雲定義：緣何雲對於IT安全意義重大

目前，雲計算已成為幾乎每一家企業IT戰略和組織架構中不可或缺的一部分了，所以企業相應的運行成本也在越來越多地轉嫁至協力廠商，而由協力廠商來管理和維護企業的內部服務。

雲計算服務供應商現在也在提供多元化的服務，其中包括薪資、招聘、績效管理、培訓以及存儲等。 隨著平均計算成本的不斷降低，對於技術專業知識及其相關資源的需求卻在不斷增長，這主要是由於服務消費者和服務供應商之間互聯性需求而造成的。

由於雲計算的影響，各個行業條線的安全從業人員都處在一個與他們的IT同行們不同的獨特位置。 鑒於後者的控制與責任範圍往往局限于企業辦公室和資料中心，而安全從業人員則還必須考慮通常被稱為雲計算的協力廠商網路以及他們控制範圍以外的設備。 無論你是一名管理著安全專業人士技術團隊的首席資訊安全官，還是一名負責確保企業關鍵資產安全性的安全工程師，掌握雲計算知識已經成為成功保護企業使用者、資料以及基礎設施的基本素質要求了。

當然，在安全專業人士保護與雲計算相關的資產之前，他們可能需要回答一個貌似非常簡單的問題。 即，何為雲計算？ 在本文中，我們將從現有的雲計算定義入手，然後從企業安全專業人士的角度出發討論一下這些雲計算定義之間的空白點。

重新評估目前的雲計算定義

雖然我們這裡討論的只是一些寬泛的雲計算定義，但是安全專業人士還是應當牢固掌握雲計算技術而不僅僅是模糊的概念，這一點是非常重要的。 國家標準和技術研究院（NIST）實際上提供了一個有用的雲計算定義，具體如下：「雲計算是一個模型，這個模型可以方便地按照需求訪問一個可配置的公共計算資源池（例如，網路、伺服器、存放裝置、應用程式以及服務等）。 這些資源可以被迅速地提供併發布，同時這個模式也能夠實現管理成本或服務提供者干涉的最小化。 」NIST還打破了雲計算模式的本質特徵、服務模式以及部署模式。 下表給出了該模式的概觀：

一些分析人士和供應商則給出了雲計算的一個狹義定義，即雲計算是效用計算的一個升級版（基本上就是指互聯網中可用的虛擬伺服器）。 而其他的安全人士則擴展了上述這個狹義定義，他們認為任何在企業防火牆外被使用的資源都是「雲計算」，甚至它還包括了常規的外包服務。

這些定義都是有用的，但是我們也在其中發現了若干明顯的定義空白點。 例如，近年來業務環境最具革命性的變化之一BYOD（使用你自己的設備）就不在我們的討論範圍內。 通過實施BYOD策略 ，傳統消費者和／或私有網路（如家庭或小型企業）就可擴展至大型企業設置。 家用網路也具有NIST雲計算定義中的所有要素，並處於企業防火牆外，但是安全從業人員是否會把家用網路視為雲計算的一部分的呢？

在這種情況下，區分雲計算與BYOD和家用網路的判別依據就是位置、控制範圍以及合同義務。 這裡，NIST所定義的服務模式是通過合同提供的一定程度的義務，而BYOD則主要依靠使用者自己的系統運行。 例如，如果我的家用網路遭到了破壞，那麼我沒有義務需要向我的雇主報告相關破壞情況資訊，即便我的裝置正在通過VPN連接訪問公司的資產。 如果我雇主的網路也因此受到損害，我將不會承擔破壞或損害通知的責任，同時我的雇主也不會知道是誰訪問了我們的家用電腦網路。

為提供全面的保護，IT安全團隊還必須考慮這些擴展的、員工擁有的基礎設施——我們稱其為消費者即服務（CaaS）基礎設施，同樣重要的是，將它們預設為不可信任，而且也應在這個預設假設的基礎上制定相關企業控制和應對措施。 這些CaaS基礎設施將需要一個類似于其他混合雲計算實施的安全態勢。

顧名思義，深網路或暗網路將在這些雲計算定義之間出現另一個空白。 不適用於現代搜尋引擎，這一區域的互聯網是安全從業人員的衣食父母，也是受破壞分子影響的禍根。 隱蔽管道的深網路結構和以較小成本按需擴展的加密分散式檔案系統都使其變得相當費解。 這一威脅即服務（TaaS）的模式可按需從攻擊者的家或受害的基礎設施處擴展，提供惡意行為能力並以流量克服易受攻擊的目標，而無論其所處的地理區域或行業。

出於這一討論的目的，我們還必須考慮惰性雲計算，這也是我們雲計算定義中最後的安全空白。 考慮它是因為我們對管理它的法律法規基本沒有任何影響力，而它又包括了政府、員警和法規等實體。 儘管我們對它們的控制力非常有限，企業還是必須遵守（或成功規避）這些惰性實體或直面從互聯網被刪除的現實。

互聯網（如註冊商、ISP、電信實體等）是一個以相互包容關係包含子網系統的超集合合系統：他們之間是絕對相互依存的關係。 因此，我們必須針對整個系統進行考慮以確保端到端的保護。 以下是NIST的雲計算圖表，該圖已被更新以反映填滿空白的完整雲計算系統。

檢查雲計算活動

正如我們之前的討論，雲計算通常是一個定義模糊的概念，即便是NIST這樣一個受人尊敬的大型機構也會出現空白。 但是，根據我們提供的更新定義，安全從業人員應當考慮重新評估他們的IT環境以及之前我們所提及的一些問題。 我們希望，我們所提供的新定義可為大多數企業所需的保護提供一個針對企業基礎設施的內省和洞察意見。