安全、可信的云计算不再难

文 | 本刊记者 姜红德

提到云计算，今天已经不再是“云来雾往”，而是有了更多的实际应用和落地项目。在云计算风起云涌的信息化新阶段，“云”上的安全也被提上了日程。

云安全形势严峻

在今年11月于浙江乌镇举办的首届世界互联网大会上，中国工程院院士邬贺铨表示，云计算能力的分布化、虚拟化、服务化是云计算的技术基础，但云计算平台如果被攻击，出现故障，就会导致大规模的服务器瘫痪。

时间回溯到2011年，由于亚马逊网页服务器出现故障，包括基于位置的社交网站FoureSquare、问题和解答服务商Quora、新闻共享网站Reddit以及为网络出版商提供游戏工具的BigDoor瘫痪。分析师指出，该事件实际上是再一次敲响了云计算技术乃至整个产业的警钟，它将迫使云计算行业重新考虑这项远程控制技术所面临的问题。专家表示，亚马逊数据中心服务中断事故对云计算行业造成的影响相当于一次航空事故，目前航空旅行仍被视为比汽车行驶更安全的交通方式。数据中心依旧比那些拥有自己IT基础设施的个别公司更安全。关键的是，业界应该从亚马逊服务中断事故中汲取教训。

普华永道今年9月份发布了一份关于云计算安全趋势的报告，报告警告说：基于云计算的应用带来的风险很多，包括数据安全、交易安全、业务联系性和监管合规等问题，实际上有关云计算和大数据带来的安全隐患并不是首次被提出，越来越多的虚拟化技术和海量数据分析挖掘技术的应用，让更多的政府部门和企业陷入了更大的风险之中。

虚拟化技术带来的第一个风险就是，传统的边界防御将失去效用，因为虚拟机的应用随时可能会漂移（V-Motion），在虚拟化的环境下，如何部署和实现安全防护？另外，客户数据都集中到了云端，如何保证租户的信息不被泄露？如何免受来自于互联网的DoS/DDos攻击？

这种担心并不多余，在目前一些涉密或公共服务领域，一些创新产品技术在存储、分析或者应用层面仍需要考虑信息安全的风险。正如某国家政府部门一位负责人所说，“政府部门对云计算技术的引入应该谨慎才行，尽管这已经成为一种趋势”。

目前政府部门和大型企业对云计算的支持毋庸置疑，但是广大中小企业却对云计算的渴求远不如想象中的迫切。知名的IT调查机构IDC对企业CIO们进行了一份调查，结果显示约有近一半的企业对未来一年内在企业信息化建设中是否采用云计算解决方案还处于观望状态，是否拥抱云计算的主要障碍来自于对信息安全的顾虑。

IDC中国服务研究部研究经理赵潇表示，“在过去两年里，企业对云计算的认知有了很大的提高，随着企业业务的发展，未来几年里与云服务有关的投资在企业每年地IT预算中的比例将越来越高。”

在越来越多的政府部门和企业选择投资云计算的明天，也会有越来越多的网络黑客和不法分子利用云计算技术及解决方案中存在的漏洞，这对有关组织和个人带来巨大的安全隐患，而这些隐患和传统固网中的安全问题又有所不同，特别是SDN、NFV这些网络新技术应用涌现之后，让用户们几乎防不胜防。

SDN成下一个安全关注点

SDN（软件定义网络）浪潮汹涌，号称可以颠覆网络格局。同时NFV(网络功能虚拟化)的提出，也强有力地弥补了SDN应用层能力弱的不足。然而这些新技术的兴起，使传统网络安全产品越来越不能适应新型网络所带来的变化，促使越来越多的国内企业开始在SDN安全方面进行了大量探索。

在2014年CSA云安全高峰论坛上，绿盟科技资深研究员刘文懋表示，绿盟科技在业界率先提出并实现了安全控制器概念，在南向安全设备，北向安全应用，东西向和SDN控制器等技术架构以及对抗APT、BYOD等场景下展现了巨大的应用潜力，按照刘博士的介绍，绿盟科技已经和业内领先的云计算服务提供商一起踏上了实际部署的征程。

在对抗安全漏洞上，SDN提供了新的可能性，然而SDN也可能扩展安全漏洞、误配置、侵犯隐私和其他事变的危险。那SDN/NFV改变了网络的哪些东西？安全漏洞通常会出现在什么地方？如何进行有效地防护？……针对一系列安全问题，启明星辰公司首席战略官潘柱廷进行了详细分析，并揭示抗DDoS联盟和XCert的本质。他认为水滴之所以能凝集变成云，是源于结构。有结构就有其匹配的操作，有所谓好操作和坏操作。对抗是结构之间操作的对抗，也是结构本身的对抗。

在山石网科副总裁蒋东毅看来，NFV与SDN的结合，以及虚拟化技术的发展，使不同租户、不同应用对象的物理边界模糊甚至消失，这对网络、应用及数据安全提出了全新挑战：一方面传统硬件设备为主的网络安全功能需要与以虚拟化SDN为主的云架构集成；另一方面，与传统筒仓模式相比，云安全更需要解决东西向流量为主、弹性部署、无物理边界、虚机迁移、高可视化和集中管理等特有的需求。基于这些挑战，山石网科遵循NFV理念，与SDN等云网络集成组成服务链，全力打造了全分布式弹性虚拟防火墙架构。

打造可信的云生态

云安全研究与实验的孵化器CSA（云安全联盟）是一个专家社区，专注于各种云安全的研究。自成立以来，云安全联盟目前成员已经达到了33个，名单中覆盖了国际知名的电信运营商、IT网络设备提供商、网络安全商和云计算提供商，其成立的目的就是在云环境下提供安全的解决方案。CSA CEO Jim Reavis就未来云计算安全发展趋势谈到，云应用发展障碍不仅是安全问题，还有信任问题。如何创建可信任的基于云生态系统， 需要各行业领先者及其合作伙伴共同努力，建立基于可靠技术、通用标准和最佳实践的身份信任解决方案。

目前BSI (英国标准协会)已经与云安全联盟联手推出STAR认证，致力于帮助企业在日趋激烈的云服务市场竞争中脱颖而出。 STAR认证是信息安全管理体系认证（ISO/IEC 27001）的增强版本，旨在应对与云安全相关的特定问题。2013年9月26日，两机构正式宣布推出STAR认证项目，BSI成为目前全球唯一可以进行STAR认证的第三方认证机构。该项目采用中立性认证技术对云服务供应商安全性开展缜密的第三方独立评估，并充分运用ISO等管理体系标准以及CSA云控制矩阵，帮助企业满足对安全性有特定要求的客户需求。

值得注意的是，中国专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来，企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。目前中国版的C-STAR的认证包括对基础设施、虚拟化安全、移动安全等16个方面进行安全评估。该认证评估体系汲取了CSA的经验，并得到阿里、华为等企业的支持使其趋于完善，并得到了CSA的认可。

C-STAR评估的适用对象包括云服务提供商和用户。从云服务提供商的角度来讲，可以根据云计算行业最佳安全实践，对云服务进行安全评估，识别安全问题，控制安全风险、提升安全水平、增强用户信心；从用户的角度来讲，在采购云服务之前或使用云服务过程中，希望对提供商安全进行评估，以反映其安全控制情况与自身需求的差距。

作为云生态的管理部门态度也十分明确。工信部等有关部门也针对云计算的可信性和安全性进行了新一轮的认证。今年7月份，首批可信云服务的认证名单发布，包括了云主机服务、对象存储服务、云数据库服务、云引擎服务、块存储服务五大类。据了解，共有33家云服务商的54个云服务咨询或参评可信云服务认证，其中19家云服务商共33项云服务通过了该次认证，为建立可信的云计算生态系统奠定了基础。

工信部总工程师张峰表示，建立可信云服务评估机制，是推动我国云计算健康、安全、有效发展的重要途径。据了解，工信部牌照申请重启的实施方案有针对性地对IDC/ISP申请企业在多方面提出具体要求，IDC服务市场准入门槛有了进一步的界定；此外，工信部还将以电信主管部门的身份，引导和建立IDC和ISP企业信誉评价和机房星级评定管理机制。