為您解讀下什麼是雲安全

「雲計算」似乎已經被許多公司捧為了未來互聯網和電腦的發展方向，特別是最近一段時期，與雲計算有關的雲安全更是成為了許多安全公司最愛提及的新名詞。 但是現今連雲計算標準都在爭論不休之際，雲安全又是什麼?這朵藏在雲裡的安全能夠為企業和使用者帶來什麼樣的實際安全呢?

雲計算與雲中安全

問到雲安全與現在企業或者個人使用者使用的殺毒軟體、防火牆等安全措施的區別。 回答這個問題首先要從雲計算的特點說起。 雲計算被它的吹捧者們視為「革命性的計算模型」。 在這些科技界的奇才們看來，因為高速互聯網的傳輸能力，人們便可將資料的處理過程從個人電腦或伺服器移到互聯網上的電腦集群中。 也就是說，人們可以把各種應用軟體放在遠端的伺服器上，就像天邊的雲，你連上網在把它拿來用，平常就放在雲上，有專人幫你管理。

對於普通使用者，這意味著從此可以徹底拋棄電腦主機，僅使用顯示器和鍵盤就能通過互聯網享受現在電腦上提供的一切服務，而且你可以在任何設備上無差別的使用這些服務，例如在手機中使用與電腦中一樣的軟體。 而對於企業而言也意味著自己可以不必每年在購買大量的電腦設備，不用再為後續的硬體升級、軟體採購和系統維護等煩惱了，一切只需要每年付出一定比例的計算費用購買雲計算服務即可。

雖然雲計算有如此多的誘惑力，但是許多企業並沒有打算馬上跟進，其中最主要的原因就是處於安全考慮。 因為使用了雲計算，就意味著企業要將自己全部的資料都要放置到雲計算服務提供者的電腦中，掌控權旁落讓許多企業非常擔心，特別是對於企業關鍵資料而言，如何才能夠相信服務商不會將這些資料秘密出售給自己的競爭對手呢?

類似質疑的聲音早在2007年谷歌公司發佈 Apps服務的時候就開始出現了，Apps服務是一種簡化的線上Office辦公軟體，它讓企業可以在互聯網中輕鬆獲取辦公軟體服務，並可以將文檔儲存在網路中，而無須再安裝類似的應用軟體。 Apps是雲計算的雛形，但許多公司一直保留自己的質疑，擔心谷歌會不會在背地裡搜索分析使用者上傳的文檔。

不過，包括IBM在內支援雲計算的服務商在解釋這個問題時認為，現在人們對雲計算中資料安全的擔心是完全沒有必要的，因為在雲計算這個龐大的計算矩陣中，所有的資料都是處於分散的狀態， 像如同以前一樣通過一台伺服器來得到機密資訊幾乎不可能，而且即便攻破多台伺服器，破譯和還原資料的難度也非常之高。

但是這並沒有完全說服人們信賴雲計算，畢竟現在大多數企業的身家性命幾乎完全都保存在電腦內，而萬一交由外人保管的資訊出現問題，那麼對於許多企業和使用者來說無疑是致命的危險。 因此只要雲計算沒有做到完全安全的地步，那麼雲計算服務就會被某些安全要求極高的客戶排斥，這就是國際上許多廠商一直談論的雲中安全。

看清國內的雲安全

但雲中安全與那殺毒軟體廠商最近熱捧的雲安全並不是同一概念。 現在國內許多殺毒軟體廠商所談論的雲安全是我國企業自己創造的一個概念名詞。 在國外的與概念中並沒有Cloud Security這樣一個名字，因此許多國內的雲計算追隨者認為雲安全是一個偽命題。 不過雲安全的概念在提出後還是受到了安全廠商的一致追捧。

目前雲安全概念其核心主要是想利用大規模的雲計算來抵禦日益複雜多樣的駭客攻擊與病毒攻擊。 有廠家稱自己通過雲計算捕捉病毒樣本，有的廠家稱自己在通過雲計算自動分析病毒樣本，各個廠商雖然宣傳的方向不同，不過主要還是向使用者灌輸一個思想，即通過自己的雲計算中心打造的雲安全軟體能夠讓使用者獲得更多的安全性能。

不過硬體安全廠商顯然更愛這個概念，這種雲安全的實施是通過多點設防，希望能夠通過對不同安全層次的網路設備進行不同的安全防護，並讓這種防護措施能夠進行聯動，最終實現防禦安全威脅的目的。 這也就意味著選擇部屬雲安全，需要企業從上到下整體都加入雲安全的防護節點。 不過對於企業使用者而言，這種防禦方法確實能夠明顯提升安全性，並降低用戶端維護量。

雲安全的這種分散式集群防火的思路與國內一位安全專家在2003年提出的反垃圾郵件網格非常接近，這位專家認為垃圾郵件氾濫而無法用技術手段很好地自動過濾，是因為所依賴的人工智慧方法不是成熟技術。 垃圾郵件的最大的特徵是：它會將相同的內容發送給數以百萬計的接收者。 為此，可以建立一個分散式統計和學習平臺，以大規模使用者的協同計算來過濾垃圾郵件。

首先，使用者安裝用戶端，為收到的每一封郵件計算出一個唯一的「指紋」，通過比對「指紋」可以統計相似郵件的副本數，當副本數達到一定數量，就可以判定郵件是垃圾郵件。 其次，由於互聯網上多台電腦比一台電腦掌握的資訊更多，因而可以採用分散式貝葉斯學習演算法，在成百上千的用戶端機器上實現協同學習過程，收集、分析並共用最新的資訊。

以防範電子郵件傳播的病毒為例，當一部分夾雜有惡意程式碼的電子郵件通過網路進行傳播時，首先雲安全會通過垃圾郵件檢測方法，進行第一次過濾排查，例如電子郵件黑白名單技術和關鍵字組合技術等。 如果這一層放過了該郵件，那麼還會有第二層對與郵件內容的分析。 而當內部電腦被病毒感染後，通常會插入系統進程並通過UDP等方式連接伺服器下載更多的病毒或者繼續傳播病毒，這時負責監控系統的安全環節就要發揮作用了。 因此可以看到，多樣化威脅的防禦需要動態的多層次的檢測能力。 而雲安全的高級特徵分析能力為使用者提供了多層次的威脅防禦分析，也在很大程度上提高的實際安全效能。

因此推崇雲安全的企業認為雲安全概念體現了真正的雲計算思想，每個加入系統的使用者既是服務的物件，也是完成分散式統計功能的一個資訊節點，隨著系統規模的不斷擴大，防禦病毒的準確性也會隨之提高。 用大規模集群方法來篩查病毒的做法比用主動防禦等其它的方法更成熟，實用性更強。

不過需要說明的是，目前各個廠家所說的雲計算並非一種新的技術，在國外的安全技術文獻中，它實際上是伴隨著分散式儲存計算技術成長起來的一種安全技術。 它最主要的技術特點也是利用伺服器集群的強大處理能力，對用戶端的安全配置進行精簡，也就是我們通常所說的瘦用戶端。 不過以前企業都將其稱之為分散式架構來做安全體系，而現在叫做雲安全。 但歸根結底這種技術的主要目的還是要完善各個結點、各個位置的安全防護措施。 換句話說，如果以前是單兵作戰的話，雲安全之後就是集團作戰。

雲安全技術之爭

雲安全在技術方面需要強大的分散式運算集群，也就是通常所說雲端，再結合配以用戶端，才能夠構建實現有效的智慧威脅收集系統、計算雲系統、服務雲分發系統。 雲安全對各安全廠家也存在認識上的區別，因為它是一種含糊的安全服務模式，因此不同的雲安全理解和定義，所產生的安全防範效果會相差很大。

目前國內的安全廠商都在研發各自標準的雲安全，但是部屬雲安全的整合性非常高，這也就意味著企業一旦採用某一款雲安全產品之後，那麼很可能會從上到下全部使用該安全廠商的整體雲安全解決方案， 因此目前安全廠商對雲安全的技術標準產生了很大的分歧。

與這部分安全廠商強調要求企業購買雲安全設備保護自己不同，目前另一部分安全廠商理解的雲安全更多的是雲端安全的概念，就讓企業不用在添置購買設備，而直接享受安全服務的概念。 一種是基於頻寬的服務，比如基於運營商或者互聯網服務提供者ISP的拒絕服務保護和回應。 例如中國電信在網路安全方面所做的要比企業優秀，成本更低。 而且他可以在你使用寬頻的時候，同時在上游將攻擊過濾掉。

之所以出現這樣的技術之爭，主要是目前雲計算平臺廠商各自的技術與理解也各不相同。 有許多設備廠商希望企業能夠構建自己的私有雲，而有部分網路服務商則希望更多的企業能夠依附于自己的雲計算中心中，通過自己的雲計算中心説明中小企業解決雲計算的需求，也正因如此就出現了兩派不同的雲安全和雲中安全之爭。

此外有專家也認為雲安全目前炒作過於嚴重，許多廠商紛紛跟風推出雲安全解決方案，但是與統一威脅管理UTM硬體解決方案並無二致。 而UTM就是因為當年眾多廠商紛紛炒作，導致國內UTM市場一團混亂，最終是UTM在國內失去了口碑與魅力，如今這種將UTM改頭換面套上雲安全的炒作有可能會再次將重演UTM的鬧劇。

另外有專家認為雲安全還存在五點疑問：第一，一個強壯、安全的雲安全方案，是否會影響商業網路本身的性能，甚至帶來額外的故障點?第二，很多使用者希望能夠快速、精准地檢測到來自Web的安全威脅， 但是使用者有沒有關心安全設備自身的威脅簽名清單資料庫容量是否足夠大?第三，隨著越來越多的安全威脅嵌入到應用程式之中，簡單、傳統的封包檢測是否還能應付?第四，如果廠商不能提供多區域分佈資料庫的主機服務， 擁護是否會面臨有雲無回應的風險?第五，不同廠商提供的雲安全方案橫跨終端與閘道，應用與更新過程中是否會出現相容性風險?

總的來說，部分安全廠商的確有借雲安全炒作的嫌疑，但是也能夠感覺到，隨著網路安全越來越呈現出複雜情況，特別是病毒數量的日益增多，許多廠商已經開始尋求綜合解決方案，並希望借助人工智慧及集群計算的優勢， 用來解決應對這種日漸嚴重的危機。 因此無論是雲安全還是雲中安全，有何有效説明企業抵禦在資料處理中的危險，才應該是安全企業真正需要考慮的核心問題。