人無信不立，云同樣如此。不久之前發(fā)生的支付寶故障和攜程官網(wǎng)癱瘓等事件再次將信息安全推至風(fēng)口浪尖。技術(shù)從來都是把雙刃劍，在提高生產(chǎn)力的同時，也使得安全更為脆弱。

這一點在云計算領(lǐng)域表現(xiàn)的尤其明顯。云計算將資源集中在一起，可以想象，一旦發(fā)生安全問題，那么所有的服務(wù)將不可用。全球首屈一指的云服務(wù)提供商亞馬遜，曾經(jīng)在一年半的時間內(nèi)發(fā)生過5次云服務(wù)器宕機的事件，導(dǎo)致許多網(wǎng)站無法正常訪問。

而隨著越來越多的云落地，針對云服務(wù)的攻擊越來越多。在國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)4月底發(fā)布的《2014中國互聯(lián)網(wǎng)安全報告》中指出，云服務(wù)日益成為網(wǎng)絡(luò)攻擊的重點目標。

報告指出，2014年先后發(fā)生了多起因電力、機房線路和網(wǎng)絡(luò)故障導(dǎo)致的云服務(wù)宕機事件，針對云平臺的攻擊事件也逐年增多，僅由CNCERT協(xié)助處置的大規(guī)模攻擊事件就達十余起，涉及UCloud公司、浙江寧波某IDC機房等國內(nèi)云平臺。

師夷長技以制夷。國內(nèi)諸多互聯(lián)網(wǎng)廠商提出“云安全”的概念，借云之力保護云服務(wù)的安全。他們的計劃是，通過大量客戶端對網(wǎng)絡(luò)中軟件行為進行監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到服務(wù)端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

“將整個互聯(lián)網(wǎng)，變成了一個超級大的殺毒軟件，這就是云安全計劃的宏偉目標。”在百度百科中給出了這樣的解釋。

傳統(tǒng)的安全廠商則是通過傳統(tǒng)安全產(chǎn)品虛擬化的方式，為云服務(wù)提供商和云用戶提供靈活的、可擴展的安全防護。

“坦白來說，和傳統(tǒng)IDC安全不同，云安全還處于起步階段，市面上沒有十分完善和成熟的解決方案。不過，隨著越來越多廠商加入云安全的生態(tài)圈，相信云服務(wù)的安全方案也會漸趨成熟。”來自中國聯(lián)通云計算公司的一位專家向記者表示。

攻擊升溫

事實上，自云計算誕生以來，云服務(wù)的安全問題就伴隨其左右，并成為其走向規(guī)模商用的最大掣肘。早在2010年5月，埃森哲與中國電子學(xué)會共同發(fā)布的一份名為《中國云計算發(fā)展的務(wù)實之路》的報告指出，“安全問題是全球?qū)υ朴嬎阕畲蟮馁|(zhì)疑。而這種擔(dān)憂在中國尤為突出，以至于首席信息官們?nèi)缏谋”?，特別是面對公有云服務(wù)時。”

阿里巴巴集團安全部資深專家魏興國表示，當前云計算面臨著非常惡劣的網(wǎng)絡(luò)環(huán)境。報告顯示，在國外的主流云服務(wù)提供商中，他們的云主機很大比例都是被入侵過的云主機，而且很多用戶對入侵完全不知情。

魏興國說，事實上，阿里云遭遇攻擊的頻率也非常之高。就DDoS攻擊來說，每周就有2000次左右的攻擊，而且每次攻擊流量都很高;密碼破解類的攻擊則每周發(fā)生上億次。

就在6月18日，阿里云安全在微博上透露，當天阿里云用戶遭受多次超大流量DDoS攻擊，攻擊峰值接近300Gbps，此次被攻擊的阿里云用戶多屬于電商行業(yè)。

盡管通過流量清洗等技術(shù)手段成功化解了攻擊，但是可以看到，未來云服務(wù)遭受攻擊次數(shù)將逐步上升，可能一天之內(nèi)就會發(fā)生多次攻擊。

“針對云服務(wù)的攻擊將會越來越多。而且DDoS和APT攻擊將成為主要的攻擊手段。”IDC安全領(lǐng)域分析師王培接受記者采訪時表示。

安全狗給出的分析報告顯示，針對云服務(wù)器的攻擊類型主要包括三種。一是針對云服務(wù)器上應(yīng)用系統(tǒng)的攻擊，這類攻擊也是在所有攻擊中占比最高的;二是針對云服務(wù)器遠程登錄密碼的暴力破解攻擊;三是針對云服務(wù)器的DDoS攻擊。

2014年，全球范圍內(nèi)的云服務(wù)出現(xiàn)了大量的DDOS攻擊事件。12月中旬，某大型互聯(lián)網(wǎng)服務(wù)商的云平臺上一家知名游戲公司遭受DDoS攻擊，攻擊峰值流量超過450Gbps。

與此同時，《2014中國互聯(lián)網(wǎng)安全報告》指出，除了DDoS攻擊之外，釣魚站點逐漸向云平臺遷移。云服務(wù)申請和使用方便、成本低廉、安全審核不嚴，且云平臺同時承載多種不同類型的業(yè)務(wù)，傳統(tǒng)基于IP地址的追蹤處置手段難以適用，日益成為釣魚網(wǎng)站棲息的“溫床”。

《2014中國互聯(lián)網(wǎng)安全報告》針對2014年處置的銀行類釣魚網(wǎng)站分析，按所承載的釣魚網(wǎng)站數(shù)據(jù)排序，排名前十的IP地址有4個屬于云服務(wù)提供商。報告認為，云平臺的逐步普及，將加大數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊風(fēng)險，防護措施和管理機制有待完善。云計算技術(shù)的發(fā)展推動數(shù)據(jù)的集中化，在大數(shù)據(jù)時代，海量數(shù)據(jù)既是企業(yè)和用戶的核心資產(chǎn)，也成為網(wǎng)絡(luò)攻擊瞄準的目標。以竊取數(shù)據(jù)為主要目的的攻擊事件將越來越多，云平臺自身的網(wǎng)絡(luò)安全防護特別是對海量數(shù)據(jù)安全的防護將面臨挑戰(zhàn)。

值得一提的是，云安全事件頻發(fā)和企業(yè)云平臺缺乏安全審核和管理機制也有著很大的關(guān)系。專家指出，目前大多數(shù)云服務(wù)商的安全審核機制并不完善，用戶租用后作何用途，云服務(wù)商并不清楚知曉，也未作嚴格審核或周期性檢查，因此出現(xiàn)黑客在云平臺部署釣魚網(wǎng)站、傳播惡意代碼或發(fā)動攻擊的情況，如不及時加強管理，未來這種現(xiàn)象將繼續(xù)增多。

#p#

師夷長技以制夷

從云計算誕生那天起，安全廠商就開始投入到云相關(guān)安全產(chǎn)品的研發(fā)中去。而最早提出“云安全”概念的是趨勢科技，2008年5月，趨勢科技在美國正式推出了云安全技術(shù)。

由于安全是內(nèi)生問題，將云安全作為一個單獨的事物對待，在當時曾經(jīng)引起了廣泛的爭議。這個現(xiàn)象在百度百科上也可以查閱到：云安全的概念提出后，曾引起了廣泛的爭議，許多人認為它是偽命題。

事實勝于雄辯，云安全的發(fā)展像一陣風(fēng)，瑞星、趨勢、卡巴斯基、McAfee、賽門鐵克、江民科技、金山、360安全衛(wèi)士等都推出了云安全解決方案。

這些以純軟件為主的安全廠商傾向于借助互聯(lián)網(wǎng)的力量和云本身的優(yōu)勢來保護云的安全。他們對于云安全的策略構(gòu)想是使用者越多，每個使用者就越安全，因為如此龐大的用戶群，足以覆蓋互聯(lián)網(wǎng)的每個角落，只要某個網(wǎng)站被掛馬或某個新木馬病毒出現(xiàn)，就會立刻被截獲。

同時，利用“云安全”體系，殺毒軟件能夠更快地收集病毒樣本，更快地對病毒進行處理，并能在網(wǎng)絡(luò)威脅到達用戶電腦前就對其進行阻止，反病毒的效率大大提升，而且將更為智能化，帶來更完善的用戶體驗，最終目的可讓互聯(lián)網(wǎng)時代的用戶都能得到更快、更全面的安全保護。

而傳統(tǒng)的硬件安全廠商則開始推動安全產(chǎn)品的云化，虛擬防火墻就是安全產(chǎn)品云化或是虛擬化的代表產(chǎn)品。例如，以前防火墻和入侵監(jiān)測等安全設(shè)備都是以盒子的形式和服務(wù)器一起共同放到一個機架上，云化之后，這些產(chǎn)品就以虛擬機的形式存在。

“未來，安全產(chǎn)品將逐步軟件化，特別是隨著NFV和SDN的逐步應(yīng)用，安全產(chǎn)品就更多以軟件形式存在。”上述中國聯(lián)通云計算公司的專家向記者表示。

云計算的發(fā)展推動了大數(shù)據(jù)的應(yīng)用。反過來，借助大數(shù)據(jù)，可以在很大程度上提升云的安全性。

“要從本地網(wǎng)絡(luò)流量中發(fā)現(xiàn)未知威脅，相對于互聯(lián)網(wǎng)世界而言，仿佛研究森林中的一篇葉子，效率很低。因此，與其研究一片葉子，不如研究整片森林。”360副總裁譚曉生表示，“只有通過對互聯(lián)網(wǎng)海量多維數(shù)據(jù)的分析、挖掘和關(guān)聯(lián)，才能真正解決從被監(jiān)控流量中快速發(fā)現(xiàn)未知威脅的難題。”

無疑，大數(shù)據(jù)將在未來云安全領(lǐng)域扮演著重要角色。

值得一提的是，將安全作為一種服務(wù)也逐步受到業(yè)界的青睞。目前，阿里巴巴、騰訊和百度三大互聯(lián)網(wǎng)巨頭都在推廣這一服務(wù)理念，例如阿里巴巴的云盾就是典型的安全即服務(wù)(Security asa Service)。與此同時，涌現(xiàn)出越來越多的廠商，推出安全即服務(wù)。

IDC認為，安全即服務(wù)產(chǎn)品的優(yōu)勢在于“價值生成時間”(Time to Value)短、對變化(簽名、文件、更新、代碼修復(fù)等等)的反應(yīng)時間短、供應(yīng)商的配置成本低、客戶的使用成本低。

王培告訴記者，目前中小企業(yè)傾向于采用安全即服務(wù)的模式，而大企業(yè)特別是金融、電信等行業(yè)還是傾向于自建云數(shù)據(jù)中心安全體系。

重塑生態(tài)鏈

正如云計算重塑生態(tài)鏈一樣，云安全也在重塑生態(tài)鏈。

譚曉生表示，云服務(wù)不是零和博弈，云計算的復(fù)雜性超出了一家企業(yè)的掌控能力;安全威脅是云計算產(chǎn)業(yè)鏈中所有人的敵人。“因此，只有合作才能共贏，贏得云安全。”他說。

于是，越來越多的廠商選擇合作，共建云安全生態(tài)體系。2013年年底，安全寶和騰訊云開展戰(zhàn)略合作，今年3月，華為和安全狗合作，安全狗產(chǎn)品及“安全狗加固系統(tǒng)環(huán)境”服務(wù)入駐華為云應(yīng)用超市。諸如此類的合作案例還有很多。

技術(shù)之外，建立云安全標準體系也成為云安全的一條必經(jīng)之路。云安全聯(lián)盟(CSA)常務(wù)董事吉姆·雷維斯認為，由于企業(yè)遷移到云中的速度變得越來越快，建立安全標準已經(jīng)成為不可忽視的頭等問題。他進一步指出，尤其是虛擬化和云計算讓越來越多的數(shù)據(jù)和資產(chǎn)都集中到單獨的基礎(chǔ)設(shè)施上，帶來風(fēng)險集中的問題需要被認識到。

國內(nèi)云計算專家指出，目前云安全的標準化尚處于初級階段，我們要盡快開展云安全標準研究，填補國內(nèi)外云安全標準空白。