淺談雲計算的安全問題——“瑞友杯”虛擬化徵文

雲計算、雲存儲、雲軟件、SaaS雲服務、雲操作軟件、雲安全…雲已經成爲IT產業的熱門詞彙。雲計算可以根據需要提供虛擬基礎設施，並以服務提交的方式對外提供服務。雲計算體現出的是一種IT基礎設施即服務的思想方法，它能夠讓計算服務像水、電等公共服務一樣，隨需取用、按需付費，被視爲信息產業的第三次革命，將是未來社會信息化的主要形式。
目前“雲計算”的主要有三大類，一類是以Google和Amazon爲代表的基於Internet和E-Business服務模式，即“公有云”，是完全基於互聯網的服務；一類是以IBM、Oracle爲代表的以提供硬件、軟件等爲主導服務模式，是基於企業數據中心管理的“私有云”模式；還有一類是這兩種的混合，即“混合雲”，企業根據數據的敏感級別、安全性、可用性和可管理性來決定哪些應用採取哪種雲模式。
雲計算是IT 產業的大趨勢。不過，要讓用戶現在就向“雲端”遷移還面臨相當多的問題，其中對安全方面的擔心是雲計算落地的最大阻力之一。那麼，我們應該如何看待雲計算對信息安全的挑戰，如何着手保證雲計算的安全呢？
1 雲計算帶來的安全性
在雲時代，數據和應用程序都保存在“ 雲” 端， 由“公有云”提供商或內部“私有云”管理部門提供技術支持，這種集中管控對信息的安全是有利的。內部私有云比多個業務部門自行運維繫統，來得更安全、經濟且有效率；雲服務提供商配有專業的設備和專業的安全人員提供7×24 小時的安全保護，因此信息安全的保障能力更強，並且更經濟。另外，雲服務提供商大多主動遵循相關規範（如ISO 270001等） 並積極通過國際標準組織認可的獨立第三方認證，且有獨立第三方對雲服務提供商進行審計和監管，這客觀上促進了雲服務提供商改進自己的安全及服務水平。不管是技術實力還是資金實力，雲服務商的雲環境其安全水平都要好於企業自己的IT 環境。
另外，“雲安全”產品也提升了雲計算的安全性。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及***，在這樣的情況下，採用的特徵庫判別法顯然已經過時。隨着雲計算技術的出現，安全防禦不僅從被動轉爲主動，更是從主動轉爲預測式防禦。它融合了並行處理、網格計算、未知病毒行爲判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行爲的異常監測，獲取互聯網中***、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和***的解決方案分發到每一個客戶端。因此識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行採集、分析以及處理。整個互聯網就是一個巨大的“殺毒軟件”，參與者越多，整個互聯網就會更安全。
2 雲計算面臨的安全挑戰
雲時代擁有衆所周知的成本優勢和一定的安全優勢，但是由雲計算帶來的新的安全問題，也給企業安全帶來不小的挑戰。雲安全聯盟最新的調查研究也顯示，51%的企業CIO認爲安全是雲計算最大的顧慮。而且，這些安全問題並不是一種隱憂，它實際上已經在不斷的發生。
1) 企業對數據安全和隱私方面的擔心。法律法規、制度和流程是首當其衝的問題，因此應建立健全相應的法律法規，保障第三方安全性，符合上市公司要求的法規遵從，特別是出現問題時的責任劃分和雲服務提供商退出後的保障機制。早些年，大家對信用卡作爲商業工具還心存疑慮，現在我們對它已經信任了，在使用它的時候也不會再過多的考慮這個問題。現在已有許多全球500 強公司開始採用各類SaaS 雲服務，例如Saleforce.com 公司提供的CRM雲服務。在國內，大多數企業還不太放心將自己的敏感信息保存在第三方，所以目前仍着重於私有云的建設。但隨着安全制度與法規逐步的完善、安全技術的進步，未來公有云服務必將得到快速的發展。
2) 雲標準尚無定論。在IT發展過程中的羣雄割據和利益導向，導致標準林立。很多廠商都在紛紛定義私有的應用標準和數據格式，迫使用戶在IT系統建設時，不得不按照不同廠商產品設定的框架裝入自己的業務。最終導致業務割裂，系統混亂。在雲計算中，標準非常重要。因爲各種雲服務之間的互操作性對於確保雲不會陷入專利的安全孤島來說是至關重要的。目前雲計算的應用還在起始階段，要制定雲計算的行業標準還太不成熟，有不少的組織已經創建並擴展了支持雲的各種標準倡議，雲管理工具也正在努力提取雲和雲之間的不同。雲標準的建立是未來雲計算髮展必不可少的一環。
3) 保證雲計算的可用性和可管理性。亞馬遜數據中心宕機事件、Google的Gmail不能使用事件、微軟的BPOS停止服務事件等都是近兩年出現的雲計算可用性的問題，也使得企業對公有云的應用產生了一定的負面影響。雲計算是基於互聯網的應用，越來越多的信息和數據要通過廣域網傳輸，防護各種網絡******、應用交付/加速系統提升用戶體驗、如何提供給瘦客戶端用戶安全方便的管理功能等都是雲計算需要重點解決的問題。
4) 虛擬化技術給雲計算帶來的安全挑戰。在虛擬化環境中，服務器就是一個個文件、而不再是獨立的服務器，文件很容易被帶走，泄密的風險提高了；當很多虛擬機運行在物理服務器上時，這些虛擬服務器的管理員的工作往往也接手了虛擬化網絡環境的管理，這就意味着管理員的權限增加了，需要重新規範管理員的權限；虛擬化平臺的引入可能成爲新的安全漏洞，一旦***攻破了它，就意味着***將掌控虛擬化平臺上運行的所有虛擬機，前不久發生的索尼信用卡被盜事件就是這方面的體現；此外，虛擬機的鏡像管理也可能成爲新的安全漏洞。比如，在兩次快照之間升級了系統後，由於某些原因可能需要退回到前一個沒有進行系統升級的快照，此時，系統升級就可能被疏忽掉。實際上，不少安全廠商圍繞虛擬化環境的安全推出了很多安全產品，包括對管理員在虛擬化環境中的權限進行管控與審計的工具，通過部署專門的安全虛擬機來保護各個虛擬機的安全，從而避免在每個虛擬機上都部署一套安全產品，減少防護空窗並提升虛擬環境運作效率，以及虛擬化環境進行合規性檢查的各種工具等。
3 總結
總之，雲計算下的安全威脅，不能再僅僅圍繞各種傳統的“安全策略”，而是要植根於具體的網絡應用，並通過技術手段實時瞭解和感知這些應用，才能真正化解雲計算應用中多變的安全威脅。雲計算給信息安全帶來的既有有利因素、也有不利因素，最終的效果則取決於我們是否能發揮它的優勢而規避其劣勢，從而使雲成爲一個真正能夠節約成本，提高生產率的安全平臺。