你們說的雲安全到底是什麼鬼？

雲安全到底是什麼？是傳統廠商的盒子的iso化？是雲廠商自身具備的安全能力？還是SaaS提供安全服務？本期優炫知識課堂咱們就談談「雲安全」。

一、雲安全標準

要想了解雲安全真正的含義，首先要了解雲計算本身。根據NIST定義，雲計算按照服務模式分為IaaS、PaaS和SaaS，按照部署模式分為私有雲、公有雲、社區雲和混合雲，按照用戶角色分為消費者、供應商、代理商、運營商和審計方。

雲安全的定義根據國際的CSA TCI-RA、NIST SP500-292、NIST SP 500-29，以及國內的GB/T 31167-2014、GB/T 31168-2014等標準來看，簡單來說就是根據云計算的服務模式、部署方式以及角色，提供有針對性的安全方案。

然而，實際的雲安全建設往往錯綜複雜，把握幾個關鍵的觀點，有助於大家更了解雲安全。

雲安全責任共擔

用戶和使用的雲服務商不同，安全的責任也不同。如果用戶只是使用IaaS層的服務，IaaS層安全由雲服務商提供，之上的所有中間件以及業務安全責任全部由用戶自己承擔；如果使用的是SaaS層的服務，雲服務商就要提供雲相關全棧的服務；PaaS層的情況介於這兩者之間。

這不同於IDC環境下的安全。從用戶角度來說，安全責任變輕了：以前從建設機房到部署應用的安全全部由用戶自己承擔，現在雲服務提供商要承擔相關的安全職責

組織要評估和滿足合規與審核要求。

將業務從傳統IDC遷移到雲的一個重大挑戰是：要遵守眾多的合規和審核的約束。尤其在國內的環境，監管方存在「九龍治水」的情況。《網路安全法》已經開始正式執行；公安方面等級保護針對雲方面也推出了等保2.0，覆蓋等保1.0在雲計算領域的缺失；大數據中心聯盟也推出了可信雲的相關標準；網信部門更是對每個行業都提出新的監管要求；TC260針對政府上雲提出了GB／T 31167和31168。這些規定都意味著組織要承擔更重大的監管責任。

合規可定義為對企業義務（企業社會責任、適用法律，道德指南）的感知和遵循，包括對適當和必要的糾正性措施的評估和排序。在某些高度監管的環境下，可對內部特定策略進行補充，成為組織效率的優勢而非制約。

總體上，組織要保證合規性和完成審核，需要評估自身合規狀態，藉此感知和履行企業義務（社會責任、道德標準、法律責任等）；評估風險、不合規代價以及合規成本，從而評估是否採取適當或必要的糾錯性措施。

對於客戶和服務提供商而言，內審和外審以及各種控制措施都合情合理、可為雲計算效力。目前對於雲計算廠商的審計並不充分，大多情況都是通過一次性的測評來證明雲計算的安全性和可靠性。對於客戶而言，更有保障的方法是通過認證方式對雲計算廠商進行持續的認證。

事件響應

信息安全領域不存在無懈可擊的防禦，無論是周詳的計劃還是周全的預防性措施，都無法完全避免信息資產遭到攻擊。正因如此，致力於減少組織受攻擊損失程度的事件響應，成為了信息安全管理的重要基石。

雲計算不需要一個新的事件響應框架，只需將原有的響應程序、處理機制和工具與雲計算相關的環境對應起來。

與此同時，我們也要意識到，雲計算的某些特徵會影響事件響應的效果。

• 首先，雲計算屬於按需自服務，客戶在處理安全事件的時候很難甚至不可能從雲服務商那裡獲得協助；

• 第二，雲服務的資源池化可能會導致 事件響應過程複雜化；

• 第三、在多租戶場景下，如果沒有關於隱私信息的處理和資源池化的雲服務方式，收集和分析事故的非直接數據和原始數據可能造成對隱私問題的擔憂。

雲計算也給事件響應帶來了新的機會。對於雲的持續監控機制，可以減少事件處理時間或者事件響應頻率。虛擬化技術和雲計算平台固有的彈性特質，相比傳統數據中心技術減少了服務中斷時間，讓遏制和恢復措施變得更有效率和效果。此外，由於虛擬機可以很容易地被移動到試驗環境中並管理運行環境、取得鑒定映像及進行檢查，這些都使得事件調查更容易開展。

目前情況並不太樂觀，國內雲計算廠商對於事故響應的手段極其有限，大部分是通過人工服務的情況進行解決，責任無法定位，造成的損失也無法衡量，導致用戶和雲服務提供商之間的不信任感。

目前行業急需一款具有強伸縮性（可任意擴容、高性能）、高可用性、數據一致性、支持多租戶、高安全性等特點，並且適用於各類大數據應用場景的雲資料庫。

優炫雲資料庫（簡稱UXDB）是一款為雲平台打造的NewSQL資料庫系統，可實現無限制地擴容，同時全面兼容傳統的關係型資料庫的數據建模模式，並保證事物處理的一致性（ACID），用戶可繼續使用其熟悉的SQL語言使用優炫雲資料庫。可應用於大數據處理、大型聯機交易系統、大型Web應用、數據業務分析、數據異地容災等場景。同時優炫雲資料庫更避免國外雲資料庫的安全隱患，為行業帶來新風。

二、雲安全挑戰

為了安全地使用公有雲、私有雲、混合雲等豐富多樣的數字化服務，越來越多的企業需要滿足不斷增多的各種安全要求。

企業要滿足這些需求，必須首先意識到雲安全方面的三大挑戰：保護多租戶環境下的信息，虛擬化和私有雲安全，以及SaaS可視化和控制。這三大挑戰將為企業的雲安全建設提供實用的分類方法。

評估和控制多租戶環境下的

安全和合規風險

安全管理人員關注公有雲的相關安全問題。缺乏持續性的合規和風險的評估以及安全過程，使得一些敏感的場景無法遷移到公有雲。

使用多租戶的雲服務並不直接導致安全問題，跟雲廠商採取的安全措施有關，對雲廠商的形成強大的挑戰。持續的對雲廠商進行風險監控還需要一段路。

安全管理人員甚至所有IT人員都關注公有雲廠商是否安全。實際上，沒有直接證據證明公有雲廠商自身安全不到位會對用戶造成重大影響。然而，如何評估公有雲廠商安全性以及監管機構對公有雲的接受度仍然值得探討。公有雲廠商缺乏透明度，合規狀態不明確，風險評估和安全過程不成熟，使得一些敏感場景無法遷移到公有雲。

對於企業而言，使用多租戶的雲服務並不會直接導致安全問題，還得看雲廠商採取哪些安全措施。綜合評估雲廠商提供的服務和安全性，持續對雲廠商進行風險監控，能夠讓企業在享受優質雲服務的同時做到安全、合規。不過，市場對雲廠商的評估和持續監控還沒有形成最佳實踐。

使用CWPP和微隔離等新技術

保護虛擬環境下的工作負載

對硬體資源的虛擬化催生了新的安全技術，比如工作負載安全。工作負載指的是伺服器、虛擬機和容器等系統核心業務的載體。雲服務商的安全措施在某種意義來說比自建IDC機房的安全措施更好，但這並不意味著把工作負載從本地遷移到公有雲上就能自動獲得安全保障。

實際上，雲服務使用者應該利用好雲廠商的安全特點和優勢，由此產生效果也會更好。比如，利用好雲廠商的安全自動化，能夠大幅減少配置錯誤、管理錯誤、補丁缺失、人工操作失誤等造成安全漏洞數量，從而大大提高雲的安全特性。雲工作負載保護平台（CWPP, cloud workload protection platform）和微隔離等新的技術能夠在保證各種雲環境下的安全，越來越受到國內外組織重視。

明確SaaS環境下的

數據保護和行為監控

從當前企業支出來看，SaaS是比IaaS更重要的計算領域。由企業的哪個角色來負責SaaS治理尚無定論，對SaaS「所有權」的監管有所缺失，都影響了SaaS應用領域的推廣。

對此，有些企業專門制定了SaaS評估、使用和部門職責的相關規定，也有些專家、架構師組成專門部門來管理SaaS應用。這些都是比較好的實踐，能夠幫助企業更好、更快做出關於SaaS使用的決策。

另一方面，安全團隊在保護數據和監控行為時，要使用比SaaS廠商提供的控制機制更高級的技術手段。有數據顯示，在10,000個使用的SaaS應用中，諸如身份治理和管理（IGA, identity governance and administration）和CASB等單點控制技術變得越來越重要。使用第三方產品來集中有效管理安全策略、許可權和行為，也越來越被各種規模的企業所重視。

三、雲安全機遇

根據麥肯錫諮詢機構的預計，雲技術至2020年全球每年創造的價值在3.72億美金。如果企業不重視雲安全建設導致風險和損失，最終可能減少使用雲技術。這種「數字反彈」的局面影響會非常嚴重，可能導致1.4萬億市場的萎縮。

麥肯錫認為，企業在採用雲技術的同時要同步建設雲安全，這樣才會使得技術不會倒退，市場不會反彈。任何一項技術在大規模擴張之前都沒有考慮到安全問題（區塊鏈技術除外），而技術產生泡沫的原因之一，正是安全問題沒有得到充分的重視。

根據Gartner預測，2017年基於雲的安全服務市場規模將達到41億美金，雲安全的發展將受益於雲計算市場的快速增長。

反觀國內雲計算市場，經過十年發展，目前已經「賽程過半」，上半場以中小長尾和互聯網產業為主要目標客戶，以公有云為主要交付形態，洗牌基本完成。下半場將以數字化轉型為核心訴求，以傳統縱向行業、大型企業為主要目標客戶，以混合雲為主要交付形態。

國內大環境而言，網路安全領域得到了實質性的重視和發展。國家強調在任何技術領域必須提倡自主可控，這意味著國內安全廠商的機會大大增加。雖然網路信息技術和網路安全保障取得了不小成績，但同世界先進水平相比還有很大差距。我們要填補國內安全市場的空白，跟國際接軌，追趕世界最高安全水平。

內容來源：freebuf