文/安恒信息風暴中心副總經(jīng)理 楊 勃

9月，安恒信息與阿里云在杭州簽署戰(zhàn)略合作協(xié)議，雙方正式達成戰(zhàn)略合作伙伴關(guān)系，雙方將在安全領(lǐng)域展開合作，向云計算用戶特別是政企用戶提供專業(yè)的一站式安全產(chǎn)品及服務(wù)。

如果從傳統(tǒng)安全廠商的角度去看安恒信息與阿里云的合作，那么本次合作主要體現(xiàn)在生態(tài)云方面，也可以認為是云的生態(tài)系統(tǒng)方面，因為阿里云具備了云的基礎(chǔ)平臺，安恒信息則主推云服務(wù)。

由于重點在云服務(wù)方面，所以安恒信息的用戶以云租戶為主。對于云租戶而言，首先考慮的是云安全，因此就需要一個安全的基礎(chǔ)平臺，最終才能保證云租戶的信息安全。當然，如果這些安全措施沒有很好的保障，也很難形成一個真正的生態(tài)系統(tǒng)。因此，對于云生態(tài)的安全，我們認為應(yīng)該有三個最基本的屬性。第一，安全要相對獨立，獨立性主要體現(xiàn)在發(fā)現(xiàn)隱患、監(jiān)測預(yù)警和及時保障等方面；第二，盡可能覆蓋整個生命周期的安全，從整個系統(tǒng)平臺建設(shè)、業(yè)務(wù)開發(fā)和上線運行，甚至到最終整個數(shù)據(jù)的銷毀，都需要進行全面的考慮；第三，在云安全方面盡可能做適云化，即服務(wù)化、虛擬化和可視化，把已經(jīng)成熟的技術(shù)措施和安全防護能力輸送到該云平臺上。

云計算成為發(fā)展趨勢的同時也面臨嚴峻的挑戰(zhàn)?，F(xiàn)在有不少用戶都有較多的顧慮，雖然都認為云端是一個發(fā)展趨勢，但就是猶豫不前。主要原因還是目前在云端與傳統(tǒng)網(wǎng)絡(luò)一樣面臨非常多的安全威脅，連亞馬遜、谷歌、蘋果這些公司都同樣面臨這些安全威脅。2011年4月，黑客租用亞馬遜 EC2云計算服務(wù)，對索尼 PlayStation 網(wǎng)站進行了攻擊，造成用戶數(shù)據(jù)大規(guī)模泄露。因此，傳統(tǒng)網(wǎng)絡(luò)中所面臨的安全威脅在云端同樣不少。

盡管如此，對于傳統(tǒng)網(wǎng)絡(luò)面臨的安全問題和困擾，有些安全威脅在云端就不明顯了，比如存儲方面的隱患，傳統(tǒng)網(wǎng)絡(luò)會遇到線路或者機房災(zāi)備等一系列基礎(chǔ)性的問題，如果遷到云端就可以很好的解決。

現(xiàn)在，有不少用戶在選擇云服務(wù)時喜歡避重就輕，要么不接觸云，要么把不重要的、邊緣性的系統(tǒng)放到云端試用。出現(xiàn)這種情況最主要的原因就是缺乏信任，他們會認為信息在云端沒有安全保障。

安全在云端和傳統(tǒng)網(wǎng)絡(luò)中有沒有差異化，以及云端的安全如何保障？目前而言，無論是云平臺上的企業(yè)，還是安全廠商或者用戶，在這個新的領(lǐng)域，都很難有一個比較清晰的認識。

對于云平臺而言，總體來看存在三個維度的威脅：第一個威脅就是云平臺自身的安全。云平臺自身的安全如何建設(shè)、如何保障，這就是安全建設(shè)方面非常重要的基石。無論在云端，還是傳統(tǒng)網(wǎng)絡(luò)中，都有一個安全域的概念。對于傳統(tǒng)網(wǎng)絡(luò)而言，一旦提到運維和維護，就感覺是機房隔壁的事情，感覺在自己家里一樣，可以非常靈活的實施。而在云端卻不一樣，無論是對外提供訪問的服務(wù)，還是進行運維，都需要通過互聯(lián)網(wǎng)進行遠端操作。這時候的邊界怎樣，安全防護如何落實，這都是許多用戶需要面臨的挑戰(zhàn)。

隨著應(yīng)用系統(tǒng)數(shù)量的增加，面臨的風險也會越來越多。在云端和傳統(tǒng)網(wǎng)絡(luò)之間的差異更加明顯。雖然現(xiàn)在有人認為網(wǎng)絡(luò)的邊界在逐漸消亡，但是在傳統(tǒng)網(wǎng)絡(luò)當中，至少還會有數(shù)據(jù)區(qū)、服務(wù)區(qū)、云維區(qū)、辦公區(qū)，甚至還會有安全域的概念。但是在云端的安全問題，并非傳統(tǒng)網(wǎng)絡(luò)的安全問題消亡了，而是在集成傳統(tǒng)安全問題的同時，又衍生出了新的問題，包括運維和開發(fā)等一系列的問題。

近年來，隨著云計算的迅猛發(fā)展，以及國家對云計算的大力支持，使得一些電子政務(wù)系統(tǒng)，或者重要信息系統(tǒng)已經(jīng)遷到云端。我們要做的就是提供相關(guān)的安全保障。那么如何實現(xiàn)安全保障的呢？

對于云租戶在云端的安全，我們認為可以通過以下兩個方面來提供保障。

第一個就是整個平臺的安全。對于云租戶而言，如何選擇廠商，或者選擇基礎(chǔ)云平臺提供商。我們建議在選擇云平臺時盡量找那些技術(shù)實力雄厚的、大型的專業(yè)公司，以他們的公有云為基礎(chǔ)，然后在此基礎(chǔ)上構(gòu)建自己的專用云。

第二個就是整體安全運營的保障能力。我們需要對云端的系統(tǒng)做一個全天候的監(jiān)測和運營服務(wù)，包括云監(jiān)測、云防御和云運營等。在數(shù)據(jù)和運維安全方面，包括數(shù)據(jù)庫審計、數(shù)據(jù)庫漏掃和運維審計。在應(yīng)用安全方面，包括訪問控制，應(yīng)用安全防御和審計，應(yīng)用安全檢測，云加速和流量清洗。除了傳統(tǒng)網(wǎng)絡(luò)層的防控之外，主要在應(yīng)用層的防護策略，包括對業(yè)務(wù)層的威脅進行分析挖掘協(xié)助處置。

對于整體安全運營的保障能力，更重要的部分是需要借助現(xiàn)有的一些基礎(chǔ)設(shè)施和安全設(shè)備，并在此基礎(chǔ)上提供MSSP服務(wù)，為云端用戶集成更多的數(shù)據(jù)，最終形成安全價值，使得用戶的安全水平提升到最高階段，形成了較為全面的安全運營服務(wù)能力。

在Web安全外包方面通過三個方面來實現(xiàn)，包括初期的體檢與監(jiān)測，到日志監(jiān)控，云安全防御，最終實現(xiàn)了實時監(jiān)測、快速響應(yīng)、主動防御和積極反制的一個的防護效果。

在云安全運營方面，盡可能的收集更全面的數(shù)據(jù)來源，包括整個數(shù)據(jù)鏈路上網(wǎng)絡(luò)設(shè)備，或者節(jié)點日志。另外，通過互聯(lián)網(wǎng)網(wǎng)絡(luò)空間采集的數(shù)據(jù)，需要我們?nèi)プ稣w安全運營，其中包括兩個數(shù)據(jù)，一個是靜態(tài)數(shù)據(jù)，就是我們系統(tǒng)內(nèi)容方面的數(shù)據(jù)，可以讓我們快速對該業(yè)務(wù)進行定位，它在內(nèi)容層面是否安全的一個重要參考。另一個就是動態(tài)數(shù)據(jù)，是指訪問的行為、流量，該數(shù)據(jù)通過各個節(jié)點，各個層級的數(shù)據(jù)進行關(guān)聯(lián)，包括訪問路徑，攻擊路徑，以及最終產(chǎn)生的影響，最終進行評估，這樣就可以形成快速的響應(yīng)能力，結(jié)合線下應(yīng)急響應(yīng)團隊，可以把云端團隊的服務(wù)提升到更高的水平。

由于云平臺的發(fā)展剛剛起步，無論是云端的安全，還是整個生態(tài)云，才剛起步，所以我們希望云租戶和云平臺商，多給安全廠商一些機會，多給一些試點，或者更好的建議，讓我們一起提升云端的安全水平，這樣就能大大增加整個云平臺的信任度，最終受益的還是大家。