云安全的挑戰及解決方案是什么？

云安全到底是什么？云安全與傳統安全有什么區別？

一、云計算的基本概念

談到云安全的概念就不得不聊一下云計算了。

簡(jiǎn)而言之，云計算就是一種新興的計算資源利用方式，云計算的服務(wù)商通過(guò)對硬件資源的虛擬化，將基礎IT資源變成了可以自由調度的資源池，從而實(shí)現IT資源的按需分配，向客戶(hù)提供按使用付費的云計算服務(wù)。

用戶(hù)可以根據業(yè)務(wù)的需求動(dòng)態(tài)調整所需的資源，而云服務(wù)商也可以提高自己的資源使用效率，降低服務(wù)成本，通過(guò)多種不同類(lèi)型的服務(wù)方式為用戶(hù)提供計算、存儲和數據業(yè)務(wù)的支持。

二、云計算環(huán)境下的安全需求和挑戰

有信息傳輸的地方就存在安全問(wèn)題，云安全就是云計算環(huán)境下面臨的安全問(wèn)題。

一方面，傳統環(huán)境下的安全問(wèn)題在云環(huán)境下仍然存在，比如SQL注入、內部越權、數據泄露、數據篡改、網(wǎng)頁(yè)篡改、漏洞攻擊等。

另一方面，云環(huán)境下又不斷涌現一堆新的安全問(wèn)題，以下將會(huì )從管理使用和業(yè)務(wù)安全防護兩個(gè)維度為大家分析云計算環(huán)境下的安全挑戰。

安全管理使用維度面臨的需求和挑戰：

1）云上安全部署困難

云計算打破了傳統IT環(huán)境的網(wǎng)絡(luò )邊界，用戶(hù)的業(yè)務(wù)部署在云上，傳統的硬件盒子已經(jīng)無(wú)法部署到用戶(hù)的虛擬網(wǎng)絡(luò )中，滿(mǎn)足不了用戶(hù)的云上安全需求。

2）安全按需自服務(wù)

云上每個(gè)用戶(hù)的業(yè)務(wù)千差萬(wàn)別，安全需求自然也各不相同，傳統環(huán)境下預先規劃好安全設備對特定業(yè)務(wù)系統做防護的模式已經(jīng)不適用于云計算環(huán)境，而按需自助申請安全資源，實(shí)現安全服務(wù)的即開(kāi)即用的模式成為云上用戶(hù)的云安全基本訴求。

3）安全按需計量計費

云環(huán)境下，用戶(hù)使用IT資源像使用水一樣即開(kāi)即用，按需付費，而傳統環(huán)境下，安全設備型號性能和使用期限都是固定的，顯然不滿(mǎn)足云上用戶(hù)對安全資源的需求，安全資源也需要滿(mǎn)足按需計量計費的原則。

4）安全資源彈性伸縮

用戶(hù)云上的業(yè)務(wù)規模會(huì )隨著(zhù)業(yè)務(wù)的發(fā)展彈性伸縮，因此安全資源也需要隨著(zhù)的業(yè)務(wù)的伸縮和伸縮，即云上安全需要具備安全資源池彈性伸縮的特點(diǎn)。

5）統一運維管理

云上用戶(hù)采用的安全服務(wù)可能有很多種，如果每一種安全服務(wù)都單獨運維管理會(huì )給用戶(hù)日常的安全運營(yíng)工作帶來(lái)極大的挑戰，因此安全統一運維管理是云安全解決方案需要解決的一大痛點(diǎn)。

業(yè)務(wù)安全防護面臨的需求和挑戰：

1）虛擬機逃逸

云計算實(shí)現了主機資源的共享，理想情況下運行一個(gè)虛擬機中的程序是無(wú)法影響其他虛擬機的，然而某些情況下，在虛擬機運行的程序會(huì )繞過(guò)底層從而控制宿主機，一旦宿主機被控制，其他用戶(hù)的業(yè)務(wù)就會(huì )面臨巨大的安全威脅。

2）東西向安全防護

云上用戶(hù)的業(yè)務(wù)可能會(huì )部署在多虛擬機中，一旦某一個(gè)虛擬機被控制或感染病毒，對整個(gè)業(yè)務(wù)系統的影響也是災難性的，因此東西向防護成為云安全的主要需求之一。

3）數據泄漏

云計算依托的基礎就是海量數據，而海量數據若發(fā)生泄露，造成的損失也將遠大于傳統環(huán)境，云環(huán)境下多用戶(hù)的數據共享云上存儲，如若一個(gè)用戶(hù)的應用存在漏洞可能就會(huì )導致其他客戶(hù)數據的泄露，而惡意黑客會(huì )使用病毒、木馬或者直接攻擊方法永久刪除云端數據來(lái)危害云系統安全。

4）云平臺安全審計

用戶(hù)的業(yè)務(wù)依托在云上，數據也存儲在云上，針對云平臺本身的合規性和安全審計也是云上用戶(hù)面臨的重大困擾。

三、市場(chǎng)上常見(jiàn)的幾種云安全解決方案

目前市場(chǎng)上在公有云和私有云場(chǎng)景下出現的解決方案有一定的差異，下面將會(huì )從公有云和私有云兩個(gè)維度為大家解析：

公有云

公有云場(chǎng)景下，主線(xiàn)的比較常見(jiàn)的接種解決方案有：

1）安全廠(chǎng)商提供單一的安全軟件

由于硬件已經(jīng)無(wú)法部署到云上，安全廠(chǎng)商通常實(shí)現了安全產(chǎn)品的軟件部署，將安全產(chǎn)品軟件部署在用戶(hù)提供的虛擬機上，為用戶(hù)提供安全防護能力。

這種方式有幾個(gè)弊端：

（1）部署復雜：首先得用戶(hù)提供虛擬機，然后安全廠(chǎng)商手動(dòng)將安全軟件部署到用戶(hù)的虛擬機上；

（2）安全組件管理復雜，需要逐一登陸到不同的安全組件做安全管理；

（3）用戶(hù)購買(mǎi)流程復雜，無(wú)法做到安全性能的彈性擴展。

2）安全廠(chǎng)商提供安全SAAS服務(wù)

安全廠(chǎng)商提供SAAS化的云安全服務(wù)，常見(jiàn)的如掃描服務(wù)、WEB應用防護服務(wù)，可以為用戶(hù)的云上業(yè)務(wù)系統提供安全能力。

3）安全廠(chǎng)商的安全產(chǎn)品入駐云平臺的云市場(chǎng)

每個(gè)公有云都有安全市場(chǎng)，安全廠(chǎng)商可以將安全產(chǎn)品入駐云平臺的安全市場(chǎng)，用戶(hù)可以通過(guò)市場(chǎng)自助選購。

4）云服務(wù)商自己提供安全服務(wù)能力

隨著(zhù)云平臺的發(fā)展，目前大部分的云廠(chǎng)商慢慢都具備自己的安全能力，用戶(hù)可直接通過(guò)云管理平臺申請開(kāi)通云服務(wù)商的安全服務(wù)。

這種方式也有一個(gè)很大的弊端：缺乏第三方的安全審計。

私有云

私有云場(chǎng)景下，前面公有云場(chǎng)景下提到的：安全廠(chǎng)商提供單一安全軟件部署在虛擬機上，安全廠(chǎng)商提供安全SAAS服務(wù)、云服務(wù)商自己提供自己研發(fā)的安全服務(wù)等方式也都會(huì )存在，不同點(diǎn)主要有以下兩種：

1）云市場(chǎng)：

私有云場(chǎng)景下往往不會(huì )有云市場(chǎng)模式將不再存在。

2）安全資源池：

為了滿(mǎn)足云場(chǎng)景下的安全需求，市場(chǎng)上目前比較常見(jiàn)的一種方式是安全資源池的方式，幫助用戶(hù)構建一個(gè)統一管理、彈性擴容、按需分配、安全能力完善的云安全資源池，為用戶(hù)提供一站式的云安全綜合解決方案。

四、云安全的趨勢

1）多云安全和混合云安全成為用戶(hù)的安全痛點(diǎn)：

市場(chǎng)上云服務(wù)廠(chǎng)商眾多，用戶(hù)往往將業(yè)務(wù)部署在多個(gè)平臺上，多云和混合云的場(chǎng)景在國內市場(chǎng)上將會(huì )長(cháng)期存在，因此多云安全和混合云安全將成為云安全解決方案需要解決的安全痛點(diǎn)。

2）安全服務(wù)SAAS化：

通過(guò)VM的方式為每個(gè)用戶(hù)提供獨立的安全產(chǎn)品這種方式會(huì )造成巨大的資源浪費和，同時(shí)大大增加了安全運維成本，安全服務(wù)SAAS化可以很好的解決以上問(wèn)題。

3）第三方安全審計視角成為安全：

用戶(hù)的業(yè)務(wù)和數據都依托在云服務(wù)商的云平臺上，第三方的安全審計視角必不可少。