【51CTO.com 綜合消息】為什么要說這樣的話？云安全聯(lián)盟中國區(qū)高峰論壇上一位嘉賓說，“水壺燒出的水汽絕對不是云”。那么云安全的問題，也就需要整個信息安全產(chǎn)業(yè)，就云安全達成共識。云是互聯(lián)網(wǎng)和大規(guī)模數(shù)據(jù)中心不斷發(fā)展的必然產(chǎn)物。在未來10年里，云必將成為影響整個IT行業(yè)的關鍵性技術，也會對現(xiàn)有的信息技術體系架構帶來了深遠的影響，云安全也隨之成為一個重要問題。

云計算是什么？

提到云安全，不能不說云計算。早在2000年的時候，國際上已經(jīng)有人提出網(wǎng)格計算與分布式計算的概念，隨著信息產(chǎn)業(yè)及市場的日益成熟，這個概念經(jīng)過商業(yè)化運作，有了初步的框架，進而形成了云計算的雛形。綠盟科技副總裁吳云坤表示，云計算并不是新東西，它所改變的只是運營方式、用戶交互方式以及營銷方式等，可以說這是一種新的商業(yè)模式。正是這樣的轉(zhuǎn)變，讓各個領域、各個行業(yè)的廠商及企業(yè)，會根據(jù)業(yè)務及市場的特性，就云計算的定義提出各自的觀點。

Frost & Sullivan市場研究機構提出，云計算是一種靈活的、可擴展的共享環(huán)境，第三方供應商利用虛擬化技術，基于按需提供的平臺，通過互聯(lián)網(wǎng)向客戶提供及分配計算資源。國際云安全聯(lián)盟，在征詢國際業(yè)界廣泛的意見和實踐經(jīng)驗后，指出云計算應該包含如下方面：

◆按需供應，必須是密切結合業(yè)務需求，按照需求提供資源及服務

◆彈性，隨業(yè)務拓展可以靈活的調(diào)整及拓展架構

◆多層租用，根據(jù)不同業(yè)務，不同受眾，可以提供不同資源、不同形式的租用服務

◆云包含如下特征模塊： 

基礎架構即服務Infrastructure as a Service (IaaS)，包含基本的IT架構，比如操作系統(tǒng)，比如存儲 

平臺即服務Platform as a Service (PaaS)，包含IaaS以及快速應用設備 

軟件即服務Software as a Service (SaaS)，包含所有的應用程序 

共有云，私有云，社區(qū)以及混合云部署

下面這張圖，對云給出了一個可視化的呈現(xiàn)，說明了云計算的服務交付模式，以及如何部署云。  

圖1 云計算架構

云安全產(chǎn)業(yè)

云計算所帶來的深遠影響，讓綠盟科技以及安全業(yè)界的先行者們清晰的認識到，云計算所面臨的挑戰(zhàn)。IDC市場調(diào)研機構數(shù)據(jù)顯示，云計算服務將在2013年達到整體IT消費的10%，年收益高達442億美元，5年內(nèi)年平均增長是26%，這是傳統(tǒng)IT行業(yè)增長速度的6倍。而Frost & Sullivan市場研究機構，在2009年年末，對亞太區(qū)6個市場，300個大型企業(yè)，500人以上的大型企業(yè)他們的IT決策人做了一項云計算的調(diào)查。調(diào)查數(shù)據(jù)顯示，55.3%的人擔憂云安全問題，尤其是數(shù)據(jù)安全性。毫無疑問，云計算的蓬勃發(fā)展，已經(jīng)讓云安全已經(jīng)上升到產(chǎn)業(yè)的高度。

云安全產(chǎn)業(yè)鏈條，包括了云安全環(huán)境，云安全設計，云安全部署，云安全交付，云安全管理，再到云安全咨詢，這是一個閉環(huán)。IDC 報告指出，云安全性包含至少兩個層次，一是制約用戶接受云計算的信用環(huán)境問題，這是云計算得以廣泛應用的基礎,也是推廣門檻，然后才是云計算的應用安全。而其中良好的信用環(huán)境是技術層面的云計算安全之基礎，也就是說，只有用戶認可并采用云服務，才談得上的云安全技術問題。

那么就云計算的信用環(huán)境來說，一方面是云計算提供商方面要樹立自身的信譽，構造可信的云；另一方面是云安全服務商方面，要對互聯(lián)網(wǎng)資源建立安全信譽評估系統(tǒng)，以對抗云攻擊的“地下產(chǎn)業(yè)鏈”。這方面，Google和StopBadware走在了前面，隨后國內(nèi)安全業(yè)界的廠商也認識到這一點，紛紛采取了相應的措施。2009年，綠盟科技發(fā)布互聯(lián)網(wǎng)信譽服務白皮書，并提供信譽評估服務。根據(jù)多年的安全研究積累，綠盟科技對互聯(lián)網(wǎng)相關資源進行威脅分析和信譽評級，累積IP地址、域名和URL等不同資源的內(nèi)容和行為記錄。同時，匯集了來自于授權客戶和第三方合作伙伴的威脅反饋、自身安全產(chǎn)品的安全事件以及安全研究團隊的風險預警，與目標站點的歷史信息進行整合，建立針對互聯(lián)網(wǎng)領域的長期信譽追蹤機制。正是這樣的積累，讓綠盟科技在2010年8月，正式與StopBadware達成戰(zhàn)略合作，繼Google之后，成為其數(shù)據(jù)提供商。

而就云安全技術方面來說，云安全主要面臨這些挑戰(zhàn)：

◆云計算的濫用、惡用、拒絕服務攻擊

◆不安全的接口和API

◆惡意的內(nèi)部攻擊

◆共享技術產(chǎn)生的問題

◆數(shù)據(jù)泄漏

◆賬號和服務劫持

◆未知的風險場景#p#

云安全如何定義

面對這些挑戰(zhàn)，我們應該從哪些層面入手，才能實現(xiàn)安全云呢？從IT架構管理來看，企業(yè)敏感數(shù)據(jù)，尤其是涉密企業(yè)，出于安全性考慮，目前還會以私有云為主，在未來的一段時間，才會逐步過渡到共有云；從產(chǎn)業(yè)和市場發(fā)展，云安全還處在初級階段，從未有一個廠家的產(chǎn)品可以囊括云安全所有層面，也未能提出一個完整的解決方案。

要對云安全有一個全面的認知，必須認識到云安全是動態(tài)的，是不斷演變的。云安全解決方案必須與應用及服務充分結合，并適應業(yè)務的發(fā)展需求。云安全聯(lián)盟提出，應該從治理和運營兩個方面入手：

云安全治理：

◆Best opportunity to secure cloud engagement is before procurement – contracts, SLAs, architecture

◆Know provider’s third parties, BCP/DR, financial viability, employee vetting

◆Knowing where your data is

◆Plan for provider termination & return of assets

◆Preserve right to audit

◆Reinvest provider cost savings into due diligence

云安全運營：

◆Encrypt data when possible, segregate key mgt from cloud provider

◆Adapt secure software development lifecycle

◆Understand provider’s patching, provisioning, protection

◆Logging, data exfiltration, granular customer segregation

◆Hardened VM images

◆Assess provider IdM integration, e.g. SAML, OpenID

如何做到云安全

那么用戶該如何選擇云安全服務，又怎么才能做到云安全？ 國際云安全聯(lián)盟發(fā)布的云安全指南指出，云安全要覆蓋云安全完整的生命周期，并完成最佳實踐以及分析工具。在云安全完整的生命周期中，理想的云安全狀態(tài)至少應該包括安全治理、識別、訪問控制、數(shù)據(jù)保護以及審核，最終實現(xiàn)安全即服務（Security as a Service）。

圖2 理想的云安全

要實現(xiàn)這些，云安全治理及運營至少應該包含13個領域，包括：

圖3 云安全治理與運營模型

而云安全分析工具，要區(qū)分用戶及供應商角色，并完全遵從于ISO 27001, COBIT, PCI, HIPAA等國際標準，從而彌補管理者及云安全審核之間的差距。云安全聯(lián)盟為此提供了云安全控制矩陣工具，請訪問Cloud Security Alliance官方主頁。

正是遵循這樣的云安全治理與運營原則，綠盟科技作為中國安全業(yè)的領先者，多年來始終致力于網(wǎng)絡安全的研究，并一直積極推動國內(nèi)云安全的發(fā)展。2008年，綠盟科技宣布正式啟動云安全計劃，成為國內(nèi)第一家進入云計算和云安全領域的網(wǎng)絡安全廠商。云安全計劃中包含具備多種能力類型的安全云，目的是通過對互聯(lián)網(wǎng)進行大規(guī)模集中分析和匯總，在全球范圍內(nèi)大規(guī)模部署中心服務器群，覆蓋入侵防御、漏洞掃描、掛馬防范、流量清洗等方面，全面檢測惡意網(wǎng)站與異常流量，提供了在大范圍網(wǎng)絡環(huán)境下解決云安全問題的全新思路，這種模式已經(jīng)在多個運營商骨干網(wǎng)和城域網(wǎng)得到了廣泛的部署。

2009年12月，綠盟科技成為國際云安全聯(lián)盟在亞太地區(qū)的第1個企業(yè)成員，并為推動云安全本地化工作不懈努力。同年，云安全計劃持續(xù)完善，推出包括內(nèi)容安全監(jiān)管、異常行為審計、應用安全交付等多種計算能力的云模式。2010年9月2日，云安全聯(lián)盟中國區(qū)分會宣布成立。#p#

云安全的實質(zhì)是什么？

面對龐大的云計算架構，要提供安全云服務，靠單打獨斗是不行的。在經(jīng)歷了云計算紛爭的年代之后，日益復雜的應用，云安全整體解決方案的需求，以及市場發(fā)展的磨合，都讓安全企業(yè)認識到，云安全必須產(chǎn)業(yè)化，形成一個產(chǎn)業(yè)鏈條。而實現(xiàn)它的前提，就是必須找到一種方式，讓大家走到一起來，通過一系列溝通，描繪一個共同的愿景，解決一些分歧，推動一些項目，交付一些成果，才能穩(wěn)固云安全的“短板”，推動本地市場云安全產(chǎn)業(yè)的發(fā)展。另一方面，中國乃至亞太區(qū)的云安全形態(tài)及發(fā)展，對于國際云安全產(chǎn)業(yè)不可或缺，而國際規(guī)范只有適應本地的、大規(guī)模市場后，產(chǎn)生有效的分析工具及方法，才具有實際意義。

云安全的實質(zhì)在于溝通協(xié)作，溝通協(xié)作需要平臺。隨著市場經(jīng)濟關系深化發(fā)展，以及社會分工在市場領域細化，必然會產(chǎn)生云安全的聯(lián)盟組織，它的完善與否是市場體系成熟與否的一個重要標志。在這樣的背景下，國際云安全聯(lián)盟CSA（Cloud Security Alliance）于2009年RSA大會上宣布成立，是一個非盈利性組織。成立后，獲得了業(yè)界的廣泛認可，與ISACA、OWASP等業(yè)界組織建立了合作關系，很多國際領袖公司成為其企業(yè)成員。

國際云安全聯(lián)盟于2010年，首次在中國舉辦峰會，以“溝通分享，合作共贏”為主題，號召亞太區(qū)安全業(yè)界的參與，其意義就在這里。在本次峰會上，中國區(qū)分會正式成立，CSA主席Dave Cullinane以及國際安全界同行，紛紛到場或以各種形式表示祝賀。綠盟科技副總裁吳云坤先生表示，云安全的問題已經(jīng)讓大家達成共識。

多年來，綠盟科技始終致力于國內(nèi)網(wǎng)絡安全方面的研究，積累了大量的數(shù)據(jù)，我們愿意并正在與各方面展開積極的合作，分享數(shù)據(jù)和經(jīng)驗。綠盟科技首席戰(zhàn)略官趙糧博士也提到，“在未來的12個月中，國際云安全聯(lián)盟中國區(qū)分會，將會推動一些列云安全方面的項目，并提交項目成果，還會積極開展地區(qū)性的云安全技術交流研討活動”。正是安全業(yè)界各知名企業(yè)的積極參與，讓云安全聯(lián)盟在亞太區(qū)安全業(yè)界中引起了強烈的反響。

云安全產(chǎn)業(yè)的契機

毫無疑問，云安全產(chǎn)業(yè)鏈中的先行者們，將會在市場發(fā)展中，占據(jù)及其重要的地位，而這一點，甚至能夠左右企業(yè)未來的發(fā)展，這也是為什么云安全聯(lián)盟一經(jīng)發(fā)起，幾乎所有與云安全產(chǎn)業(yè)相關的企業(yè)，紛紛加入。在不到2年時間里，已經(jīng)有超過50個國際領袖級公司成為其企業(yè)成員，包括Google、HP、CISCO、Intel、MS、Oracle、Novell、AT&T、CA、McAfee、TREND、Symantec、NSFOCUS、3PAR等。

而在之前，國內(nèi)尚未具有影響力的云安全聯(lián)盟組織，隨著云計算的不斷發(fā)展和演變，國內(nèi)各個廠商及研究機構對于云計算、云安全都有自己的獨特見解，這些觀點都代表了各個領域的發(fā)展特性。另一方面，來自國際信息安全方面的規(guī)范，也不能完全適應國內(nèi)云安全發(fā)展的各個層面及特性?？梢钥吹?，國內(nèi)云安全尚處于初級階段，而每個廠商或者企業(yè)的技術力量，都是有限的，不可能涵蓋云安全產(chǎn)業(yè)鏈的所有層面。國際云安全聯(lián)盟中國區(qū)分會的成立，對中國和亞太地區(qū)推動云安全的實踐和創(chuàng)新，構建中國乃至亞太地區(qū)云安全產(chǎn)業(yè)的理論指引，發(fā)掘及云安全產(chǎn)業(yè)中的契機，具有及其重要的價值。