云計算在迅猛發(fā)展的同時，也積累下了安全水平堪憂的負面口碑。不過隨著進一步完善，相信這種新型資源供給模式將很快具備超越傳統內部IT體系的良好安全機制。

[[143716]]

在談到IT安全這個議題時，云計算總是給人一種負面口碑典型代表的印象——實際情況可能也的確如此。將工作負載從傳統內部體系當中遷移至公有、私有乃至混合云架構當中，往往會導致傳統安全工具徹底失效。這不僅引發(fā)了新的安全漏洞，同時也造成了諸多前所未見的安全盲點。然而云安全水平正在發(fā)展過程中日益提升，而且很快各類云安全工具就將全面超越任何非云類型的安全架構。

綜合各個角度來看，云安全正立足于似乎最為薄弱的基礎積蓄自己的保護力量。云服務供應商擁有獨特的定位，這種角色使其能夠吸收到規(guī)模龐大的數據集合。由于規(guī)?；企w系在地理層面上分布于全球各地，因此管理人員能夠從中提取到各類與安全情報相關的重要數據流。而這些情報不僅能夠用于追蹤安全威脅動向，更能夠以更為迅捷的速度對其加以扼制。

當企業(yè)最終能夠接受云計算這一理念時，它將不再局限于對傳統企業(yè)網絡的延伸，而更多表現為中心焦點所在。最終用戶通過不同數據的入口點對云環(huán)境進行訪問，例如私有WAN或者公共互聯網。由于云體系對客戶而言屬于集中化入口點，這就保證其能夠成為理想的安全客戶端/服務器通信位置，同時作為加密密鑰的惟一管理點。

最后，隨著云計算與軟件定義技術的有機結合，我們將能夠在安全保護角度實現端到端可視化效果。在此之前，還從來沒有哪位IT安全管理員能夠通過這種方式實現如此水平的軟件覆蓋能力，而這相當于將網絡環(huán)境加以平面化、從而確保安全手段能夠以更加簡潔輕松的方式得到管理。

多年以來，云計算的發(fā)展速度一直高于為其提供保護的云安全技術。而從2015年開始直到將來，二者之間的差距似乎正在不斷縮小。在今天的文章中，我們將共同分享幾款云安全工具及架構，相信它們的出現代表著企業(yè)未來將能夠輕松愉快地利用將云計算服務納入主流業(yè)務體系，而大家也可以通過新的角度重新認識云安全。

[[143717]]

大數據威脅情報

公有云在數據安全匯聚方面處于優(yōu)勢地位。它能夠汲取互聯網數據，例如網站請求及郵件樣本，并通過運行大數據安全情報系統發(fā)現全球范圍內的各類惡意軟件以及網絡入侵活動。我們利用云計算精確定位并準確評估安全威脅的速度越快，我們就能越早對自有基礎設施加以調整，從而更為主動地應對這些威脅因素。

[[143718]]

加密證書與密鑰管理

隨著數據開始向傳統手段無法保護的安全邊界移動，加密機制在企業(yè)環(huán)境當中的地位也在不斷提升。對于IT部門來講，最主要的加密難題就是證書與密鑰管理。以Venafi(這家公司最近剛剛從英特爾手中籌得3900萬美元融資)為代表的眾多安全方案供應商已經能夠提供完善的證書與密鑰管理系統，從而幫助企業(yè)客戶對全部云流量進行加密。這一流程除了對密鑰及證書過期日期進行追蹤之外，也會通過系統級掃描對云環(huán)境下的丟失或遺忘密鑰、證書進行識別。

[[143719]]

#p#

自我修復且具備追溯能力的惡意軟件保護方案

歸功于云環(huán)境強大的大數據安全信息匯聚能力，我們現在不僅有機會更有效地在惡意軟件侵襲企業(yè)之前就將其制服，同時還能在安全事故發(fā)生之后更有效地加以恢復。跨越各業(yè)務體系及云網絡的全部網絡相關修改數據都能得到收集與整理。當惡意活動被發(fā)現之后，我們能夠利用這些信息識別、追溯并恢復任何在此期間受到影響的文件以及惡意軟件對系統作出的修改。

[[143720]]

“烘”入安全

物聯網技術革命已經近在咫尺，云與IT安全供應商則面臨著為數十億臺物聯網設備提供安全保障這一嚴峻挑戰(zhàn)。由于物聯網終端及傳感器將直接與云端進行通信，因此我們必須直接“烘”入安全機制以確保物聯網設備只能與云端交互——同時在無需人為介入的前提下自動根據最新安全策略實現更新。

[[143721]]

端到端可視化

由于云軟件定義網絡(簡稱SDN)的持續(xù)發(fā)展，云安全當中所存在的各類安全盲點將很快成為歷史。SDN能夠覆蓋云網絡的所有復雜性因素，并創(chuàng)建出更易于管理的虛擬網絡體系。通過這種方式，SDN允許IT管理員查看整套網絡，并根據實際情況控制數據流及安全策略。最終，我們將在云環(huán)境下享受到更出色的安全實現方式、更快的應急響應能力以及更清晰的企業(yè)數據所在位置(及具體訪問者)。

[[143722]]

DDoS避震裝置

盡管分布式拒絕服務(簡稱DDoS)攻擊已經存在了幾十年，但其成熟度與產生的影響亦在不斷演進。傳統的企業(yè)架構無法保護自身免受大規(guī)模DDoS攻擊的侵擾，因為DDoS攻擊擠占網絡連接的速度要遠大于應對措施的處理速度。DDoS保護工作的關鍵在于搶在其接入企業(yè)門戶之前就加以阻止。以Akamai及CloudFlare為代表的云服務供應商能夠利用自身規(guī)模龐大的資源體系吸收這種影響(類似于車輛上的避震裝置)。結果就是，DDoS攻擊能夠在直接觸及用戶網絡邊緣之前就得到控制。

[[143723]]

總結陳詞

以云為關注重點的安全工具在2015年獲得了長足進步。隨著企業(yè)對于網絡安全威脅的持續(xù)重視，云技術將很有可能成為保護企業(yè)免受外部威脅侵擾的重要手段。您對于云安全有何認識?云安全又對您所在的企業(yè)產生了怎樣的影響?歡迎您分享真知灼見。

原文標題：Why Cloud Security Beats Your Data Center