【51CTO.com 綜合消息】為什么要說這樣的話？云安全聯盟中國區高峰論壇上一位嘉賓說，“水壺燒出的水汽絕對不是云”。那么云安全的問題，也就需要整個信息安全產業，就云安全達成共識。云是互聯網和大規模數據中心不斷發展的必然產物。在未來10年里，云必將成為影響整個IT行業的關鍵性技術，也會對現有的信息技術體系架構帶來了深遠的影響，云安全也隨之成為一個重要問題。

云計算是什么？

提到云安全，不能不說云計算。早在2000年的時候，國際上已經有人提出網格計算與分布式計算的概念，隨著信息產業及市場的日益成熟，這個概念經過商業化運作，有了初步的框架，進而形成了云計算的雛形。綠盟科技副總裁吳云坤表示，云計算并不是新東西，它所改變的只是運營方式、用戶交互方式以及營銷方式等，可以說這是一種新的商業模式。正是這樣的轉變，讓各個領域、各個行業的廠商及企業，會根據業務及市場的特性，就云計算的定義提出各自的觀點。

Frost & Sullivan市場研究機構提出，云計算是一種靈活的、可擴展的共享環境，第三方供應商利用虛擬化技術，基于按需提供的平臺，通過互聯網向客戶提供及分配計算資源。國際云安全聯盟，在征詢國際業界廣泛的意見和實踐經驗后，指出云計算應該包含如下方面：

◆按需供應，必須是密切結合業務需求，按照需求提供資源及服務

◆彈性，隨業務拓展可以靈活的調整及拓展架構

◆多層租用，根據不同業務，不同受眾，可以提供不同資源、不同形式的租用服務

◆云包含如下特征模塊： 

基礎架構即服務Infrastructure as a Service (IaaS)，包含基本的IT架構，比如操作系統，比如存儲 

平臺即服務Platform as a Service (PaaS)，包含IaaS以及快速應用設備 

軟件即服務Software as a Service (SaaS)，包含所有的應用程序 

共有云，私有云，社區以及混合云部署

下面這張圖，對云給出了一個可視化的呈現，說明了云計算的服務交付模式，以及如何部署云。  

圖1 云計算架構

云安全產業

云計算所帶來的深遠影響，讓綠盟科技以及安全業界的先行者們清晰的認識到，云計算所面臨的挑戰。IDC市場調研機構數據顯示，云計算服務將在2013年達到整體IT消費的10%，年收益高達442億美元，5年內年平均增長是26%，這是傳統IT行業增長速度的6倍。而Frost & Sullivan市場研究機構，在2009年年末，對亞太區6個市場，300個大型企業，500人以上的大型企業他們的IT決策人做了一項云計算的調查。調查數據顯示，55.3%的人擔憂云安全問題，尤其是數據安全性。毫無疑問，云計算的蓬勃發展，已經讓云安全已經上升到產業的高度。

云安全產業鏈條，包括了云安全環境，云安全設計，云安全部署，云安全交付，云安全管理，再到云安全咨詢，這是一個閉環。IDC 報告指出，云安全性包含至少兩個層次，一是制約用戶接受云計算的信用環境問題，這是云計算得以廣泛應用的基礎,也是推廣門檻，然后才是云計算的應用安全。而其中良好的信用環境是技術層面的云計算安全之基礎，也就是說，只有用戶認可并采用云服務，才談得上的云安全技術問題。

那么就云計算的信用環境來說，一方面是云計算提供商方面要樹立自身的信譽，構造可信的云；另一方面是云安全服務商方面，要對互聯網資源建立安全信譽評估系統，以對抗云攻擊的“地下產業鏈”。這方面，Google和StopBadware走在了前面，隨后國內安全業界的廠商也認識到這一點，紛紛采取了相應的措施。2009年，綠盟科技發布互聯網信譽服務白皮書，并提供信譽評估服務。根據多年的安全研究積累，綠盟科技對互聯網相關資源進行威脅分析和信譽評級，累積IP地址、域名和URL等不同資源的內容和行為記錄。同時，匯集了來自于授權客戶和第三方合作伙伴的威脅反饋、自身安全產品的安全事件以及安全研究團隊的風險預警，與目標站點的歷史信息進行整合，建立針對互聯網領域的長期信譽追蹤機制。正是這樣的積累，讓綠盟科技在2010年8月，正式與StopBadware達成戰略合作，繼Google之后，成為其數據提供商。

而就云安全技術方面來說，云安全主要面臨這些挑戰：

◆云計算的濫用、惡用、拒絕服務攻擊

◆不安全的接口和API

◆惡意的內部攻擊

◆共享技術產生的問題

◆數據泄漏

◆賬號和服務劫持

◆未知的風險場景#p#

云安全如何定義

面對這些挑戰，我們應該從哪些層面入手，才能實現安全云呢？從IT架構管理來看，企業敏感數據，尤其是涉密企業，出于安全性考慮，目前還會以私有云為主，在未來的一段時間，才會逐步過渡到共有云；從產業和市場發展，云安全還處在初級階段，從未有一個廠家的產品可以囊括云安全所有層面，也未能提出一個完整的解決方案。

要對云安全有一個全面的認知，必須認識到云安全是動態的，是不斷演變的。云安全解決方案必須與應用及服務充分結合，并適應業務的發展需求。云安全聯盟提出，應該從治理和運營兩個方面入手：

云安全治理：

◆Best opportunity to secure cloud engagement is before procurement – contracts, SLAs, architecture

◆Know provider’s third parties, BCP/DR, financial viability, employee vetting

◆Knowing where your data is

◆Plan for provider termination & return of assets

◆Preserve right to audit

◆Reinvest provider cost savings into due diligence

云安全運營：

◆Encrypt data when possible, segregate key mgt from cloud provider

◆Adapt secure software development lifecycle

◆Understand provider’s patching, provisioning, protection

◆Logging, data exfiltration, granular customer segregation

◆Hardened VM images

◆Assess provider IdM integration, e.g. SAML, OpenID

如何做到云安全

那么用戶該如何選擇云安全服務，又怎么才能做到云安全？ 國際云安全聯盟發布的云安全指南指出，云安全要覆蓋云安全完整的生命周期，并完成最佳實踐以及分析工具。在云安全完整的生命周期中，理想的云安全狀態至少應該包括安全治理、識別、訪問控制、數據保護以及審核，最終實現安全即服務（Security as a Service）。

圖2 理想的云安全

要實現這些，云安全治理及運營至少應該包含13個領域，包括：

圖3 云安全治理與運營模型

而云安全分析工具，要區分用戶及供應商角色，并完全遵從于ISO 27001, COBIT, PCI, HIPAA等國際標準，從而彌補管理者及云安全審核之間的差距。云安全聯盟為此提供了云安全控制矩陣工具，請訪問Cloud Security Alliance官方主頁。

正是遵循這樣的云安全治理與運營原則，綠盟科技作為中國安全業的領先者，多年來始終致力于網絡安全的研究，并一直積極推動國內云安全的發展。2008年，綠盟科技宣布正式啟動云安全計劃，成為國內第一家進入云計算和云安全領域的網絡安全廠商。云安全計劃中包含具備多種能力類型的安全云，目的是通過對互聯網進行大規模集中分析和匯總，在全球范圍內大規模部署中心服務器群，覆蓋入侵防御、漏洞掃描、掛馬防范、流量清洗等方面，全面檢測惡意網站與異常流量，提供了在大范圍網絡環境下解決云安全問題的全新思路，這種模式已經在多個運營商骨干網和城域網得到了廣泛的部署。

2009年12月，綠盟科技成為國際云安全聯盟在亞太地區的第1個企業成員，并為推動云安全本地化工作不懈努力。同年，云安全計劃持續完善，推出包括內容安全監管、異常行為審計、應用安全交付等多種計算能力的云模式。2010年9月2日，云安全聯盟中國區分會宣布成立。#p#

云安全的實質是什么？

面對龐大的云計算架構，要提供安全云服務，靠單打獨斗是不行的。在經歷了云計算紛爭的年代之后，日益復雜的應用，云安全整體解決方案的需求，以及市場發展的磨合，都讓安全企業認識到，云安全必須產業化，形成一個產業鏈條。而實現它的前提，就是必須找到一種方式，讓大家走到一起來，通過一系列溝通，描繪一個共同的愿景，解決一些分歧，推動一些項目，交付一些成果，才能穩固云安全的“短板”，推動本地市場云安全產業的發展。另一方面，中國乃至亞太區的云安全形態及發展，對于國際云安全產業不可或缺，而國際規范只有適應本地的、大規模市場后，產生有效的分析工具及方法，才具有實際意義。

云安全的實質在于溝通協作，溝通協作需要平臺。隨著市場經濟關系深化發展，以及社會分工在市場領域細化，必然會產生云安全的聯盟組織，它的完善與否是市場體系成熟與否的一個重要標志。在這樣的背景下，國際云安全聯盟CSA（Cloud Security Alliance）于2009年RSA大會上宣布成立，是一個非盈利性組織。成立后，獲得了業界的廣泛認可，與ISACA、OWASP等業界組織建立了合作關系，很多國際領袖公司成為其企業成員。

國際云安全聯盟于2010年，首次在中國舉辦峰會，以“溝通分享，合作共贏”為主題，號召亞太區安全業界的參與，其意義就在這里。在本次峰會上，中國區分會正式成立，CSA主席Dave Cullinane以及國際安全界同行，紛紛到場或以各種形式表示祝賀。綠盟科技副總裁吳云坤先生表示，云安全的問題已經讓大家達成共識。

多年來，綠盟科技始終致力于國內網絡安全方面的研究，積累了大量的數據，我們愿意并正在與各方面展開積極的合作，分享數據和經驗。綠盟科技首席戰略官趙糧博士也提到，“在未來的12個月中，國際云安全聯盟中國區分會，將會推動一些列云安全方面的項目，并提交項目成果，還會積極開展地區性的云安全技術交流研討活動”。正是安全業界各知名企業的積極參與，讓云安全聯盟在亞太區安全業界中引起了強烈的反響。

云安全產業的契機

毫無疑問，云安全產業鏈中的先行者們，將會在市場發展中，占據及其重要的地位，而這一點，甚至能夠左右企業未來的發展，這也是為什么云安全聯盟一經發起，幾乎所有與云安全產業相關的企業，紛紛加入。在不到2年時間里，已經有超過50個國際領袖級公司成為其企業成員，包括Google、HP、CISCO、Intel、MS、Oracle、Novell、AT&T、CA、McAfee、TREND、Symantec、NSFOCUS、3PAR等。

而在之前，國內尚未具有影響力的云安全聯盟組織，隨著云計算的不斷發展和演變，國內各個廠商及研究機構對于云計算、云安全都有自己的獨特見解，這些觀點都代表了各個領域的發展特性。另一方面，來自國際信息安全方面的規范，也不能完全適應國內云安全發展的各個層面及特性。可以看到，國內云安全尚處于初級階段，而每個廠商或者企業的技術力量，都是有限的，不可能涵蓋云安全產業鏈的所有層面。國際云安全聯盟中國區分會的成立，對中國和亞太地區推動云安全的實踐和創新，構建中國乃至亞太地區云安全產業的理論指引，發掘及云安全產業中的契機，具有及其重要的價值。