“云安全”如何才能保障

云安全泛指云自身及云上各种应用的安全，具体包括云计算平台系统安全、数据安全存储与隔离、接入认证、信息传输安全、网络攻击防御、合规性审计等。

伴随着组织的业务不断增长，云安全问题日渐凸显，自身系统被入侵者攻破，用户数据被盗时有发生。当用户使用云服务时，首先应该考虑数据安全，这正是一些信息比较敏感的客户不愿使用云服务的原因之一。

“无论是私有云、公有云，在为应用系统带来可扩展、高可用、访问便捷的同时，确保数据访问受控、云上业务不被恶意攻击、云上系统不被入侵等都是必须解决的根本性问题。”国联易安总经理门嘉平博士表示。

“安全评估”要做好

2019年7月，工信部等四部委联合发布了《云计算服务安全评估办法》，对党政机关要使用经过安全评估的云服务提出了正式要求。2021年出台《网络数据安全管理条例征求意见》，也规定了国家机关等政务运营者采购云服务要通过评估，把制度的层级上升到行政法规层面。

云计算服务安全评估专家组副组长、国家信息技术安全研究中心原副主任李京春表示，“十四五”期间，在培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业的过程，要完善国家电子政务网络，集约建设政务云平台和数据中心体系，推进政务信息系统云迁移。

中国网络安全审查技术与认证中心魏昊主任也表示，未来的云服务安全评估工作将从以下几个方面开展：第一，拓展评估类型，扩大覆盖面。尤其是希望云平台提供的服务模式，逐步地以基础设施方式为主，能够过渡到更多的提供PaaS(平台即服务)、或者SaaS(软件即服务)的评估;第二，要考虑落实《数据安全法》、《个人信息保护法》等法规政策的要求，在云评估当中加强数据安全，包括个人信息保护的分担;第三，要促进相关标准的跟进，同时强化供应链安全的评估，降低断供以及开源软件漏洞、过度依赖第三方运维等风险。

“云计算过程相对复杂，所以选择云防护之前，首先应该评估软件应用程序和硬件阵列的安全漏洞，尤其要检查云应用程序的常见漏洞，要确保所有的安全防护措施到位。”国联易安总经理门嘉平博士表示。

“弹性计划”要制定

随着组织采用云技术，弹性需求也应该提上日程。没有一种技术是完美的，云计算亦如此。所以，必须确保业务负载，如果想在一场物理灾难或网络攻击事件中迅速恢复尤其重要。组织必须确保业务负载可以随时恢复，与业务连续性的影响微乎其微。

云负载均衡是对多台云服务器进行流量分发的负载均衡服务。云负载均衡是针对云弹性计算平台而设计，通过流量分发扩展应用系统对外的服务能力，从而消除单点故障，提升应用的稳定性。随着流量的增加，云负载均衡可以综合计算分析服务器的服务能力，将流量分散到不同的服务器上。一台机器出现故障不会引起服务中断，同时后端池中机器具有相同的配置，任何一台机器故障也不会引起服务的中断。当访问转发到后端服务器时，云负载均衡会记录会话与服务的对应关系，因此当再一次请求产生时，会将请求转发到相同的服务处理，从而提高处理效率。

负载均衡和云进行深度融合后，更加自动化和智能化。相比硬件负载均衡产品，云负载均衡支持自动化部署，无需人工干预，可以一键生成负载均衡虚拟机，实现负载均衡按需生成、自动配置，并自动做一些业务编排。

“虽然负载均衡本身有诸多的安全能力，包括应用层抗攻击、邮件安全，DNS防护等，但是云负载均衡的安全更偏向于业务和应用安全。所以，组织也可以考虑一种混合安全模式：将云中提供的服务与预置的服务混合起来。这样有助于减轻数据保护，隐私保护的压力。”国联易安总经理门嘉平博士表示。

“可视化”必须有

在零信任世界里，每个人都是局外人，没有适当的可视化就不能被信任。云计算固然为业务运营和服务带来了敏捷度和可扩展性，但也让我们失去了一些对云端数字资产的控制。因为流量遍历于本地与云端之间，云端数字资产暴露的机会也相应增加。如果无法实现对数字基础设施的规划，包括运行其全部应用，确保云环境安全将成为一句空话。

如果没有流量可视化，安全威胁就无法被发现，服务等级协议会因为网络性能和故障可视化的缺失而受到波及，给业务带来负面影响，导致客户流失和信任缺失。所以，云上流量的可视化展现是非常必要的。虽然云负载均衡可以在一定程度上实现流量的可视化，但可视化的最终目标是要帮助客户查看云上业务的分布、来源和响应时间等性能指标，这样才能帮助客维护和管理云上业务。

可视化如何才能做到呢?一是与公有云厂商合作，复制流量。但并不是所有公有云厂商都能提供可视化服务，都能将云流量随时发送到指定工具上;二是与工具厂商合作，实现对公有云工作负载的可视化。

“目前，业界比较流行的做法是采用‘网络流量安全分析系统’实现云平台流量分析。实现‘可见”——从应用维度识别云上流量，获取流量特性，建立一张清晰的流量图;‘可识’——识别专线链路的流量组成，感知云上业务并发量，让虚机的弹性扩容有据可依;‘可溯’——回溯历史流量数据，掌握流量变化趋势，将业务的运营一一展现，从而为业务优化提供决策依据。”国联易安总经理门嘉平博士表示。

结束语

自从2006年谷歌的CEO埃里克·施密特正式提出“Cloud Computing”概念以来，云计算已经经历了十五年的发展。虚拟化技术、公有云、私有云、云原生等概念也层出不穷。

毋庸置疑，业务上云可以助力组织更快速的实现数字化转型，而且更弹性、更高效的进行计算资源的整合。随着云计算业务的不断深入，以及国家、地方政府支持政策利好出台，我国各地的云计算数据中心正在如雨后春笋般的迅速增长。

“为了适应云环境，硬件产品向软件产品转型、硬件交付向软件交付转型已经成为业务发展的技术趋势。云安全不再只是一个静态的时间点，而是持续的动态演变，所以组织做好云技术管理和定期的网络安全审查也非常必要。”国联易安总经理门嘉平博士表示。

门嘉平国联易安总经理，清华大学电子信息专业博士、北京交通大学信息安全专业博士。第一作者发表中英论文10余篇，参与国家标准起草与修订工作3项;承担国家级重大专项、重大工程课题研发成果8项;获得发明专利、著作权近300项。多个国家部级单位特聘信息安全专家、多个国家部级执法单位特聘信息安全专家，清华大学计算机系网络安全智能研究中心副主任、清华大学无锡应用技术研究院数字技术产业研究中心主任。民建中央信息和网络创新专委会委员、民建中央企业家精神专委会委员，中关村软联安全专业委会主任，中关村软件和信息服务产业创新联盟副理事长，中国计算机学会安全专业委员，海南国际仲裁院互联网服务中心专家顾问。

免责声明：市场有风险，选择需谨慎!此文仅供参考，不作买卖依据。

标签：