DDOS全名是Distributed Denial of service （分布式拒絕服務攻擊），很多DOS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊，DDOS 最早可追溯到1996年最初，在中國2002年開始頻繁出現，2003年已經初具規模。而目前云計算拒絕服務攻擊這種老套的網絡犯罪如今成為了數據中心管理人員所需面臨的新威脅。

隨著越來越多的公司開始使用虛擬化數據中心和云服務，企業基礎設施出現了新的弱點。與此同時，云計算拒絕服務攻擊也開始由原來利用大量數據流進行暴力式攻擊轉變為針對基礎應用程序的技術性攻擊。

在云計算中，公司需要擔心的不僅僅是對他們資源的攻擊，還需要擔心對主機托管租戶的攻擊。因為隨著多租戶的普及，針對一個公司的攻擊可能會影響到另外一些雖然沒有聯系的，但也采用主機托管的公司的服務。

本期我們討論的話題是：云計算怎樣打敗勁敵DDOS,說出你的想法即可。

云的實質

從應用的角度講，云計算并不是技術的革命，而是服務方式的更新，其實質是一種統一的集中的服務提供方式。這種服務和應用提供方式的轉變與計算技術發展初期集中計算模式有本質區別，它是建立在計算技術、網絡技術以及業務應用充分發展的基礎之上的。盡管云計算需要一些新的技術手段來支持它的實現，但根本上說，云計算改變的不是技術而是服務及應用的模式，而且這種改變將是深遠的。即便它不能最終如很多人期望的那樣成功，也會對未來的信息技術發展產生重要影響。

云端的安全

云端安全一直是云計算安全問題的焦點，這一方面已經有很多專家學者和產業界的人士從各種角度給予了分析。當然，也有很多人認為云端安全問題沒有想象的那么嚴重。就我個人來看，云端安全問題包括兩個層面，一是技術層面安全，另一個是社會層面的安全。技術層面的安全包括： 系統安全、數據安全、內容安全和使用安全，同時更強調系統的可靠性、可用性和安全性。從安全問題在云端系統中的分布來看，云端安全可以包括基礎架構安全、虛擬化技術安全、云存儲安全、云應用安全等在內的諸多問題。技術層面的安全應該說并不難解決，我相信云端存在的安全問題不會比我們大家廣泛使用的操作系統更多。社會層面的安全其實是云計算及云服務所面臨的最大挑戰和最難逾越的障礙。這里面包括政府的相關法律法規是否完善，相關的糾紛仲裁以及取證如何實施等等，其實質上是考驗更深層次的社會信任和信譽機制是否成熟。缺乏信任以及信任無法獲得有效監督和監控都將嚴重影響云計算的廣泛應用和部署。

云端基礎架構的安全隱患

云計算的安全更多的取決于云計算基礎架構。云計算部署之初，直接采用從底層開始系統設計和開發的云計算基礎架構還是少數的，更多的是近似的云基礎架構，也就是說大多數云基礎架構沒有深層次的考慮應用和服務的需求和特點。這種情況下，應該說，整個云計算基礎架構的可靠性、可用性都存在一些問題，當然也包括安全性。這樣的系統更容易遭受到攻擊，不僅僅包括一切現有網絡應用中存在的攻擊行為和方式，而且由于整個基礎架構上的不完善，更多的漏洞和缺陷將被利用，其所帶來的損失和危害也更大。應對這些安全隱患，需要更加重視云基礎架構的全面的系統的設計，在必要的基礎服務設施及內部網絡上引入有針對性的技術和產品。額外需要指出的一點是，從國家安全和利益這個角度上講，我們需要有自主知識產權的基礎架構技術和產品，這一點非常重要。

應對云端虛擬化安全問題

云端虛擬化是構建云基礎架構平臺的重要手段，也正是因為虛擬化的重要性，它本身的安全問題也是云基礎架構平臺所需要重點考慮的。虛擬化在某種程度上會帶來某些安全特性的提升，如對用戶行為進行了一定程度上的隔離。但另一方面，它所引入的風險也不容小視。虛擬環境下很多傳統的安全防護產品將失去作用，而一旦一個虛擬節點遭到入侵，將給整個云基礎架構帶來致命的威脅。

云端虛擬化安全問題的解決還要更多的依賴于有針對性的安全技術和產品，這方面的未來市場需求還是很大的。

解讀云計算安全風險

云計算面臨的安全風險可以從兩個角度來分析，一是從用戶的角度，即用戶在使用云的時候所面臨的安全風險；另一個是從云提供者的角度，即云服務商在提供服務時面臨的安全風險。

從用戶的角度來看，在云環境下，用戶對于應用運行和數據存儲的物理環境缺乏必要管理和控制權限，所謂安全完全建立在對云提供者的信任基礎之上，而沒有監控和審核的信任往往又是最不安全的。因此，用戶必須充分意識到云計算這種服務模式固有的安全風險，特別是在相關的法律法規還不健全，第三方監督還沒有有效建立的情況下，必須考慮與云服務提供者達成詳細的有約束力的契約。

從云提供者的角度來看，必須要應對用戶/數據隔離失效風險、云服務可靠性及可用性風險等。除此之外，云提供者還必須要應對惡意用戶對于云的濫用風險。為了規避以上風險，云提供者必須對云進行系統、全面的安全加固，不僅要在網絡層面，在云中部署針對性的安全防護產品，更需要從系統層面，建立完善的密鑰管理、權限管理、認證服務等安全機制。

解決云存儲安全風險

用戶使用云存儲時所面臨的主要安全風險包括數據泄漏、數據丟失等。與云計算相似，云存儲也是構建在共享架構之上，由于數據隔離的措施還不夠有效，對于數據的存儲、訪問、通信、銷毀等環節缺乏安全監控，存在一定的安全隱患，導致數據存在丟失和泄漏的可能。同時在數據丟失的情況下，也有可能面臨因數據無法及時恢復所帶來的風險。以上這些風險主要是由于云服務提供者不能給用戶提供足夠的安全保障，因此對于這部分風險，用戶也可以通過與云服務提供者簽署數據安全相關的服務保障協議來將化解。

針對用戶面臨的數據泄漏風險、數據丟失風險等，云服務提供者需采取必要的數據隔離、加密、備份、分權分級管理等措施，以保證云存儲服務的安全性。

云應用里的安全隱患

云應用里面存在安全隱患這是必然的。任何一種應用都是流程和邏輯的體現，而大部分應用是不能夠準確無誤地再現流程和邏輯的，因此必然會存在著缺陷和漏洞，這些缺陷和漏洞也就成為了最大的安全隱患。可能更另人擔憂的是這種應用上的隱患與云基礎架構本身的安全問題疊加，會帶來更加復雜的問題。能否實現云應用和云基礎架構的安全邏輯分割也許是未來可以考慮的方向之一，對于云計算安全問題的解決會起到簡化作用。

獲得安全的云服務

前面談到，云服務面臨兩個方面的安全挑戰，技術上的和社會層面上的。獲得安全的云服務要分別從這兩個方面著手。社會層面上，要盡快建立相關的法律法規。當然法律法規的建立并不能根本解決社會信任和信譽機制建立的問題，但可以促進信任和信譽機制的成熟。沒有法律法規的保障，我個人認為云服務的安全只能是一個美好的愿望。而從技術層面上看，要針對云服務的特點，研究專門的安全防護技術，開發有針對性的云服務及云應用的安全產品；同時，還需要針對法律法規的相關規定，為法律法規的實施提供相應的技術支持，例如，糾紛出現時，取證以及仲裁所需要的法證技術及產品等。

云端確保用戶數據和隱私安全

用戶的數據和隱私安全是云計算領域最早提出的，也是爭論最多的安全問題。這種關切其實很容易被人理解。它很類似于我們經常接觸到的存款問題。我們把錢存到銀行，怎樣確保我們的錢不會因為銀行倒閉或者某些犯罪行為而被盜用或者丟失？怎樣確保我的財產信息不被泄漏？如果我們研究一下現有的銀行體系就會給我們提供很多啟示。首先，要有法律法規來應對，有了法律法規才可以為用戶數據和隱私提供一個有力的保障手段；其次，要有監督審核機制來防范。用戶數據和隱私交給云服務提供商，并不意味著不需要監督。無數經驗證明，完全建立在信任和信譽基礎之上的安全是最不安全的。因此，云服務提供商以及云基礎設施提供者需要為第三方提供可靠的有效的監督審核渠道和技術手段；最后，還要有一個查詢和確認機制。這種查詢和確認機制可以讓數據和信息所有者，及時的了解自己所擁用數據的安全狀態。上述這些方面，其實在技術上都需要一些新的方法和手段來支撐。包括數據的加密，權限的認證，數據處理流程的監控以及取證技術的支持等等。

私有云、公共云、混合云的安全差異性

這三種云在安全問題上還是有差異的。私有云的安全問題與傳統企業或組織內部的信息資產安全問題差別不大。以往存在的安全威脅也是私有云的安全威脅。而私有云的建立一定程度上會提高企業或組織內部的信息資產安全。因為，私有云很大程度上解決了企業或組織內部經常存在的數據分散不能有效集中管理所帶來的風險。

相對于私有云，公共云的安全問題將更為突出。不僅僅要面對私有云所面對的安全威脅和風險，而且涉及到多個云使用者之間的邏輯安全分割及防護的問題。混合云的安全問題與公共云安全問題類似。

私有云、公共云、混合云的安全重點

私有云的安全重點在于防止云基礎設施及系統受到入侵和外部攻擊。而公共云的安全重點在于內部服務的邏輯安全分割以及數據和隱私等信息的泄漏。混合云的安全防護需要同時考慮私有和公用兩種情景下的防范重點。

云計算環境下的網絡及服務器、CPU取證

云計算環境的網絡和計算機法證技術與傳統環境下的取證技術相比，應該說有很大區別。目前情況下，計算機犯罪的證據相對來說還是比較集中的，便于收集及取證。我們所接觸到的計算機法證技術和產品更多的是面向單一設備的。

在云計算環境下，計算機犯罪包括網絡犯罪的行為蹤跡將更為分散，證據難于收集。我們可以想象，在大規模的云計算基礎架構平臺上去收集非法行為的蹤跡和證據，其復雜度是很難想象的。而這種取證又是確保云安全的必要手段。因此，我個人認為，隨著國家相關法律法規的出臺，相關的取證技術和產品還是有很大的市場需求的。

云計算及云安全標準。

目前云計算的標準化情況還存在很大程度的滯后。原因有很多，主要是云計算技術、服務及應用上還存在著各種不同的觀點和看法。這種情況也側面反應了云計算的真正成熟和商用還有相當長的路要走。至于云安全相關的標準化情況則更為不樂觀。安全技術的發展從時間軸上總是要滯后于應用的發展，這也是一個客觀現實。

云端安全產品與非云端安全產品的區別

就目前市場現狀來看，我個人認為，所謂的云端安全產品和非云端安全產品從本質上看不到太多的區別，包括功能、性能以及架構。很多技術和產品還停留在概念驗證的階段，也不排除一些炒作的成分在里面。單純從技術上講，未來的云端安全產品和非云端安全產品在功能、性能和架構上應該說還是具有很大區別的，需要認真從云服務及云應用的實踐中挖掘安全特性及需求，并提出系統的解決方案，而不應該在現有安全產品上進行簡單升級和改造。

云端安全產品的部署

云端的基礎架構和上層的應用系統是需要重點部署安全產品的位置。云端的基礎架構中，在網關上部署具有虛擬化識別能力的防火墻，減少對網關內虛擬服務器的攻擊；部署專用的入侵檢測系統，對虛擬服務器的非法入侵進行檢測。在上層的應用系統中，部署對系統漏洞、病毒、木馬和惡意軟件進行檢測的產品，避免應用服務帶來的安全隱患；對應用系統中存儲的數據進行加解密操作，采用不同的加解密算法，防止數據被篡改。