摘 要：隨著全球云計算產業(yè)的興起，云安全領域也取得了突破式發(fā)展。云計算正在轉化傳統(tǒng)的數據中心，包括公有云和私有云。企業(yè)將數據中心虛擬化，并將工作負荷和數據擴展到公有云，數據中心外圍逐漸縮小。隨著數據中心從物理轉換為虛擬，并最終遷移到云端，企業(yè)業(yè)務將面臨新的安全和管理的挑戰(zhàn)。

關鍵詞：云計算；云安全；云服務

1 什么是云計算

據統(tǒng)計，目前云計算的定義超過50種。不同的專家、企業(yè)都從自己的角度對云計算的概念進行了定義。其中得到認可的、比較權威的是美國國家標準技術研究所（NIST）的定義。

NIST對云計算的定義：云計算是一個模型，這個模型可以方便地按需訪問一個可配置的計算資源（如網絡、服務器、存儲設備、應用程序以及服務）的公共集。這些資源可以被迅速提供并發(fā)布，同時最小化管理成本或服務提供商的干涉。云計算模型由五個基本特征、三種服務模型和四種發(fā)布形態(tài)組成。

云計算的五個基本特征：按需自助服務、廣泛的網絡訪問、資源共享、快速的可伸縮性、可度量的服務。

云計算的三種服務模型：軟件即服務（SaaS）、平臺即服務（PaaS）、架構即服務（IaaS）。

云計算的四種發(fā)布形態(tài)：私有云、社區(qū)云、公有云、混合云。

2 云計算的安全挑戰(zhàn)

近段時間以來，國內外先后發(fā)生數據中心或云主機宕機事件，對企業(yè)和用戶造成了一定的損失。云安全這個問題又一次被擺上了臺面，吸引了人們的目光。

2.1 易混淆的云計算安全

云安全的產業(yè)鏈條，包括了云安全環(huán)境、云安全設計、云安全部署、云安全交付、云安全管理、再到云安全咨詢，是一個閉環(huán)。IDC 報告指出，云的安全性至少包含兩個層次，一是制約用戶接受云計算的信用環(huán)境問題，這是云計算得以應用的基礎，也是廣泛推廣的門檻，然后才是云計算的應用安全。而其中，良好的信用環(huán)境是云計算安全之基礎，也就是說，只有用戶認可并采用了云服務，接下來才談得上云安全的技術問題。對于云安全的推動和實現(xiàn)，市場上的云安全提供商也發(fā)出不同的聲音。

同時不容忽視的是云計算安全，它與云安全的區(qū)別是Security for the cloud和Security form the cloud。云計算安全指的是如何保護云計算環(huán)境本身的安全性，云安全指的是如何利用云計算技術給用戶提供安全服務。

2.2 云計算安全七宗罪

安全專家表示，選擇云計算的企業(yè)可能熟悉多重租賃（多個公司將其數據和業(yè)務流程托管存放在SaaS服務商的同一服務器組上）和虛擬化等概念，但這并不表示他們完全了解云計算的安全情況。

安全專家Reavis認為，選擇云計算時企業(yè)應該采取更加務實的做法，如采用風險評估來了解真正的風險以及如何降低風險，然后再決定是否應該采用云計算技術。

云安全聯(lián)盟與惠普公司共同列出了云計算的七宗罪，主要是基于對29家企業(yè)、技術供應商和咨詢公司的調查結果而得出的結論。

⑴數據丟失/泄漏：云計算中對數據的安全控制力度并不十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏，并且還可能缺乏必要的數據銷毀策略。

⑵共享技術漏洞：在云計算中，錯誤的配置可能會造成嚴重影響，因為云計算環(huán)境中的很多虛擬服務器共享著相同的配置。因此必須為網絡和服務器執(zhí)行服務水平協(xié)議（SLA），以確保及時安裝修復程序。

⑶內奸：云計算服務供應商對工作人員背景的調查力度可能與企業(yè)數據訪問權限的控制力度有所不同，很多供應商在這方面做得不錯，但還不夠，企業(yè)需要對供應商進行評估并提出如何篩選員工的方案。

⑷帳戶、服務和通信劫持：很多數據、應用程序和資源都集中在云計算中，而云計算的身份驗證機制如果很薄弱的話，入侵者就可以輕松獲取用戶帳號并登陸客戶的虛擬機。因此建議主動監(jiān)控這種威脅，并采用多重身份驗證機制。

⑸不安全的應用程序接口：在開發(fā)應用程序方面，企業(yè)必須將云計算看作是新的平臺，而不是外包。在應用程序的生命周期中，必須部署嚴格的審核過程，開發(fā)者可以運用某些準則來處理身份驗證、訪問權限控制和加密。

⑹沒有正確運用云計算：在運用技術方面，黑客可能比技術人員進步更快，黑客通常能夠迅速采取新的攻擊技術在云計算中自由穿行。

⑺未知的風險：透明度問題一直困擾著云服務供應商，用戶僅使用前端界面，他們無法確切知道供應商使用的是哪種平臺以及將面臨何種風險。

另外，云計算也有有網絡方面的隱憂。由于病毒破壞，網絡環(huán)境等因素，一旦網絡出現(xiàn)問題，云計算反而成了桎梏。

3 云計算的發(fā)展與未來

云計算的發(fā)展大致分為三個階段：首先是準備階段，主要進行技術儲備和概念推廣，解決方案和商業(yè)模式尚在嘗試中，用戶對云計算認知度仍然較低，成功案例較少；其次是起飛階段，這一時期成功案例逐漸豐富，用戶對云計算的了解和認可程序也不斷提高，越來越多的廠商開始介入，市場上出現(xiàn)大量的應用解決方案；第三是成熟階段，云計算產業(yè)鏈、行業(yè)生態(tài)環(huán)境基本穩(wěn)定，各廠商解決方案更加成熟穩(wěn)定，用戶云計算應用取得良好的效果，并成為IT系統(tǒng)不可或缺的組成部分。

在云計算產業(yè)實際推進的過程中，2011年無疑是云計算應用的元年，各地云計算數據中心相繼興建和完善，很多軟硬件廠商也推出了云計算發(fā)展規(guī)劃和相應的云計算產品及解決方案，云計算產業(yè)呈現(xiàn)出強勁的發(fā)展勁頭。

毫無疑問，云計算確實給企業(yè)帶來了新的契機?！?012年中國云計算安全調查報告》顯示：

⑴2012年，79.6的企業(yè)在進行或考慮用云計算來做事（PaaS、IaaS、SaaS、云存儲/備份、私有云、混合云）。

⑵超過22.8%的企業(yè)正在使用私有云，50%的企業(yè)正在考慮建設私有云。

⑶企業(yè)當前使用最多的云服務依次為電子郵件業(yè)務管理應用（如谷歌APP、微軟Office）、遠程存儲/備份、網絡監(jiān)控/管理。

……

然而，過去一年里爆發(fā)的云計算安全事件，如亞馬遜云計算中心宕機、微軟云計算交換在線服務故障、谷歌郵箱用戶數據泄露等，使云計算產業(yè)的發(fā)展不可避免地遭遇了瓶頸。

另外，從調查報告中我們也看到：

⑴企業(yè)表示對信用卡數據、商業(yè)或合作伙伴的財務數據和客戶身份信息等特殊類型的數據永遠不會遷移到云端。

⑵在云計算模型中，企業(yè)認為私有云是最安全的，其次為基礎設施即服務（IaaS），平臺即服務（PaaS）位居第三。

⑶在云計算模型中，企業(yè)認為軟件即服務（SaaS）是最不安全的。

……

不難看出，安全問題仍是橫亙在云計算與企業(yè)之間的一扇門。能否破解這道難題，是擺在云服務提供商、信息安全廠商面前的又一道坎，也是云計算未來能否實現(xiàn)跨越式發(fā)展?jié)饽夭实囊还P。

4 總結

有業(yè)內人士認為云安全是一個偽命題，這種說法過于激進，但也是有一定道理的。安全永遠是相對的，沒有絕對的安全存在。就好像飛機是目前最安全的交通方式，卻還是會出現(xiàn)事故一樣。現(xiàn)在云計算的概念非?；馃?，越來越多的企業(yè)也已經意識到云計算的重要性，開始投資部署云計算。

可以預見，隨著新的安全解決方案和技術的不斷出現(xiàn)，企業(yè)的業(yè)務、數據管理模式必將發(fā)生革命性的變化，但無論如何發(fā)展，統(tǒng)一、簡單、自動化、現(xiàn)代化的數據管理模式必將成為主流，也將為企業(yè)帶來更多收益。

[參考文獻]

[1]《2012年中國云計算安全調查報告》.