很多人總是認(rèn)為云環(huán)境不太安全，而將應(yīng)用程序和數(shù)據(jù)放在他們自己的數(shù)據(jù)中心才更安全。但真的是這樣嗎？早在2010年5月，CA和Ponemon研究所對(duì)900多名IT專業(yè)人士進(jìn)行了調(diào)查，他們發(fā)現(xiàn)IT從業(yè)者認(rèn)為在云環(huán)境安全風(fēng)險(xiǎn)更加難以控制，包括對(duì)數(shù)據(jù)資源物理位置的保護(hù)和限制特權(quán)用戶訪問(wèn)敏感數(shù)據(jù)。該調(diào)查發(fā)現(xiàn)，IT人員承認(rèn)他們不太清楚哪些計(jì)算資源被部署在云環(huán)境中，主要是因?yàn)檫@些都是由最終用戶從非IT視角作出的決定。約有一半的受訪者承認(rèn)很多云資源在部署之前并沒(méi)有進(jìn)行安全評(píng)估。

　　也許所有對(duì)云環(huán)境的擔(dān)憂源自于不安全的Web應(yīng)用程序，而不是云本身。很多頂級(jí)web安全漏洞(如跨站腳本和SQL注入攻擊)在web服務(wù)器剛被發(fā)明的時(shí)候就出現(xiàn)了，出于某些原因，它們?nèi)匀辉诤芏嗥髽I(yè)系統(tǒng)中“作威作福”。更加諷刺的是，2010年Aberdeen集團(tuán)的報(bào)告顯示，基于云的web安全工具比企業(yè)內(nèi)部安全工具出現(xiàn)更少惡意事件。

　　選擇云服務(wù)的用戶應(yīng)該要求供應(yīng)商回答以下四個(gè)問(wèn)題：

　　　1、數(shù)據(jù)存儲(chǔ)在云基礎(chǔ)設(shè)施時(shí)，數(shù)據(jù)是如何加密的，包括使用中數(shù)據(jù)和靜態(tài)數(shù)據(jù)?
　　　2、是否部署了細(xì)粒度訪問(wèn)控制?
　　　3、是否有多余的云基礎(chǔ)設(shè)施?
　　　4、Web應(yīng)用程序保護(hù)到位嗎?

　　數(shù)據(jù)加密

　　數(shù)據(jù)存儲(chǔ)在云端時(shí)是如何加密的（包括使用中數(shù)據(jù)和靜態(tài)數(shù)據(jù)）？

　　大多數(shù)云供應(yīng)商會(huì)自動(dòng)加密傳輸中的數(shù)據(jù)(通過(guò)要求web瀏覽器進(jìn)行SSL連接)，但是這些數(shù)據(jù)是否被保存在加密容器中則是另一回事。最好的辦法就是創(chuàng)建一個(gè)混合公共/私有云，這樣所有云資源都可以位于企業(yè)防火墻后面，就像在自己數(shù)據(jù)中心一樣受到保護(hù)。

　　大多數(shù)云供應(yīng)商提供某種虛擬專用網(wǎng)(VPN)保護(hù)，這樣信息在傳輸過(guò)程中將被加密，并且能夠通過(guò)普通網(wǎng)絡(luò)共享來(lái)訪問(wèn)。例如，Verizon公司的計(jì)算作為服務(wù)提供了思科的AnyConnect VPN客戶端(從IE瀏覽器啟動(dòng))。

　　其他云供應(yīng)商提供虛擬防火墻，這個(gè)防火墻連接到企業(yè)數(shù)據(jù)中心內(nèi)部的防火墻，或者與傳統(tǒng)思科VPN網(wǎng)關(guān)連接。

　　Amazon網(wǎng)絡(luò)服務(wù)之一虛擬私有云允許你連接任何Amazon云資源到你的企業(yè)位置，你可以橋接你的Amazon和企業(yè)網(wǎng)絡(luò)，分配私有IP地址范圍，在連接到互聯(lián)網(wǎng)之前，從云環(huán)境運(yùn)行的應(yīng)用程序路由流量到內(nèi)部安全設(shè)備。

　　細(xì)粒度的訪問(wèn)控制

　　細(xì)粒度訪問(wèn)控制是否到位？

　　安全政策和訪問(wèn)控制是云供應(yīng)商仍然在努力追趕物理計(jì)算世界的領(lǐng)域。在很多情況下，訪問(wèn)是“全有”或者“全無(wú)”的命題，這意味著一旦用戶通過(guò)云環(huán)境身份驗(yàn)證，他們就可以自由地做很多無(wú)意的破壞，例如啟動(dòng)或者停止虛擬服務(wù)器，或者在云環(huán)境制造其他混亂。

　　在這方面，一些云供應(yīng)商要優(yōu)于其他供應(yīng)商，并允許特定環(huán)境內(nèi)創(chuàng)建虛擬網(wǎng)絡(luò)或者為個(gè)人客戶分離訪問(wèn)權(quán)。舉例來(lái)說(shuō)，美國(guó)高爾夫協(xié)會(huì)想要?jiǎng)?chuàng)建一些新的web應(yīng)用程序，他們選擇了較小的云供應(yīng)商來(lái)獲得這種粒度訪問(wèn)，因?yàn)楹芏嗖煌膽?yīng)用程序組要使用云環(huán)境。該協(xié)會(huì)的信息技術(shù)主管Jessica Carroll表示，“我們想要更多的個(gè)人支持，并希望我們的IT人員與云供應(yīng)商靠得更近。我們使用VPN來(lái)連接到云網(wǎng)絡(luò)，但是有兩個(gè)不同的開(kāi)發(fā)團(tuán)隊(duì)在云服務(wù)的不同服務(wù)器上工作，我們進(jìn)行了設(shè)置，讓每個(gè)團(tuán)隊(duì)智能看到自己的資源，這樣開(kāi)發(fā)人員可以在不影響其他設(shè)備的情況下重新啟動(dòng)虛擬服務(wù)器或者進(jìn)行其他改變。”

　　Vmware近日向其vSphere產(chǎn)品系列添加了細(xì)粒度訪問(wèn)。其vShield Zones產(chǎn)品包括一個(gè)基于管理程序的防火墻來(lái)執(zhí)行每個(gè)虛擬服務(wù)器的網(wǎng)絡(luò)和端口連接，并在虛擬環(huán)境內(nèi)設(shè)置安全政策和防火墻規(guī)則。Verizon的計(jì)算作為服務(wù)的用戶可以根據(jù)每個(gè)虛擬服務(wù)器的端口和協(xié)議來(lái)設(shè)置防火墻規(guī)則，正如下圖所示。

　　還有很多第三方安全工具，例如Hytrust的Vmware設(shè)備，允許更細(xì)粒度的訪問(wèn)控制，哪些用戶對(duì)特定虛擬服務(wù)器有何種訪問(wèn)權(quán)限。

　　相信在不久的將來(lái)，云計(jì)算供應(yīng)商將提供更好的粒度訪問(wèn)控制服務(wù)。

　　冗余基礎(chǔ)設(shè)施

　　是否有多余的云基礎(chǔ)設(shè)施？

　　冗余提供的安全性在于，不管你的云供應(yīng)商的基礎(chǔ)設(shè)施發(fā)生了什么事情，你的應(yīng)用程序仍然安然無(wú)恙。

　　大多數(shù)云供應(yīng)商通過(guò)運(yùn)行獨(dú)立的其他位置的數(shù)據(jù)中心來(lái)為用戶提供自動(dòng)數(shù)據(jù)保護(hù)，即使供應(yīng)商的數(shù)據(jù)中心發(fā)生故障，你的基礎(chǔ)設(shè)施仍然將繼續(xù)運(yùn)作。舉例來(lái)說(shuō)，Amazon公司在北美、亞洲和歐洲都有幾個(gè)不同的服務(wù)器“區(qū)域”，用戶可以指定其虛擬服務(wù)器的位置并設(shè)定一個(gè)保護(hù)環(huán)境，這樣出現(xiàn)任何故障，都能安然無(wú)恙。對(duì)于美國(guó)高爾夫協(xié)會(huì)，Carroll也考慮了這種需要，他們的供應(yīng)商在另一個(gè)位置提供了一個(gè)熱點(diǎn)，防止任何停機(jī)事故。“我們?yōu)檫@種冗余支付了更多資金，但是這讓我們感覺(jué)很心安。”

　　應(yīng)用程序保護(hù)

　　Web應(yīng)用程序保護(hù)得如何?

　　所有云部署最不安全的方面在于其web應(yīng)用程序及其與其他云基礎(chǔ)設(shè)施連接的方式。目前的挑戰(zhàn)在于虛擬化企業(yè)內(nèi)部服務(wù)器提供的保護(hù)性設(shè)備，例如負(fù)載均衡器、入侵防御設(shè)備和防火墻。主要云供應(yīng)商都開(kāi)始將這些工具添加到他們的服務(wù)列表中，這樣IT開(kāi)發(fā)人員可以將他們的應(yīng)用程序遷移到云環(huán)境，并且仍然保持與企業(yè)內(nèi)部運(yùn)行的程序一樣的安全水平。

　　例如，Amazon的云服務(wù)器不能發(fā)送偽造的網(wǎng)絡(luò)流量，不管它們運(yùn)行的是何種操作系統(tǒng)。Amazon防火墻只允許使用其自身源IP或者M(jìn)AC網(wǎng)絡(luò)地址的流量，這是一個(gè)很好的保護(hù)。

　　美國(guó)密蘇里州云托管服務(wù)供應(yīng)商Savvis公司首席技術(shù)官Bryan Doerr談?wù)摿俗詣?dòng)化在云安全發(fā)揮的重要作用。“我們可以快速自動(dòng)地提供一些東西，但是我們無(wú)法做到的是快速作出決定。向這個(gè)應(yīng)用程序增加功能需要多久?發(fā)現(xiàn)故障和作出響應(yīng)要多久?既然我們已經(jīng)虛擬化所有基礎(chǔ)設(shè)施，并且自動(dòng)化了一些程序，我們現(xiàn)在需要將決策也進(jìn)行自動(dòng)化。虛擬化讓我們不再需要手動(dòng)修補(bǔ)電纜和設(shè)置設(shè)備機(jī)架。我們必須提前作出這些決定，按照政策來(lái)定義，然后實(shí)施到供應(yīng)系統(tǒng)。這里的技巧在于弄清楚如何幫助客戶進(jìn)行他們的工作。”

　　最后，對(duì)供應(yīng)商進(jìn)行實(shí)地考察，“我們對(duì)云供應(yīng)商進(jìn)行了實(shí)地考察，看到了他們的UPS的樣子，以及他們是如何管理他們的數(shù)據(jù)中心，”Jessica表示，“這讓我們感覺(jué)更加踏實(shí)，選擇他們作為我們的供應(yīng)商。”

原文鏈接：http://safe.it168.com/a2011/1129/1281/000001281107_all.shtml