云计算环境下的潜在风险与防护思路解读

在云计算服务推出之时，人们曾乐观地估计，今后的电脑无需大容量硬盘，因为所有的应用和个人数据都将被存储于远程服务器中，用户只要很少的投入就可以得到按需分配的存储资源．而安全事件的出现，加深了人们对云计算安全的担忧；部分安全专家也指出，云计算的广泛运用需要向云计算架构中加入更强大的安全措施才能确保其安全性，否则，云计算中存储的数据量以及处理量不仅将无法控制，而且将对用户的数据以及与数据有关的人构成安全和隐私风险。

一、用户在选择云计算服务时的潜在安全风险分析

从“云计算”的概念提出以来，关于其数据安全性的质疑就一直不曾平息，这里的安全性主要包括两个方面：一是自己的信息不会被泄露，避免造成不必要的损失；二是在需要时能够保证准确无误地获取这些信息。总结起来，用户在选择云计算服务时主要关注的安全风险有以下几方面：

① 数据传输安全

通常情况下，企业数据中心保存有大量的企业私密数据，这些数据往往代表了企业的核心竞争力，如企业的客户信息、财务信息、关键业务流程等等。在云计算模式下，企业将数据通过网络传递到云计算服务商进行处理时，面临着几个方面的问题：一是如何确保企业的数据在网络传输过程中严格加密不被窃取；二是如何保证云计算服务商在得到数据时不将企业绝密数据泄露出去；三是在云计算服务商处存储时，如何保证访问用户经过严格的权限认证并且是合法的数据访问，并保证企业在任何时候都可以安全访问到自身的数据。

② 数据存储安全

企业的数据存储是非常重要的环节，其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。在云计算模式下，云计算服务商在高度整合的大容量存储空间上，开辟出一部分存储空间提供给企业使用。但客户并不清楚自己的数据被放置在哪台服务器上，甚至根本不了解这台服务器放置在哪个国家；云计算服务商在存储资源所在国是否会存在信息安全等问题，能否确保企业数据不被泄露；同时，在这种数据存储资源共享的环境下，即使采用了加密方式，云计算服务商是否能够保证数据之间的有限隔离；另外，即使企业用户了解数据存放的服务器的准确位置，也必须要求服务商作出承诺，对所托管数据进行备份，以防止出现重大事故时，企业用户的数据无法得到恢复。

③ 数据审计安全

企业进行内部数据管理时，为了保证数据的准确性往往会引入第三方的认证机构进行审计或是认证。但是在云计算环境下，云计算服务商如何存确保不对其他企业的数据计算带来风险的同时又提供必要的信息支持，以便协助第三方机构对数据的产生进行安全性和准确性的审计，实现企业的合规性要求；另外，企业对云计算服务商的可持续性发展进行认证的过程中，如何确保云计算服务商既能提供有效的数据，又不损害其他已有客户的利益，使得企业能够选择一家可以长期存在的、有技术实力的云计箅服务商进行业务交付，也是安全方面的潜存风险。

为了更好地消除这些潜在的安全风险，让更多用户享受到云计算服务的优点，在选择云计算服务时，一方面要根据自身的业务需要，将风险可控的业务模型提交到云计箅服务商，其他关键业务模型可以选择建立企业私有云模型进行保障；另一方面需要和云计算服务商建立规范的条款来规避风险，包括选择较高信誉度的服务商、要求企业和云计算服务商之间的数据传统输道进行加密传输、要求云计算服务商承诺数据存储佗置的安全性以及和其他企业数据之间的加密隔离，同时和服务商签订SLA服务质量保证协议，明确服务商要具备数据恢复的能力并定义清楚数据恢复的时间限制等。

二、云计算环境下安全模型与传统安全模型的差异

在云计算服务商建设资源高度整合的云计算中心时，安全更多的是作为一种服务提供给云计算客户，也即大家常说的安全即服务。在安全即服务建设思路的指引下，云计算中心的安全建设模型和传统的企业安全防护思路存在非常明显的差异，归结起来主要有以下几个方面：

① 流量模型的转变

从分散走向高度集中，设备性能面临压力。传统的企业流量模型相对比较简单，各种应用基准流量及突发流量有规律可循，即使对较大型的数据中心，仍然可以根据Web应用服务器的重要程度进行有针对性的防护，对安全设备的处理能力没有太高的要求；而在云计算环境下，服务商建设的云计算中心，同类型存储服务器的规模以万为单位进行扩展，并且基于统一基础架构的网络进行承载，无法实现分而治之，因此对安全设备提出了很高的性能要求；

② 虚拟化要求

安全作为一种服务，如何实现虚拟化交付？基于存储资源和服务器资源的高度整合，云计算服务商在向客户提供各项服务的时候，存储计算资源的按需分配、数据之间的安全隔离成为基础要求，这也是虚拟化成为云计算中心关键技术的原因。在这种情况下，安全设备如何适应云计算中心基础网络架构和应用服务的虚拟化，实现基础架构和安全的统一虚拟交付，是云计算环境下安全建设关注的重点。

③ 安全边界消失

云计算环境下的安全部署边界在哪里？在传统安全防护中，很重要的一个原则就是基于边界的安全隔离和访问控制，并且强凋针对不同的安全区域设置有差异化的安全防护策略，在很大程度下依赖各区域之间明显清晰的区域边界；而在云汁算环境下，存储和计算资源高度整合，基础网络架构统一化，安全设备的部署边界已经消失，这也意味着安全设备的部署方式将不再类似于传统的安全建设模型，云计算环境下的安全部署需要寻找新的模式。

④ 未知威胁检测引擎的变更

客户端将从主体检测引擎转变为辅助检测的传感器。传统的安全威胁检测模式中，客户端安全软件或硬件安全网关充当了威胁检测的主体，所有的流量都将在客户端或网关上完成全部的威胁检测。这种模式的优点是全部检测基于本地处理，延时较小，但是由于客户端相互独立，系统之问的隔离阻止了威胁检测结果的共享。这也意味着在企业A已经检测到的新型威胁对企业B依然可能造成破坏，没有形成整体的安全防护。而在云计算环境下，客户端更多的将充当未知威胁的传感器，将本地不能识别的可疑流量送到云端，充分利用云端的超强计算能力进行未知威胁的检测，从而实现云模式的安全检测。

三、云计算环境下安全防护的主要思路

1．建设高性能高可靠的网络安全一体化防护体系

为了应对云汁算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整。在现阶段企业私有云的建设过程中。多条高速链路汇聚成的大流量已经比较普遍，在这种情况下，安全设备必然要具备对高密度的10G甚至100G接口的处理能力；无论是独立的机架式安全设备，还是配合数据中心高端交换机的各种安全业务引擎，都可以根据用户的云规模和建设思路进行合理配置；同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，诸如双机热备、配电同步、电源风扇的冗余、链路捆绑聚合及硬件BYPASS等特性，真正实现大流量汇聚情况下的基础安全防护。

2．建设以虚拟化为技术支撑的安全防护体系

目前，虚拟化已经成为云计算服务商提供“按需服务”的关键技术手段，包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步。只有基于这种虚拟化技术，才可能根据不同用户的需求。提供个性化的存储计算及应用资源的合理分配，并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。安全无论是作为基础的网络架构，还是基于安全即服务的理念，都需要支持虚拟化，这样才能实现端到端的虚拟化计算。

从网络基础架构的角度(如状态防火墙的安全隔离和访问控制)，需要考虑支持虚拟化的防火墙，不同用户可以基于VLAN等映射到不同的虚拟化实例中，每个虚拟化实例具备独立的安全控制策略，以及独立的管理职能。从安全即服务的角度，云计算服务商联合内容安全提供商提供类似防病毒和反垃圾邮件等服务，也必须考虑配合中间件实现操作系统层面的虚拟化实例，同一服务器运行多个相互独立的操作系统及应用软件，每个用户的保密数据在进行防病毒和反垃圾邮件检查的时候，数据不能被其他虚拟化系统引擎所访问，只有这样才能保证用户数据的安全。

3．以集中的安全服务中心应对无边界的安全防护

和传统的安全建设模型强调边界防护不同，存储计算等资源的高度整合使得不同的企业用户在申请云计算服务时，只能实现基于逻辑的划分隔离，不存在物理上的安全边界。在这种情况下，已经不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。因此，安全服务部署应该从原来的基于各子系统的安全防护转移到基于整个云计算网络的安全防护，建设集中的安全服务中心，以适应这种逻辑隔离的物理模型。云计算服务商或企业私有云管理员将需要进行安全服务的用户流量，通过合理的技术手段引入到集中的安全服务中心，完成安全服务后再返回到原有的转发路径。这种集中的安全服务中心，既可以实现用户安全服务的单独配置提供，也能有效地节约建设投资，考虑在一定收敛比的基础上提供安全服务能力。

4．充分利用云安全模式加强云端和客户端的关联耦合

在云安全建设中，充分利用云端的超强计算能力实现云模式的安全检测和防护是后续的一个重要方向。与传统的安全防护模型相比，新的云安全模型除了要求挂在云端的海量本地客户端具备基础的威胁检测和防护功能外，更强调其对未知安全威胁或是可疑安全威胁的传感检测能力。任何一个客户端对于本地不能识别的可疑流量都要第一时间送到后台的云检测中心，利用云端的检测计算能力快速定位解析安全威胁，并将安全威胁的协议特征推送到全部客户端或安全网关，从而使得整个云中的客户端和安全网关都具备对这种未知威胁的检测能力，客户端和云端的耦合得到进一步加强。基于该模式建立的安全防护体系将真正实现PDRR(Protection、Detection、Reaction、Restore)的安全闭环，这也是云检测模式的精髓所在。

尽管基于云计算环境的安全建设模型和思路还需要继续实践和探索，但是将安全内嵌到云计算中心的虚拟基础网络架构中，并通过安全服务的方式进行交互，不仅可以增强云计算中心的安全防护能力和安全服务的可视交付，还可以根据风险预警进行实时的策略控制。这将使得云计算的服务交付更加安全可靠，从而实现对传统IT应用模式的转变。