那么云計算究竟面臨著哪些安全挑戰(zhàn)？今天借此文，一起來探討下云安全問題以及如何去應(yīng)對。

　　針對這個問題，CSA云安全聯(lián)盟對行業(yè)專家進(jìn)行了一次調(diào)查，根據(jù)調(diào)查問卷結(jié)果從20個concerns中選出最嚴(yán)重的12個：

　　云安全面臨的威脅

　�。ò凑照{(diào)查結(jié)果的嚴(yán)重程度排序）

　　從這些威脅可以看到，除了第10點濫用和惡意使用云服務(wù)是云計算環(huán)境特有的安全威脅外，其余的都屬于通用安全威脅，比如拒絕服務(wù)、數(shù)據(jù)泄露等，無論是否在云環(huán)境都有存在的可能。因此，不妨把云上的安全威脅分為兩大類，云計算特有安全威脅，以及通用的安全威脅。

　　要了解云計算特有安全威脅，需要先了解云架構(gòu)。以一個典型的虛擬化架構(gòu)為例，底層由硬件層，網(wǎng)絡(luò)、存儲、計算資源組成，往上一層是宿主機(jī)和Hypervisor，再往上運行虛擬機(jī)。除去物理安全之外，虛擬化帶來的安全威脅包括：

　　hypervisor是CPU指令和物理硬件的中介，負(fù)責(zé)協(xié)調(diào)資源分配，一旦hypervisor被攻擊，就可以威脅所有頂層的虛擬機(jī)甚至是底層的物理機(jī)。

　　包括計算資源隔離、存儲資源隔離、網(wǎng)絡(luò)資源隔離等等。在網(wǎng)絡(luò)安全里一般只談網(wǎng)絡(luò)資源的隔離，在物理形態(tài)的時候，通過防火墻進(jìn)行訪問控制就可以對物理機(jī)進(jìn)行隔離。但在虛擬化數(shù)據(jù)中心里，虛擬機(jī)之間如何做到有效的隔離，尤其是在東西向流量遠(yuǎn)遠(yuǎn)超過南北向流量的時候，東西向流量的安全問題成為云安全的一大重點。

　　虛擬機(jī)被創(chuàng)建、遷移，需要相對應(yīng)的安全措施，虛擬機(jī)本身也是操作系統(tǒng)，也需要做到操作系統(tǒng)級的安全，否則可能會產(chǎn)生虛擬機(jī)逃逸等安全問題。

　　云本身承載著企業(yè)的數(shù)據(jù)及業(yè)務(wù)，因此用戶一般關(guān)注對數(shù)據(jù)和業(yè)務(wù)會造成比較大影響的威脅。尤其云數(shù)據(jù)中心數(shù)據(jù)、算力集中，諸如數(shù)據(jù)被勒索、數(shù)據(jù)丟失、數(shù)據(jù)泄露等數(shù)據(jù)安全威脅，成為了云上安全威脅的關(guān)注重點。

　　首先要確保云架構(gòu)是安全的，其次再通過技術(shù)手段來抵御通用的安全威脅。

　　那么，怎么確定云架構(gòu)是安全的呢？

　　首先，可以建立可信的基礎(chǔ)，通過一系列的硬件+可信應(yīng)用+隔離機(jī)制的使用，實現(xiàn)整個云架構(gòu)安全可信，比如使用TPM管理方法。其次，建立基于SOA的分層安全，通過組合不同的service來開發(fā)應(yīng)用，這個接口可以是Http Service, Corba Service, Cloud Service 等等。 最后，實現(xiàn)資源、網(wǎng)絡(luò)、主機(jī)隔離。通過設(shè)置資源隔離，使得終端用戶使用虛擬機(jī)時，僅能訪問屬于自己的虛擬機(jī)的資源（如硬件、軟件和數(shù)據(jù)），不能訪問其他虛擬機(jī)的資源，避免虛擬機(jī)之間的數(shù)據(jù)竊取或惡意攻擊。網(wǎng)絡(luò)隔離主要涵蓋三個方面： 通信平面的隔離、虛擬網(wǎng)絡(luò)隔離以及東西向、南北向隔離。

　　主機(jī)隔離則可通過EDR以及微隔離技術(shù)來實現(xiàn)主機(jī)東西向流量的訪問控制，確保業(yè)務(wù)安全域內(nèi)部主機(jī)安全。

　　對于通用安全威脅的抵御，需要先了解目前安全威脅的發(fā)展形勢。隨著黑色產(chǎn)業(yè)的不斷壯大，攻擊手段層出不窮，在防御過程中往往需要面對的是未知類型的惡意威脅。在這種情況下，僅僅靠傳統(tǒng)的防御手段很難全部防御住，威脅可能通過釣魚郵件、或者跳板等方式繞過防御體系進(jìn)入到數(shù)據(jù)中。因此組織單位需要以網(wǎng)絡(luò)、平臺、主機(jī)、應(yīng)用、管理、數(shù)據(jù)為主要防護(hù)對象，應(yīng)用人工智能、威脅情報等新興技術(shù)，構(gòu)建預(yù)防、防御、的動態(tài)安全體系，真正有效應(yīng)對未知威脅。

　　與此同時，針對核心關(guān)注的數(shù)據(jù)安全，構(gòu)建全生命周期的數(shù)據(jù)安全體系，而非僅僅依賴DLP。比如在數(shù)據(jù)產(chǎn)生過程中，確保數(shù)據(jù)源真實性，可追溯性。在數(shù)據(jù)傳輸過程中通過VPN技術(shù)確保數(shù)據(jù)傳輸完整性，保密性。數(shù)據(jù)存儲過程，關(guān)注存儲平臺本身存在的漏洞或者安全配置缺陷等，及時進(jìn)行脆弱性檢測。數(shù)據(jù)使用過程關(guān)注數(shù)據(jù)使用的規(guī)范，進(jìn)行全量審計及細(xì)粒度權(quán)限控制。在數(shù)據(jù)轉(zhuǎn)移共享過程，確保數(shù)據(jù)脫敏不外泄。

　　安全的環(huán)境一直在變化，今天爆發(fā)了勒索，企業(yè)可能希望做勒索防御，明天爆發(fā)了數(shù)據(jù)泄漏，企業(yè)開始重視數(shù)據(jù)安全，可以說幾乎找不到完美的框架。因此，一套持續(xù)成長的安全機(jī)制，要遠(yuǎn)比完美的安全架構(gòu)來得實用。建議用戶使用風(fēng)險評估，對云計算和云服務(wù)進(jìn)行評估后識別出風(fēng)險在哪里，進(jìn)而通過降低、規(guī)避、轉(zhuǎn)嫁、接受以及相應(yīng)的安全解決方案，進(jìn)行風(fēng)險削減。當(dāng)然， 不同的企業(yè)對風(fēng)險的接受程度是不同的，根據(jù)自身對風(fēng)險的接受程度，來對那些被接受的風(fēng)險進(jìn)行監(jiān)控和應(yīng)急響應(yīng)服務(wù)等措施來進(jìn)行兜底。

　　此后，需要定期檢查云安全的薄弱環(huán)節(jié)，進(jìn)而對方案進(jìn)行優(yōu)化整改，實現(xiàn)更加適用自身環(huán)境的安全方案。

　　等保2.0已經(jīng)發(fā)布，云等保合規(guī)也成為了企業(yè)上云必須完成的基本要求。

　　而云等保合規(guī)建設(shè)過程中，目前最大的難點在于平臺方、租戶方用戶權(quán)責(zé)問題，在云等保的要求里，不僅僅是對平臺建設(shè)方提出了要求，對于租戶方同樣提出了要求。但傳統(tǒng)云平臺安全架構(gòu)僅能夠?qū)τ脩籼峁┩ㄓ玫陌踩�策略，不能適用于所有用戶。用戶因而不能根據(jù)自身業(yè)務(wù)需求選擇和管理安全組件，這將放大用戶業(yè)務(wù)系統(tǒng)“上云”后安全責(zé)任難以界定等風(fēng)險，從而對“上云”產(chǎn)生顧慮。

　　因此，針對云安全建設(shè)這個問題，深信服基于用戶在等保建設(shè)中的實際需求，提供基于安全資源池的軟件定義、輕量級、快速交付的等保合規(guī)套餐，不僅能夠幫助用戶快速有效地完成云上等級保護(hù)建設(shè)、通過等保測評，同時通過豐富的安全能力，可幫助用戶為各項業(yè)務(wù)按需提供個性化的安全增值服務(wù)。此外，為了實現(xiàn)“安全權(quán)責(zé)明晰、安全責(zé)任共擔(dān)”，深信服采用安全共擔(dān)的方案模型，將責(zé)任方大致分為以下三類，并分別提供安全界面，以滿足各方需求。

　　秉持面向未來，有效保護(hù)的安全理念，深信服自適應(yīng)的軟件定義云安全方案，通過旁路部署策略引流，與現(xiàn)有平臺實現(xiàn)了解耦，與需要進(jìn)行差異化安全保護(hù)的租戶VPC網(wǎng)絡(luò)打通，為租戶提供豐富的、可編排的、精細(xì)化的安全服務(wù)，租戶通過簡單的自助服務(wù)申請、開通流程，即快速獲得對應(yīng)的安全服務(wù)。云運營方可以像交付計算、存儲資源一樣進(jìn)行安全服務(wù)交付，實現(xiàn)更簡單、更高效的安全運維與保障，為用戶提供更優(yōu)質(zhì)的安全交付體驗。