云的安全挑战

大多数企业，特别是对安全极其重视的半导体企业对将业务环境迁移入云一直存有疑虑。理由充分可理解，毕竟机房、服务器和数据不在自己的眼皮子底下，加之云计算是建立在虚拟服务上的，很多业务模式是让你和其他公司共用物理机的，因此数据的有效保障程度对客户来说是个未知数。

我们先来谈谈上云的几个主要安全挑战，相比企业能完全控制的物理环境，还是比较复杂的。

首先，划分的安全域不再如企业自建环境直接而简单，自建环境用防火墙和机房做内、外隔离即可；而云基础设施和资源是建立在“共享”基础之上，安全域是多维的，因此复杂度就加大了，如果服务商安全做得不够细致、专业，可以让攻击者‘长驱而入“；另外，数据存放在远端的云服务商的数据中心，虽然专业云服务商有着非常完善的保护措施，可是多用户共享资源，用户是无法知道具体的资源位置，更无从控制资源运行，这更让企业很不“安心”。

其次，计算机的管理和运维是通过互联网进行的，攻击方式更具有“侵略性”和“隐蔽性”。我们做过测试，直接部署云环境而不考虑安全加固的云环境，是非常容易受到外部攻击的。另外，云是全面虚拟化的，攻击者可以隐藏在和其他客户共享宿主机的虚拟机里面，加之虚拟机具有移动性，物理机之间的克隆和发布可能会产生配置错误和安全漏洞的传播，从这个角度，也增加了更多的安全风险。

再来说说数据安全，部署在云上的数据，其访问、存储、传输更需要考虑加密方式，客户还是云服务商来保护和控制密钥，以及密钥如何存放，这都需要花费更多的努力。

因此，在云上部署的业务应用，其审计要求更高，需要对资源和数据的访问、使用和活动提供更为可靠的审计证据，以证明资源没有被篡改或泄露。

尽管有上述的这些安全挑战，但是如果我们了解云平台的运作机理、使用的技术手段，并熟知其产品特性，施之以完善的规划和部署，那么我们还是可以比较有信心地说：用户是可以安心地使用云计算的。毕竟云计算的高弹性、“即开即用”等特色和优势给企业带来的好处是显著的，想想因芯片的研发时间大幅度缩短而带来的高效和经济效益，是多大的吸引力。读者如果有兴趣，可以从摩尔精英前期发表的《芯片上“云“的动力》一文中了解更多的细节。

“物不因不生不革不成“，可是如何保证成功而安全的迁移，本文将从多个角度来阐述如何做、怎么做来保护企业上云安全，希望能增添大家上云的信心。

云的安全优势

尽管上节中，我们讲到了芯片上云面临着许多挑战，可是云的安全优势也是显著的。

2.1、安全随“云”而行

由于云是通过互联网平台提供的一种共享服务，其特殊性决定了它面临的安全风险更高。因此，从基础架构和产品目录布局开始，云服务商就对安全进行了布局。从跨数据中心的建设开始，云厂商就将安全控件系统地、紧密地集成在硬件、固件和软件服务中。比如说，“多层安全”的安全方针从Iaas和Paas层，对互联网威胁最大之一的 DDoS攻击进行了全面的防御和阻断；又比如，充分利用云优势、无缝结合大数据、实时捕捉安全信息从而高效地分析和判断可能发生的安全风险和威胁[1]。可以说，安全是“随云而行、织密而弹性的”。

2.2 、多层构建、高安全边界防御

由于云是面向互联网的，云厂商要成功提供服务，在安全方面必然面临持续的、严格的监管，监管部门要求云服务商必须通过和维护符合要求的安全认证。因此，专业的云平台服务商都在安全方面投入了很大的人力和财力，他们从物理数据中心开始分层构建，和众多安全产品和方案提供商合力在平台上筑建起严密的防入侵防御，并且有7x24的后台运维团队和安全专家团队做后盾，从而尽最大程度地控制安全风险，比如：

最高级别的数据中心物理安全
云的数据中心一般是根据数据中心安全要求按照最高级别设计的，比如：数据中心部所有基础设施（空调、UPS等）按全冗余设计，严格隔离不同安全区域、设置不同级别的物理访问控制和监控等。
边界防火墙顶级配置
高集成事件日志的IDS防御
应用、数据库层防火墙保护
存留数据加密

由此可见，就以投资、人力和专业度而论，一般企业是“望尘不及、有心而力不足”的。另外，规模小的中、小企业，由于初期建设往往简单，缺少专业人员的建议、实施和运维，他们的企业研发环境一般都存在着高安全风险。比如，尽管他们知道做跳板机，可是跳板机本身没有做任何安全防护。同时，他们又局限在没有专业人员维护、缺少驻场安全服务的困境中。如果上云，可以实现用较低的成本进行环境安全管理的期望。

2.3、安全补丁和安全管理高度集成

安全机构，比如Verizon【2】的最新调查表明，许多安全风险来自不完善的补丁管理。没有及时更新的系统补丁很容易给入侵者入侵机会，而传统的IT管理方法中的补丁管理是分散的、复杂的。补丁还涉及到备份、故障恢复等其他流程，比如，如果补丁更新失败或者补丁造成系统崩溃后，如何恢复系统，特别是关键信息设施和重要系统，更是需要“刻不容缓”地复原。因此在传统的IT环境中，补丁管理是让管理员极其操心的。

而在云上，这个工作就变得很轻松了。因为云是以集中平台形式进行补丁管理和安全管理的。补丁实施计划：测试和回滚、更新时间表、安全策略更新、安全日志监控等，都能在一个管理平台上进行管理和运维。这极大程度减轻了管理员的工作负担，提高了管理效率，并避免人为错误而导致的更严重的后果。

2.4 安全威胁弹性应对、快速隔离

对于云的弹性属性，大家应该耳熟能详了。“随云而行”的安全当然也是具有弹性特征的。云的安全自动运维效率极高，不仅有边界安全防护提升了智能分析、处置能力。比如面对威胁，它能有效自动拦截机制。

还有，比起传统的线下数据中心的逻辑隔离，它能更容易地分割服务和功能模块。万一其中一个服务或者模块被攻击了，云的虚机和容器技术可以使工作流的不同模块或服务运行在不同的物理区域里，因此被攻击的部分不会影响到其他服务或功能模块，从而实现快速隔离。并且云的事件和消息服务功能强大，下一个工作流的任务会鉴别和确认上一个工作流的事件消息，被攻击部分不会得到确认所以会被丢弃。因此，我们很容易追踪溯源，这使得安全事件很容易找到根本原因。

责任共同模型

本节我们来着重介绍“责任共担模型”。因为如果不了解这个模型，企业可能会进入另外一个“误区”：认为既然云厂商有着这么多的安全“优势”，就将业务环境完全托管给云服务商，如果有事情就问责服务商。如果大家有这个想法，那么笔者这里要大大地敲“黑板”了，千万不可这么认为，否则造成的安全风险不减反而更高。

梳理一下，我们可以看到所有的云服务商，包括著名的阿里、腾讯、亚马逊或微软都是和客户以共担责任模式来运营系统和业务环境的。

虽然各家服务商具体实现的方式不同，但本质相同，和客户的合作都是建立在责任共担之基础上的。

云服务商负责“云自身”安全，包括云服务所包含的所有基础设施，运营、管理和控制所提供服务组件所在的物理数据中心、网路设备、软、硬件和虚拟层。

而客户的主要责任在于和其业务相关的企业数据、所选云服务的配置管理及身份验证，这也是从企业角度出发，保障企业的关键利益。

我们具体以微软云和亚马逊云为例。

微软云的“责任共担“ 【3】模型如下图3.1所示，红色部分为客户责任范围，包括终端设备、账号和验证、业务信息和数据，这些属于客户的责任。