當前位置：云計算 → 云安全 → 正文

“云安全”與“魚安全”

責任編輯：editor004 |來源：企業網D1Net 2014-11-11 20:53:49 本文摘自：慧聰網

摘要：安全問題是制約云計算發展的關鍵因素——IDC調查顯示云計算的安全問題是人們接受云服務擔心的首要問題。由于云計算采用了較多新興核心技術，相對于傳統的信息服務，云計算服務的安全問題尤其引人注目。甚至有些觀點認為云安全是云計算服務能否推廣的關鍵。

云計算是新一代IT變革的核心，涉及互聯網、IT和電信等多個行業，對社會產生了越來越廣泛的影響。云計算將分散的資源(計算、存儲、網絡)集中整合起來，利用虛擬化和分布式計算等核心技術，向用戶提供更加強大、低成本、便利、迅速、彈性、個性化的服務能力。云計算主要有公有云、私有云、社區云和混合云這四種類型，提供IaaS、PaaS、SaaS這三種服務及它們的衍生組合服務。

但是安全問題是制約云計算發展的關鍵因素——IDC調查顯示云計算的安全問題是人們接受云服務擔心的首要問題。由于云計算采用了較多新興核心技術，相對于傳統的信息服務，云計算服務的安全問題尤其引人注目。甚至有些觀點認為云安全是云計算服務能否推廣的關鍵。

安全是云計算中的主要問題

然而云安全是什么呢?應該如何保障云計算安全呢?我們聯系近幾年同云計算安全一同被我國社會公眾關注的另一熱點——食品安全問題，以“魚安全”為對照淺談下“云安全”問題。

假設打算家里做一餐“魚宴”招待客人，您一定會要保障“魚安全”;看，這和我們保障“云安全”是多么的類似!那么在這個“食品衛生問題”這類安全威脅橫行的時代，如何保證“魚安全”呢?《CSA：云計算關鍵領域安全指南V3.0》對各種云服務和部署模式中安全問題的13個域歸類為治理域和運行域，治理域范疇很寬，解決云計算環境的戰略和策略，而運行域則關注于更戰術性的安全考慮以及在架構內的實現。接下來，我們按照這個歸類談談如何在治理域和運行域做到“魚安全”。

首先，我們需要購買一條魚。想要得到一條健康的魚，我們需要從正規的魚攤/超市這樣的渠道去采購，這里就做到“魚安全”的第一步，類似云安全的治理和企業風險管理，良好開發的信息安全治理過程是有效地治理和企業風險管理的前提;確保在任何云部署模型中都有適當的信息安全貫穿于信息供應鏈(云計算服務的供應商、用戶、第三方供應商)。

接著我們來檢查一下食品的安全標簽，如QS標志、無公害農產品標志等，看看這條魚是不是有品質保證的。食品安全標簽就是魚供應商向我們做的法律性安全保證。這步就是云安全的合約和電子證據發現，針對云計算提供商提供合同式的安全保障。這點針對云中數據遷移、相關的云服務的協定、證據發現等主要問題，從法律層次保障了云安全，并提供有力的監管。

做到以上兩步還是不夠的，我們還得確認食品加工過程的作業安全是否處于監管狀態之下，類似于云安全中的合規和審計管理。合規和審計管理是通過執行安全策略和相關法規來保持組織自身的合規性，為遷移到云的用戶和服務提供商提供指導，完成云安全保障中的一環。

好的，我們已經找到一條健康的魚了，這時就需要保證魚肉保鮮安全了。對照云安全的信息管理和數據安全域保護云中系統和應用的基礎數據安全的方法，“魚安全”這一步需要新策略和技術架構，最好以魚肉安全周期(數據安全生命周期)為基礎判斷當前應用什么保鮮方法(安全策略)使用什么保鮮技術(云安全計術架構)來確保魚肉新鮮。

現在該把魚帶回家了，我們要能維持魚在運輸途中的安全，確保魚在不同地點能保質的傳輸。這一點就像云安全中的互操作性和可移植性。云計算對數據的交換和計算的互動要求較高，這就需要有高可移植性和互操作性的保證以使環境變更時能維護安全控制的一致性，云服務提供商需具備通用、標準、開放的接口及協議。

魚安全的“治理域”

以上就是魚安全的“治理域”了，下面就進入“運行域”的范圍。要做一餐“魚宴”招待客人，簡單來說就是烹飪魚開始啦。烹飪要求的廚房基礎設置如廚具、電、煤氣，以及為我們時刻反映廚房環境狀態設施，是任何一個料理過程必不可少的條件。這就相當于云安全中傳統安全、業務連續性和災難恢復。這里和傳統網絡安全一樣，是云服務必不可少的前提條件。

我們還需要保證廚房清潔衛生，這是接下來的料理工作長期穩定的進行的保障，無法想像如何在一個雜亂、垃圾滿地的廚房里會做出一頓佳肴。類比云安全的數據中心運行域，需正確評估提供商的數據中心架構和運行，確保系統、數據、網絡、管理、部署和人員方面的全方位相互隔離，有助于維持長期的穩定性。

廚房光光整潔是不夠的，我們通常還會安裝煙霧器、定時器，配備冰箱。這是為了在烹飪時給我們足夠的、可尋的安全預警，提供應急補救。這就是云安全的事件響應域，參照NIST的應急處理指南，檢查云計算的特性和各種為事件處理設置的服務部署模型，建立事件響應生命周期管理，充分、高效的處理云中的安全事件。

終于到了下廚的時候了，我們需要掌握火候，確保魚安全的“應用安全”。在云服務的所有SaaS、PaaS、IaaS的所有層面，云計算對應用程序的生命周期安全都產生廣泛的影響。云安全的應用安全域保護在云中運行或即將開發的應用(包括確保將某個應用遷移到或設計進云中運行是否適當，以及決定應遷移到什么類型的云平臺中去)。

一條魚是否做的出眾，很大程度取決于您擁有的獨特秘方。做好魚安全的其中重要一步也是保守好這個秘方。與此相似，云安全中采用加密和密鑰管理來應對云用戶和提供商都需要避免數據丟失和被竊的問題。由于云環境由多個“租戶”共享，數據及應用的有效隔離、在內部傳輸及靜止狀態的安全防護也依賴于加密和密鑰管理。

另外，由誰來烹飪魚這可是一個大問題。您可以親自下廚或是指定一個信得過的好友來進行。您得對廚師進行審核，如同云安全中的身份、權限和訪問管理一樣，判斷廚師的身份是否真實、他是否有烹調魚的權限，同時他進入廚房也需要得到您的批準。無論如何，在準備好一切后，您希望造訪廚房的是一個好廚子而不是一只饑腸轆轆的野貓。

到此為止，魚已經做好了，但一個“魚宴”還需要一桌好配菜，組合在一起才是“宴”。正如云安全的虛擬化域，由于虛擬化作為核心技術之一給云計算帶來巨大好處的同時，也帶來了一系列嚴重的網絡安全防護問題(操作系統虛擬化、多租戶、VM 隔離、VM共居、hypervisor脆弱性等)。我們應該特別注重系統和硬件虛擬化相關的安全問題，這樣才是做到了一個完整的云安全。