「雲安全」與「魚安全」

雲計算是新一代IT變革的核心，涉及互聯網、IT和電信等多個行業，對社會產生了越來越廣泛的影響。 雲計算將分散的資源(計算、存儲、網路)集中整合起來，利用虛擬化和分散式運算等核心技術，向使用者提供更加強大、低成本、便利、迅速、彈性、個人化的服務能力。 雲計算主要有公有雲、私有雲、社區雲和混合雲這四種類型，提供IaaS、PaaS、SaaS這三種服務及它們的衍生組合服務。

但是安全問題是制約雲計算發展的關鍵因素——IDC調查顯示雲計算的安全問題是人們接受雲服務擔心的首要問題。 由於雲計算採用了較多新興核心技術，相對於傳統的資訊服務，雲計算服務的安全問題尤其引人注目。 甚至有些觀點認為雲安全是雲計算服務能否推廣的關鍵。

安全是雲計算中的主要問題

然而雲安全是什麼呢?應該如何保障雲計算安全呢?我們聯繫近幾年同雲計算安全一同被我國社會公眾關注的另一熱點——食品安全問題，以「魚安全」為對照淺談下「雲安全」問題。

假設打算家裡做一餐「魚宴」招待客人，您一定會要保障「魚安全」;看，這和我們保障「雲安全」是多麼的類似!那麼在這個「食品衛生問題」這類安全威脅橫行的時代，如何保證「魚安全」呢?《CSA：雲計算關鍵領域安全指南V3.0》 對各種雲服務和部署模式中安全問題的13個域歸類為治理域和運行域，治理域範疇很寬，解決雲計算環境的戰略和策略，而運行域則關注于更戰術性的安全考慮以及在架構內的實現。 接下來，我們按照這個歸類談談如何在治理域和運行域做到「魚安全」。

首先，我們需要購買一條魚。 想要得到一條健康的魚，我們需要從正規的魚攤/超市這樣的管道去採購，這裡就做到「魚安全」的第一步，類似雲安全的治理和企業風險管理，良好開發的資訊安全治理過程是有效地治理和企業風險管理的前提; 確保在任何雲部署模型中都有適當的資訊安全貫穿于資訊供應鏈(雲計算服務的供應商、使用者、協力廠商供應商)。

接著我們來檢查一下食品的安全標籤，如QS標誌、無公害農產品標誌等，看看這條魚是不是有品質保證的。 食品安全標籤就是魚供應商向我們做的法律性安全保證。 這步就是雲安全的合約和電子證據發現，針對雲計算供應商提供合同式的安全保障。 這點針對雲中資料移轉、相關的雲服務的協定、證據發現等主要問題，從法律層次保障了雲安全，並提供有力的監管。

做到以上兩步還是不夠的，我們還得確認食品加工過程的作業安全是否處於監管狀態之下，類似于雲安全中的合規和審計管理。 合規和審計管理是通過執行安全性原則和相關法規來保持組織自身的合規性，為遷移到雲的使用者和服務提供者提供指導，完成雲安全保障中的一環。

好的，我們已經找到一條健康的魚了，這時就需要保證魚肉保鮮安全了。 對照雲安全的資訊管理和資料安全域保護雲中系統和應用的基礎資料安全的方法，「魚安全」這一步需要新策略和技術架構，最好以魚肉安全週期(資料安全生命週期)為基礎判斷當前應用什麼保鮮方法(安全性原則)使用什麼保鮮技術( 雲安全計術架構)來確保魚肉新鮮。

現在該把魚帶回家了，我們要能維持魚在運輸途中的安全，確保魚在不同地點能保質的傳輸。 這一點就像雲安全中的互通性和可攜性。 雲計算對資料的交換和計算的互動要求較高，這就需要有高可攜性和互通性的保證以使環境變更時能維護安全控制的一致性，雲服務提供者需具備通用、標準、開放的介面及協定。

魚安全的「治理域」

以上就是魚安全的「治理域」了，下面就進入「運行域」的範圍。 要做一餐「魚宴」招待客人，簡單來說就是烹飪魚開始啦。 烹飪要求的廚房基礎設置如廚具、電、煤氣，以及為我們時刻反映廚房環境狀態設施，是任何一個料理過程必不可少的條件。 這就相當於雲安全中傳統安全、業務連續性和災害復原。 這裡和傳統網路安全一樣，是雲服務必不可少的前提條件。

我們還需要保證廚房清潔衛生，這是接下來的料理工作長期穩定的進行的保障，無法想像如何在一個雜亂、垃圾滿地的廚房裡會做出一頓佳餚。 類比雲安全的資料中心運行域，需正確評估供應商的資料中心架構和運行，確保系統、資料、網路、管理、部署和人員方面的全方位相互隔離，有助於維持長期的穩定性。

廚房光光整潔是不夠的，我們通常還會安裝煙霧器、計時器，配備冰箱。 這是為了在烹飪時給我們足夠的、可尋的安全預警，提供應急補救。 這就是雲安全的事件回應域，參照NIST的應急處理指南，檢查雲計算的特性和各種為事件處理設置的服務部署模型，建立事件回應生命週期管理，充分、高效的處理雲中的安全事件。

終於到了下廚的時候了，我們需要掌握火候，確保魚安全的「應用安全」。 在雲服務的所有SaaS、PaaS、IaaS的所有層面，雲計算對應用程式的生命週期安全都產生廣泛的影響。 雲安全的應用安全域保護在雲中運行或即將開發的應用(包括確保將某個應用遷移到或設計進雲中運行是否適當，以及決定應遷移到什麼類型的雲平臺中去)。

一條魚是否做的出眾，很大程度取決於您擁有的獨特秘方。 做好魚安全的其中重要一步也是保守好這個秘方。 與此相似，雲安全中採用加密和金鑰管理來應對雲使用者和供應商都需要避免資料丟失和被竊的問題。 由於雲環境由多個「租戶」共用，資料及應用的有效隔離、在內部傳輸及靜止狀態的安全防護也依賴于加密和金鑰管理。

另外，由誰來烹飪魚這可是一個大問題。 您可以親自下廚或是指定一個信得過的好友來進行。 您得對廚師進行審核，如同雲安全中的身份、許可權和訪問管理一樣，判斷廚師的身份是否真實、他是否有烹調魚的許可權，同時他進入廚房也需要得到您的批准。 無論如何，在準備好一切後，您希望造訪廚房的是一個好廚子而不是一隻饑腸轆轆的野貓。

到此為止，魚已經做好了，但一個「魚宴」還需要一桌好配菜，組合在一起才是「宴」。 正如雲安全的虛擬化域，由於虛擬化作為核心技術之一給雲計算帶來巨大好處的同時，也帶來了一系列嚴重的網路安全防護問題(作業系統虛擬化、多租戶、VM 隔離、VM共居、hypervisor脆弱性等)。 我們應該特別注重系統和硬體虛擬化相關的安全問題，這樣才是做到了一個完整的雲安全。

魚安全的「運行域」

最後，以上所有的魚安全控制的措施可以看成一個「魚安全保證」的服務(看看我們雲安全的Security as a Service服務)。 您可以直接訂制這個服務，比如說找個專業的酒店(我們的雲安全供應商)直接為您做一個盛大又安全的「魚宴」。

文章到了這裡就要結束了。 我們類比一場「魚宴」中的「魚安全」問題，對雲計算的「雲安全」進行了簡要的介紹，希望您能對雲安全有個大體的瞭解。 在雲計算興起的當下，如同做好「魚安全」工作一樣，做好「雲安全」的工作，在新興環境下大展鴻途!