在QCon2012全球軟件開發大會上，新浪云計算首席架構師叢磊介紹說，“新浪App Engin（SAE）從09年發展至今，針對云計算安全問題，從代碼到數據，從存儲到傳輸，從語言級解釋器到系統層都做了相應的防護和改進。”

 

 

 

云安全是云計算特別是公有云計算研究中的重要方向，也是所有用戶使用云計算都會關心的話題。人們普遍擔心自己的數據放到云端沒有了控制權，擔心云計算服務商會泄露自己的數據。叢磊認為，云計算安全有四大特點，第一、資源共享性，由于云計算提供的服務方式就是多租戶，大量用戶共享服務，這就會引起一個人出現問題后而連帶其他人遇到問題。第二、服務多樣性，云計算的發展已經衍生出很多云服務，例如云主機、云空間、云開發、云測試等，服務種類的增加也會帶來更多的風險。三、用戶不可知性。四、規模不可預知性。

 

SAE在云安全方面分別從平臺自身、用戶數據、用戶代碼以及賬戶四方面考慮的。在用戶的數據安全方面，以前是通過虛擬機來隔離，這樣SAE承載過高，因此在2010年改進，通過三層來保護，SQL預判、并發執行時間和、以及慢查詢配額。此外，SAE還提供了兩種驗證方式，Client Namespace-binding和SHA256 REST signature。MySQL跨應用授權可以在用戶密碼丟失的情況下，降低用戶損失，用戶可以將自己的數據庫授權給一些應用，如果賬號密碼丟失，也沒有權限訪問沒有授權的應用。在備份方面，SAE還提供MySQL備份機制、KVDB備份機制、TaskQueue備份機制、Counter/Rank備份機制。在應用防火墻方面，SAE提供IP黑白名單、訪問頻率控制、流入流出流量控制三種方式。

 

在代碼安全方面，SAE提供了PHP沙箱、Python沙箱和Java沙箱。此外，SAE還提供應用體檢，查看頁面性能是否有瓶頸，同時會檢查漏洞，是否存在攻擊隱患。在賬戶安全方面，SAE支持動態口令微盾，還可根據團隊的項目不同角色定義不同的權限。同時，在云豆方面，還有預算設置，保護用戶金錢不會被誤操作而消耗光，才外，SAE還提供大額消費保護，保障用戶的賬戶安全。

 

對于企業的安全，叢磊表示，新浪有7*24小時運維團隊，團隊成員都是擁有十多年的運維經驗。同時SAE還提供SLA保證和補償策略，對于平臺自身問題所造成的平臺整體性故障，SAE官方將針對平臺付費用戶進行一次性補償，以彌補平臺故障給用戶網站及應用造成的損失。