雲計算其實更安全

安全真是雲計算木桶上最短的那塊木板嗎?非也。 只有在雲計算的環境下，安全才有可能被真正作為一種服務提供給使用者。 雲計算的安全架構正深度防禦有可能出現的安全風險。

近期一項雲計算的調查也證實了使用者這種擔心，50%的受訪者認為，「資料或雲端基礎架構的安全性」是阻礙雲計算服務普及的最主要因素，其佔據CIO所有擔心要素中的首位。 CIO們普遍認為，雲計算的安全問題雖然受到前所未有的重視，但資訊安全環境並沒有得到有效的改善，相反不安全感有增無減。

雲計算的安全風險

質疑雲計算的安全性主要出於兩點原因：首先，過去的企業更習慣基於網路邊界構建安全防護體系，但雲計算的特徵之一就是消除了網路邊界。 這正是CIO們最擔心的地方：有邊界的情況下仍保護不了安全，何況是在沒有邊界的環境下。

其次，雲計算的另一特徵是虛擬化計算，過去的取證技術已經跟不上網路技術的發展，在雲計算環境下，多作業系統和應用運行在同一物理機上，這樣如何保證虛擬化環境下的服務安全?

萬濤是中國駭客中的元老級人物，江湖人稱「老鷹」，中國鷹派聯盟的創始人。 2000年「中美駭客大戰」之後，萬濤就發表聲明：不再從事有組織的攻擊行動。 萬濤現為IBM首席安全顧問，他認為，即使沒有雲計算，也從來就沒有100%的安全：「如果照搬ISO27000的133個控制點、11個控制域，恐怕沒有一家企業的資訊系統是安全的，因此沒有絕對安全。 安全就是不斷降低資訊風險，最後使殘餘風險降低到可控、可接受的程度。 很多企業花了很多錢構築的安全體系，在駭客看來可能是不堪一擊。 殘餘風險依然是不可接受的。 」

問題由此而來，什麼是可控的殘餘風險? CIO可以接受的風險程度是什麼?這要從我們現在所處的安全環境談起。 以前使用者面臨的是離散的安全攻擊，早期的駭客為興趣愛好，為一點江湖名聲，進行網路攻擊，但現在資訊安全已經太多地與經濟威脅糾結在一起，駭客已經完全產業化。 2010年中國電腦病毒產業的收益已過百億元，而中國安全產業的收入應該不超過60億元，攻守關係完全倒掛。 企業似乎不可能依靠一己之力，利用離散的安全解決方案來應對已經形成產業化的、無限的安全威脅。

但雲計算給我們提供了改善這種格局的可能性。 雲計算彙集了以前使用者靠自身投資無法實現的安全資源，使用者改變了單打獨鬥的局面，以一個紅色團隊在對抗一個黑色團隊。 萬濤說：「今天的雲計算安全應該考慮誰在控制系統、誰在訪問、資訊存儲在哪裡。 過去的安全是高成本、高風險的安全，今天使用者將資訊交給雲計算，他們希望以更低的成本，得到更好的安全防護。 」

雲計算的安全架構

萬濤的觀點是雲計算更安全，那麼什麼是雲計算的安全架構? Gartner列出了雲計算7大安全風險，這也是構建雲計算安全架構的7條標準：特權使用者的接入、可審查性、資料位置、資料隔離、資料恢復、調研支援、長期生存性。 不難看出，這7條標準已經與過去的邊界安全的定義有了很大的區別，這個定義更像過去所說的「深度防禦」。 總結看來，理想的雲計算安全架構有四方面需要特別關注：

首先，使用者要瞭解雲計算目前所處的狀態。 萬濤說：「雲計算將為整個安全業界帶來前所未有的發展機遇，不管是企業使用者，還是個人使用者的安全狀態會因此得到改善。 過去是依靠離散的安全手段解決無限的安全威脅，雲計算首先是資源彙聚，其在彙聚計算、存儲、網路資源的同時，也彙聚了安全資源。 」也就是說，在彙集了安全資源後，雲計算能夠實現有效的事故報告機制、能夠通過協力廠商實現外部審計和安全認證。 「殘餘風險最底線的狀態是，出現了安全事件後，可以追溯，而雲計算完全可以提供相關認證。 」

其次、雲計算需要嚴格的身份認證。 過去使用者通過使用者名、密碼就能訪問到相關的資訊，但由於雲計算沒有邊界，因此在雲計算的安全架構中要特別強調消費者身份認證。 這其中還包括特權使用者的監視。

其三、資料安全問題。 實際上在雲計算的技術架構中，對資料的管理已經優於傳統的離散系統架構。 目前幾乎所有雲計算解決方案中都有資料防護措施，這與當初基於單一應用提供的安全模式已經有了天壤之別。

其四、雲計算的應用安全。 目前80%的駭客攻擊是針對應用層。 如上所述，雲計算的基礎安全體系優於普通的資料中心，這樣使用者就可以將更多的精力用於應用安全，如虛擬鏡像、應用管理、代碼的檢測機制。

此外，雲計算環境下的安全架構還應包括安全的操作環境，以及雲計算中心的物理安全。

綜上所述，雲計算下的安全架構是過去安全解決方案的組合，其中既包括產品，也包括管理和服務。 也就是說，過去的安全解決方案是完全可以滿足雲計算架構上的應用。 但在應用、使用者身份識別上有所加強，這些方面必將催生出新的解決方案，也是IT廠商的競爭焦點。

只有在雲計算的環境下，安全才有可能被真正作為一種服務提供給使用者。 業內已經有廠商看到這其中蘊藏的商機，提出獨立的「安全雲」的概念，整合安全解決方案和服務，為使用者的雲計算提供安全服務。