云计算安全的共识、共鸣和挑战

 不言而喻，云计算仍是一个迅速变化的领域，要么保持在最前沿，要么落后。2010年10月18号，工信部和发改委共同发文将云计算和虚拟化写入“十二五”的战略规划，确定在北京、上海、深圳、杭州和无锡五个城市先行开展云计算服务创新发展试点示范工作。远看，我们需要抓住云计算所带来的机遇，持续并快速的改变思维，优化流程、找寻方法、变革技术;近看，迁移到云计算的过程，为我们提供了新的契机，来重新审视和谋划现有的基础设施、应用等与业务的关联性。不论是远谋还是近思，云计算与任何新概念和技术一样，它会带来新的机遇，也将创造新的风险，不可预期的安全风险甚至会超过企业当前的安全需求。在你思考选择是否选择云计算的时候，安全的位置和忧虑到底是怎样的?本文将通过我们的所见所闻，与你共同探讨云计算安全的问题，以期所思所想与大家共鸣。

共识：云计算是安全机遇

不论是广义的云计算安全，还是狭义的云安全。目前普遍的共识是云计算是安全技术创新和发展的机遇，在云计算还未像今天如此火爆的时候，狭义云安全的定义就已经风生水起，成为安全厂商展现自身安全技术系统、架构领先性的舞台。借助云的概念，安全厂商自身技术和架构的可信、规模、积累、对服务模式的思考等，就成为了他们经常挂在嘴边的关键词。产业也在经历了云计算是安全的灾难，还是安全机遇彷徨之后，意见逐渐趋同。虽然安全目前依然是摆在企业跨入云计算环境的首要担忧之一，但云计算给安全所带来的机遇，已经是产业和厂商的共识。

共鸣：信心和耐心为云计算卸下包袱

不论是选择云服务，构建私有云，还是将现有基础设施迁移到云。首先需要对这一新兴技术概念抱有信心，从2010到2011年的很多报告显示，由于安全问题，众多的企业对云计算持谨慎态度，但对云对安全的态度正在发生变化。2010年Harris调查显示，超过81%的用户担心云服务的安全性问题，普遍认为云计算缺少安全性。而到了2011年，众多的调查报告显示，企业开始对云计算选择的比例呈上升势头，赛门铁克《云端现状调查》报告显示，88%的受访者有信心迈进云计算而不会影响信息安全，虽然只有很少比例(15%-18%)认为已经做好过渡到云的准备，虽然说多做少，但根据这份调查报告显示，譬如企业选择邮件安全、IM安全等安全云服务的比例要多于其他云服务，从对安全的担忧到现在的安全性预期的评估，安全造成企业对云计算呈谨慎态度的局面正在改观。

还有众多的云计算调查报告的数据，也显示出企业对云计算的钟情。虽然安全的担心仍然存在，但云服务的效能、可用性、评估预期、IT部门对系统的控制权是否会导致岗位流失等更多的隐忧正在浮现，安全从云计算诞生就背上的包袱和阴霾正在被驱散。

同时云计算不可能一蹴而就，所以企业和整个产业都要有耐心走好这个过程，从整个行业进展情况来看，可能很多企业都要花多则6-7年，少则3-5年来过渡，而目标也不是简单的将数据中心搬到公有云或变成私有云。同样之于安全，云计算的技术架构，平台，终端计算，每个层次都不能忽视安全，每个层面都有安全，包括管理也需要安全，安全不是支离破碎，不是某一个环节把安全考虑好了就一劳永逸。所以需要从各个层面看现有架构走到安全体系的阶段，包括传统组件，基础架构，技术应用，开发等，当新的应用方式出现的时候，都是对安全的巨大挑战，如果不能很好的处理将带来不可预期的后果。比如新老应用，与云与现有安全架构的兼容性问题?数据在云端和本地的风险和合规问题是完全不同的?迁移策略是怎样的，迁移过程中，安全策略如何掌控动态变化?虚拟化打破了物理的硬性绑定，流动的数据和应用，安全如何考虑?

共鸣：安全责任归属发生的改变

根据CSA云安全联盟发布的《云计算关键领域安全指南》对云计算安全的定义，云计算中安全控制的主要部分与其他IT环境中的安全控制并没有太大的区别，但是根据企业采用的云服务模型、运行模式以及提供云服务的技术，与传统IT解决方案相比云计算可能面临不同的风险。

如上文所述，企业对云计算安全的谨慎态度，已经随着云的逐步深入，转嫁到其他方面的担忧，比如云的效能，可用性等……云计算的重要吸引力之一就在在于经济上的可扩展性、标准化提供的成本效率，为了支撑这种成本效率，云提供商提供的服务和解决方案必须足够灵活，以服务最大可能的用户数、最大化企业的市场，而安全集成到这些服务方案中将使得方案变得僵化。虽然安全只是使得云服务僵化的原因之一，但与数据和信息的所面临的风险相比，安全的集成必不可少。所以明确的可纠责性，清楚企业安全现状的成熟度，就是有效安全控制的级别等就显得格外重要了。

CSA联盟给出的安全责任根据云服务模式划分为：在SaaS环境中，安全控制及其范围在服务合同中进行协商，服务等级、隐私和符合性等也都在合同中指出。在IaaS中，低层基础设施和抽象层的安全保护属于提供商职责，其它职责则属于客户。PaaS则居于两者之间，提供商为平台自身提供安全保护，平台上应用的安全性及如何安全地开发这些应用则为客户的职责。