文/安恒信息風(fēng)暴中心副總經(jīng)理 楊 勃

9月，安恒信息與阿里云在杭州簽署戰(zhàn)略合作協(xié)議，雙方正式達(dá)成戰(zhàn)略合作伙伴關(guān)系，雙方將在安全領(lǐng)域展開合作，向云計(jì)算用戶特別是政企用戶提供專業(yè)的一站式安全產(chǎn)品及服務(wù)。

如果從傳統(tǒng)安全廠商的角度去看安恒信息與阿里云的合作，那么本次合作主要體現(xiàn)在生態(tài)云方面，也可以認(rèn)為是云的生態(tài)系統(tǒng)方面，因?yàn)榘⒗镌凭邆淞嗽频幕A(chǔ)平臺(tái)，安恒信息則主推云服務(wù)。

由于重點(diǎn)在云服務(wù)方面，所以安恒信息的用戶以云租戶為主。對(duì)于云租戶而言，首先考慮的是云安全，因此就需要一個(gè)安全的基礎(chǔ)平臺(tái)，最終才能保證云租戶的信息安全。當(dāng)然，如果這些安全措施沒有很好的保障，也很難形成一個(gè)真正的生態(tài)系統(tǒng)。因此，對(duì)于云生態(tài)的安全，我們認(rèn)為應(yīng)該有三個(gè)最基本的屬性。第一，安全要相對(duì)獨(dú)立，獨(dú)立性主要體現(xiàn)在發(fā)現(xiàn)隱患、監(jiān)測預(yù)警和及時(shí)保障等方面；第二，盡可能覆蓋整個(gè)生命周期的安全，從整個(gè)系統(tǒng)平臺(tái)建設(shè)、業(yè)務(wù)開發(fā)和上線運(yùn)行，甚至到最終整個(gè)數(shù)據(jù)的銷毀，都需要進(jìn)行全面的考慮；第三，在云安全方面盡可能做適云化，即服務(wù)化、虛擬化和可視化，把已經(jīng)成熟的技術(shù)措施和安全防護(hù)能力輸送到該云平臺(tái)上。

云計(jì)算成為發(fā)展趨勢的同時(shí)也面臨嚴(yán)峻的挑戰(zhàn)?，F(xiàn)在有不少用戶都有較多的顧慮，雖然都認(rèn)為云端是一個(gè)發(fā)展趨勢，但就是猶豫不前。主要原因還是目前在云端與傳統(tǒng)網(wǎng)絡(luò)一樣面臨非常多的安全威脅，連亞馬遜、谷歌、蘋果這些公司都同樣面臨這些安全威脅。2011年4月，黑客租用亞馬遜 EC2云計(jì)算服務(wù)，對(duì)索尼 PlayStation 網(wǎng)站進(jìn)行了攻擊，造成用戶數(shù)據(jù)大規(guī)模泄露。因此，傳統(tǒng)網(wǎng)絡(luò)中所面臨的安全威脅在云端同樣不少。

盡管如此，對(duì)于傳統(tǒng)網(wǎng)絡(luò)面臨的安全問題和困擾，有些安全威脅在云端就不明顯了，比如存儲(chǔ)方面的隱患，傳統(tǒng)網(wǎng)絡(luò)會(huì)遇到線路或者機(jī)房災(zāi)備等一系列基礎(chǔ)性的問題，如果遷到云端就可以很好的解決。

現(xiàn)在，有不少用戶在選擇云服務(wù)時(shí)喜歡避重就輕，要么不接觸云，要么把不重要的、邊緣性的系統(tǒng)放到云端試用。出現(xiàn)這種情況最主要的原因就是缺乏信任，他們會(huì)認(rèn)為信息在云端沒有安全保障。

安全在云端和傳統(tǒng)網(wǎng)絡(luò)中有沒有差異化，以及云端的安全如何保障？目前而言，無論是云平臺(tái)上的企業(yè)，還是安全廠商或者用戶，在這個(gè)新的領(lǐng)域，都很難有一個(gè)比較清晰的認(rèn)識(shí)。

對(duì)于云平臺(tái)而言，總體來看存在三個(gè)維度的威脅：第一個(gè)威脅就是云平臺(tái)自身的安全。云平臺(tái)自身的安全如何建設(shè)、如何保障，這就是安全建設(shè)方面非常重要的基石。無論在云端，還是傳統(tǒng)網(wǎng)絡(luò)中，都有一個(gè)安全域的概念。對(duì)于傳統(tǒng)網(wǎng)絡(luò)而言，一旦提到運(yùn)維和維護(hù)，就感覺是機(jī)房隔壁的事情，感覺在自己家里一樣，可以非常靈活的實(shí)施。而在云端卻不一樣，無論是對(duì)外提供訪問的服務(wù)，還是進(jìn)行運(yùn)維，都需要通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)端操作。這時(shí)候的邊界怎樣，安全防護(hù)如何落實(shí)，這都是許多用戶需要面臨的挑戰(zhàn)。

隨著應(yīng)用系統(tǒng)數(shù)量的增加，面臨的風(fēng)險(xiǎn)也會(huì)越來越多。在云端和傳統(tǒng)網(wǎng)絡(luò)之間的差異更加明顯。雖然現(xiàn)在有人認(rèn)為網(wǎng)絡(luò)的邊界在逐漸消亡，但是在傳統(tǒng)網(wǎng)絡(luò)當(dāng)中，至少還會(huì)有數(shù)據(jù)區(qū)、服務(wù)區(qū)、云維區(qū)、辦公區(qū)，甚至還會(huì)有安全域的概念。但是在云端的安全問題，并非傳統(tǒng)網(wǎng)絡(luò)的安全問題消亡了，而是在集成傳統(tǒng)安全問題的同時(shí)，又衍生出了新的問題，包括運(yùn)維和開發(fā)等一系列的問題。

近年來，隨著云計(jì)算的迅猛發(fā)展，以及國家對(duì)云計(jì)算的大力支持，使得一些電子政務(wù)系統(tǒng)，或者重要信息系統(tǒng)已經(jīng)遷到云端。我們要做的就是提供相關(guān)的安全保障。那么如何實(shí)現(xiàn)安全保障的呢？

對(duì)于云租戶在云端的安全，我們認(rèn)為可以通過以下兩個(gè)方面來提供保障。

第一個(gè)就是整個(gè)平臺(tái)的安全。對(duì)于云租戶而言，如何選擇廠商，或者選擇基礎(chǔ)云平臺(tái)提供商。我們建議在選擇云平臺(tái)時(shí)盡量找那些技術(shù)實(shí)力雄厚的、大型的專業(yè)公司，以他們的公有云為基礎(chǔ)，然后在此基礎(chǔ)上構(gòu)建自己的專用云。

第二個(gè)就是整體安全運(yùn)營的保障能力。我們需要對(duì)云端的系統(tǒng)做一個(gè)全天候的監(jiān)測和運(yùn)營服務(wù)，包括云監(jiān)測、云防御和云運(yùn)營等。在數(shù)據(jù)和運(yùn)維安全方面，包括數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫漏掃和運(yùn)維審計(jì)。在應(yīng)用安全方面，包括訪問控制，應(yīng)用安全防御和審計(jì)，應(yīng)用安全檢測，云加速和流量清洗。除了傳統(tǒng)網(wǎng)絡(luò)層的防控之外，主要在應(yīng)用層的防護(hù)策略，包括對(duì)業(yè)務(wù)層的威脅進(jìn)行分析挖掘協(xié)助處置。

對(duì)于整體安全運(yùn)營的保障能力，更重要的部分是需要借助現(xiàn)有的一些基礎(chǔ)設(shè)施和安全設(shè)備，并在此基礎(chǔ)上提供MSSP服務(wù)，為云端用戶集成更多的數(shù)據(jù)，最終形成安全價(jià)值，使得用戶的安全水平提升到最高階段，形成了較為全面的安全運(yùn)營服務(wù)能力。

在Web安全外包方面通過三個(gè)方面來實(shí)現(xiàn)，包括初期的體檢與監(jiān)測，到日志監(jiān)控，云安全防御，最終實(shí)現(xiàn)了實(shí)時(shí)監(jiān)測、快速響應(yīng)、主動(dòng)防御和積極反制的一個(gè)的防護(hù)效果。

在云安全運(yùn)營方面，盡可能的收集更全面的數(shù)據(jù)來源，包括整個(gè)數(shù)據(jù)鏈路上網(wǎng)絡(luò)設(shè)備，或者節(jié)點(diǎn)日志。另外，通過互聯(lián)網(wǎng)網(wǎng)絡(luò)空間采集的數(shù)據(jù)，需要我們?nèi)プ稣w安全運(yùn)營，其中包括兩個(gè)數(shù)據(jù)，一個(gè)是靜態(tài)數(shù)據(jù)，就是我們系統(tǒng)內(nèi)容方面的數(shù)據(jù)，可以讓我們快速對(duì)該業(yè)務(wù)進(jìn)行定位，它在內(nèi)容層面是否安全的一個(gè)重要參考。另一個(gè)就是動(dòng)態(tài)數(shù)據(jù)，是指訪問的行為、流量，該數(shù)據(jù)通過各個(gè)節(jié)點(diǎn)，各個(gè)層級(jí)的數(shù)據(jù)進(jìn)行關(guān)聯(lián)，包括訪問路徑，攻擊路徑，以及最終產(chǎn)生的影響，最終進(jìn)行評(píng)估，這樣就可以形成快速的響應(yīng)能力，結(jié)合線下應(yīng)急響應(yīng)團(tuán)隊(duì)，可以把云端團(tuán)隊(duì)的服務(wù)提升到更高的水平。

由于云平臺(tái)的發(fā)展剛剛起步，無論是云端的安全，還是整個(gè)生態(tài)云，才剛起步，所以我們希望云租戶和云平臺(tái)商，多給安全廠商一些機(jī)會(huì)，多給一些試點(diǎn)，或者更好的建議，讓我們一起提升云端的安全水平，這樣就能大大增加整個(gè)云平臺(tái)的信任度，最終受益的還是大家。