第八屆中國云計算大會于2016年5月18日在北京國家會議中心正式拉開帷幕。本屆大會的主題為“技術融合，應用創(chuàng)新”，吸引了眾多來自云計算與大數(shù)據(jù)領域的優(yōu)秀服務商參展，同時大會主辦方也邀請到了許多業(yè)界大牛作為嘉賓蒞臨演講。我們在大會進行期間，有幸采訪到來自新致軟件的云計算事業(yè)部總經理田奎先生，并圍繞其在本次大會中的演講主題“構建安全的云計算平臺”進行了簡短的采訪。

　　以下我們將對田奎先生的采訪進行了整理，在這里與大家一起分享：

先簡單地介紹下云計算平臺的安全需要由哪幾個層面組成？

云平臺的基礎架構安全我們需要將它分成兩個方面來解構。其一是云平臺整體架構安全，整體架構安全是由物理架構與虛擬架構兩種組成的，這就包括了統(tǒng)一的網(wǎng)絡架構、物理網(wǎng)絡平臺安全、防Ddos攻擊安全以及虛擬網(wǎng)絡平臺安全等一系列的安全內容。而另一個層面就是云平臺的虛擬化安全，其中則包括CPU、內存、存儲和網(wǎng)絡四個部分的虛擬化安全。說得細一點，拿虛擬化安全中的網(wǎng)絡安全來舉例，虛擬化其實對網(wǎng)絡安全是存在巨大威脅的，虛擬機間可能通過內存而不是網(wǎng)絡進行通訊，因此這些通訊流量對標準的網(wǎng)絡安全控制來說是不可見的。而這時我們就需要通過云平臺運維管理，采用有效的手段使云平臺上的所有環(huán)節(jié)都是可視化呈現(xiàn)的，以便我們進行監(jiān)測與迅速反應。

現(xiàn)在，越來越多的個人和企業(yè)都開始接受并使用云，但是用戶的數(shù)據(jù)安全是否能夠得到絕對的保證也成為了熱議的話題，您對此有什么看法？

云平臺上的管理訪問都是通過互聯(lián)網(wǎng)，而不是傳統(tǒng)數(shù)據(jù)中心模式中堅持的受控制的和限制的直接或到現(xiàn)場的連接，這自然會增加風險和暴露，所以就要求對系統(tǒng)控制和訪問控制限制的變化進行極為嚴密的監(jiān)控。目前行業(yè)內對用戶數(shù)據(jù)安全的保護必須要符合這幾點：1、用戶數(shù)據(jù)安全隔離 2、用戶數(shù)據(jù)存儲安全 3、用戶數(shù)據(jù)訪問控制安全 4、用戶數(shù)據(jù)傳輸安全。當然除此之外，肯定還需要必要的保密協(xié)議等等以保證云服務商自身不會對客戶的數(shù)據(jù)進行權限外的處理。

那么從整體的角度上來說，我們如何通過云平臺運營管理來保證其安全性呢？

在云平臺運營管理中每個服務商肯定都會有一套相應的標準化流程的，我簡單地說下我對云平臺運營管理流程的一些看法。從用戶管理的角度來說，云服務商應該對用戶帳號進行集中維護管理，為集中訪問 控制、集中授權、集中審計提供可靠的原始數(shù)據(jù)，并且要建立統(tǒng)一、集中的認證和授權系統(tǒng)，以提高用戶訪問的安全性。在安全審計方面，應該建立安全審計系統(tǒng)，進行統(tǒng)一、完整的審計分析，通過對操作、維護等各類日志的安全審計，提高對違規(guī)溯源的事后審查能力。當然一個完備的安全運營策略及安全維護規(guī)章要求肯定是必不可少的。最后，就是應急響應這一塊，我們云服務商肯定需要制定數(shù)據(jù)中心安全事件應急響應機制及流程，包括安全事件的等級劃分、處理流程、事件上報等規(guī)范要求。

您跟我們分析了很多關于云平臺管理安全的相關內容，我們也對云平臺管理安全方面有了一定的了解，那么您能給我們舉些詳細的例子讓我們更方便我們的理解么？

其實，在新致云的日常監(jiān)控中其實發(fā)生過這么一件事情，有一天新致云監(jiān)控平臺通過監(jiān)控發(fā)現(xiàn)外網(wǎng)的機器發(fā)出驚人的syn 半連接，因為我們前期通過防火墻部署過syn過濾數(shù)，流量在進入到我們真正的服務器前都被我們的流量清洗設備過濾了，然后將干凈的流量送到了真正的被攻擊服務器。其實黑客攻擊的是我們在各個數(shù)據(jù)中心部署的CDN網(wǎng)絡,CDN中的流量檢測設備檢測到后，送給清洗設備，清洗后的流量就送給攻擊目標，這樣就減輕了攻擊目標的壓力。事后，我們統(tǒng)計下來 ，這次我們的清洗設備擋住了100Gbit/s 攻擊。

可以看出我們的云服務廠商是真真切切地將云安全視為云服務環(huán)節(jié)中的重中之重。

我們大家都知道新致云可以說是業(yè)界唯一一家兼顧IaaS、SaaS、PaaS服務的云服務提供商，相應地，對云安全的要求自然也會更高吧？

這個是肯定的，在新致云建設初期，我們就著手建立了通過硬件防護和軟件預防與事后追蹤機制，同時也在積極準備加入云安全聯(lián)盟，后期我們將提供給用戶全軟件方式的安全保障機制，這樣用戶可以更加靈活，無限擴展性地使用云安全產品，降低用戶使用的門檻。另外新致云也建立了強大的數(shù)據(jù)中心監(jiān)控體系來實時地監(jiān)控數(shù)據(jù)中心的運行狀態(tài)，保證用戶的使用安全。后期的話，我們主要通過通過開放軟件防護來提供給用戶自已選擇和使用，同時加入云安全聯(lián)盟，力求和業(yè)界與用戶共同建立強大的安全體系。

演講嘉賓簡介：田奎，在2008年畢業(yè)于東華理工大學計算應用技術專業(yè)，碩士學位。現(xiàn)任新致云計算事業(yè)部總經理，主管新致云平臺研發(fā)、新致云數(shù)據(jù)中心建設以及云平臺相關產品的研發(fā)工作。2009年至今，始終致力于與虛擬化、大數(shù)據(jù)、云計算技術相關的研發(fā)和管理工作。

在運軟網(wǎng)絡科技（上海）有限公司，負責虛擬化、云計算領域的技術開發(fā)。其參與開發(fā)的Desktone項目后被vmware收購；2012年，正式進入云計算行業(yè)，曾于上海賽為信息技術有限公司就職，負責ovirt私有云的研發(fā)與管理，同時負責openstack的桌面云研發(fā)與管理；2015年至今，任新致云計算事業(yè)部總經理一職。