牽涉到云平臺的基礎技術要求。業(yè)界有很多相關的安全認證，通過這些認證，既能提升自己的合規(guī)運營能力，也能幫助客戶減少對合規(guī)和數(shù)據(jù)泄露的擔心。事實上，很多客戶的信任很大程度上會參考云服務通過了哪些權威認證。

　　華為作為全球領先的ICT解決方案供應商，不僅自身的產品和云服務獲得了多項國際和國內的安全認證，還協(xié)助全球合作伙伴獲取了多項云安全認證，包括ISO27001、CSA STAR和TUV Trusted Cloud等。

　　客戶使用云的最大問題是信任。云服務商需要提供云基礎設施的安全、隱私保護和合規(guī)等足夠信息，使客戶確信云服務商是值得信賴的。對于云服務商來說，解決問題應積極主動，比如可通過安全白皮書等形式將云安全相關信息傳遞出去；建立網站提供安全和隱私保護的相關信息，并及時公布客戶關心的安全問題的信息，做到透明可信；積極參與安全會議的宣講或者媒體宣傳等等。此外，盡可能地通過各種安全認證也有助于很好地建立客戶信任。

　　華為云安全解決方案由租戶安全、基礎設施安全和安全管理3部分組成。在租戶安全方面，華為提供開放的平臺，聯(lián)合合作伙伴一起為租戶提供豐富的安全服務；在基礎設施安全上，華為提供從網絡到應用再到數(shù)據(jù)的全棧式安全防護體系，實現(xiàn)基礎設施的縱深防護；在安全管理上，華為實現(xiàn)了安全的可視化，做到風險可呈現(xiàn)、策略可聯(lián)動和態(tài)勢可評估。

　　華為云安全解決方案不僅保護了華為企業(yè)云的安全，更為中國電信天翼云、德國電信Open Telekom Cloud和西班牙電信Telefonica Cloud的安全提供了堅實保障。

　　“與時俱進”是應對安全威脅的唯一方法。要及時跟進業(yè)界最新的攻防技術，比如，機器學習和大數(shù)據(jù)應用在安全上是非常有前途的技術，機器自動攻防也同樣值得關注。此外，業(yè)界還應該加強在威脅情報方面的合作，共同提高安全防御能力。