云计算的安全解决方案

狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。云计算的核心思想，是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。

通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，企业数据中心的运行将与互联网更相似。这使得企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。好比是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通，就像煤气、水电一样，取用方便，费用低廉。最大的不同在于，它是通过互联网进行传输的。

云计算的商业价值

云计算的商业价值正在被迅速证明，Amazon早在2006年就开始提供无合同的即用即付计算服务，所有用户需要的仅仅是一张信用卡和点几下鼠标，就可以随心所欲地选择需要的软件。

有分析师称，云计算意味着企业计算模式的巨变。Gartner预测，到2013年，云计算的产值将达1501亿美元。

安全是云计算的核心问题

随着数据中心不断整合，以及虚拟化、VDI、云端运算应用程序的兴起，越来越多的运算效能与数据都集中到数据中心和服务器上。不论企业选择的是物理或虚拟服务器，将数据存储在企业数据中心内部或存放在云端，用于存放核心商业数据的服务器及数据本身，都需要安全保护。

在IDC的一次关于“您认为云计算模式的挑战和问题是什么”的调查中，安全以74.6%的比率位居榜首，可见安全问题是人们对云计算最大的担心。

趋势科技首席执行官陈怡桦认为：“云计算的日益普及已经使越来越多的云计算服务商进入市场。随着在云计算环境中存储数据的公司越来越多，信息安全问题成为大多数的IT专业人士最头疼的事情。事实上，数据安全已经是考虑采用云基础设施的机构主要关注的问题之一。”

在云计算产业发展中，政府用户关注的核心聚焦在数据安全、云计算的标准建设及产业生态系统打造等方面;企业在部署云计算服务时，更注重云的安全性、云服务提供商的运营经验及现有的成功案例等要素;消费者在选购云服务时，对云提供商的口碑、用户数量和一致性体验表现出了特别的关注。

云计算操作系统，又称云计算中心操作系统、云OS，是云计算后台数据中心的整体管理运营系统（也有人认为云计算系统包括云终端操作系统，例如现在流行的各类手机操作系统，这与先行的单机操作系统区别不大，在此不做讨论），它是指构架于服务器、存储、网络等基础硬件资源和单机操作系统、中间件、数据库等基础软件管理海量的基础硬件、软资源之上的云平台综合管理系统。

云计算操作系统通常包含以下几个模块：大规模基础软硬件管理、虚拟计算管理、分布式文件系统、业务/资源调度管理、安全管理控制等几大模块组成。简单来讲，云计算操作系统有以下几个作用，一是治众如治寡，能管理和驱动海量服务器、存储等基础硬件，将一个数据中心的硬件资源逻辑上整合成一台服务器；二是为云应用软件提供统一、标准的接口；三是管理海量的计算任务以及资源调配。

云计算操作系统是实现云计算的关键一步，从前端看，云计算用户能够通过网络按需获取资源，并按使用量付费，如同打开电灯用电，打开水龙头用水一样，接入即用；从后台看，云计算能够实现对各类异构软硬件基础资源的兼容，更要实现资源的动态流转，如西电东送，西气东输等。将静态、固定的硬件资源进行调度，形成资源池，云计算的两大基本功能就是云计算中心操作系统实现的，但是操作系统的重要作用远不止于此。

投资到云计算安全领域

2009年2月，Google Gmail 邮箱中断服务长达4小时。这次故障可能是由于位于欧洲的数据中心进行例行维护，使得欧洲另一个数据中心过载，并波及到其他的数据中心，最终使Google Gmail 邮箱发生全球性的服务中断。2009年3月中旬，微软的Azure停止运行约22个小时。2008年亚马逊公司S3服务曾断网6小时。

云计算服务自身的安全隐患随着应用的不断深入逐渐暴露出来。尽管云计算可以使商业用户和个人用户获得很多好处，但当用户开始使用云计算服务时，就会出现很多安全问题。

在使用云计算的时候，最先考虑的是如何解决云计算的安全性问题，这些问题已经被逐渐具体化，同时在VMware虚拟机保护、远程接入及终端数据防护方面已经出现了有针对性的解决方案，同时通过大型企业来运行专业的云计算服务，实现云计算服务的可靠性、可用性和安全性。

云计算的安全性主要通过依靠安全策略以及服务提供商的更高级别的技术手段和政府的法制法规来实现。对于分散部署IT系统的中小企业来说，由于数据信息防护手段不健全，安全成为其最大的隐患。通过把数据和系统部署在具有更多安全技术手段的云中，将最小成本实现IT的安全性。

信息安全已经成为整个IT市场的亮点，各厂家或为了完善产品线获取新的市场，或者为了促进现有业务的协同发展逐步进入该领域。

用户的困惑与选择

随着信息技术发展，近几年各种类型的云计算和云服务平台越来越多地出现在人们的视野中，比如邮件、搜索、地图、在线交易、社交网站等等。由于它们本身所具备的便利性、可扩充性、节省成本等各种优点，这些云计算和云服务正在越来越广泛地被人们所采用。

但与此同时，这些“云”也开始成为黑客或各种恶意组织和个人为某种利益而攻击的目标。比如利用大规模僵尸网络进行的拒绝服务攻击(DDoS)，利用操作系统或者应用服务协议漏洞进行的漏洞攻击，或者针对存放在“云”中的用户隐私信息的恶意攻击、窃取、非法利用等，手段繁多。除此以外，组成“云”的各种系统和应用依然要面对在传统的单机或者内网环境中所面临的各种病毒、木马和其他恶意软件的威胁。

用户在试图选择云安全产品时，却找不到任何可以依据的标准。虽然即使在国内市场上，“云安全”的标签也随处可见，包括瑞星、趋势科技、卡巴斯基、McAfee、Symantec、熊猫、金山、360安全卫士等国内外安全厂商都推出了云安全解决方案，但是，对什么样的方案才能保护云浪潮下的企业安全，真正的答案却始终让人如坠雾中。

具有讽刺意味的是，在如何理解“云安全”这一概念上，黑客似乎有着更为清晰的逻辑，并且很快付诸行动。我们可以看到，黑客利用“云”中的分布式计算能力，可以更快地破解用户密码，可以更高效地通过控制“僵尸网络”实现恶意攻击，近年来几次大规模的断网事件，以及高达十几倍的分布式拒绝服务攻击流量的增长，都很好地印证了这一点—— “云安全”所追求的防护理念，正成为黑客肆虐的“凶器”。

虽然我们不能武断地认定，在运用技术方面，黑客比技术人员进步更快。但是我们不得不承认这样一个现实：安全问题正成为企业用户迈向“云”时代最重要的一个障碍和挑战。因此，云安全的技术和理念都迫切需要全面的提升与改变。

云安全能否跳出简单工具论

“云安全面临的困惑，实际上也是安全产业走向下一个转折点的契机。”陈怡桦对记者表示，“新一代的云安全应跳出简单‘工具论’，采用新的技术和新的模式，实现真正的云安全。”

陈怡桦所指的“工具论”，简单来说，就是目前众多杀毒厂商炒作与关注的焦点：怎样充分利用云架构，更快更敏锐地获取病毒与恶意程序的信息，从而对用户端实现保护。这一防护模式的重点，更多的是将“云”作为一种工具，借其加强企业的防护能力。

虽然这种“云安全”依然重要，但必须看到那些新的挑战和主要矛盾，即很多网络犯罪者不再去攻击用户的电脑，而是直接攻击数据中心与云端本身。这使得传统的基于单机版或基于局域网的信息安全保护方式无法胜任云安全计算环境的保护，用户的担忧和困惑也由此而来。

比如在“云”时代，企业IT资源的虚拟化日渐普及，而在虚拟服务器混合的环境，安全及加固标准不同的情况下，一台标准较低的虚拟机将变成所有分享虚拟器资源的安全漏洞。随着数据中心的不断扩大，黑客通过攻入这样一台低防护的虚拟机，所造成的扩散率和危害性都会大大增加。

此外，像“云”中企业数据的丢失和泄漏，虚拟化所造成的技术漏洞“共享”，用户账户、服务和身份的冒用等等，都是现阶段“云安全”的真正“痛点”。

换句话说，“云”本身才是最大的安全隐患。面对这一问题，趋势科技2010年在原有的基于云计算技术架构的安全服务下，提出全新的云安全3.0的概念，提供新的面向云计算的安全服务。也就是从Security From CloudComputing(来自云计算的防护)到Security For CloudComputing(给云计算提供防护)。

当然，若想解决“云安全”的问题，仅仅依靠一个厂商的力量显然是不够的。由于安全的本质是一种对抗，而寻找一块“短板”，比加长所有的木板要容易得多。因此，这需要业界联合起来，组成一个完整的防护系统，共同保护云计算的安全。要知道，“云”不仅是我们的工具，同时也可能成为黑客的“利器”。正视我们在“云安全”上的弱势，不断提升新的防护技术，而不是以简单的标签和概念炒作市场，才是“云安全”进一步发展的根本之道。

一直以来，VMWare是最大的云服务解决方案企业，不仅在硬件配置、开发框架和应用类型上保持了相对开放性，而且，通过和趋势科技的合作，为用户提供最安全的虚拟化架构、接口和认证程序。这得益于趋势科技云安全3.0解决方案为用户提供的双重防护方案：云的防护盾和云中保险箱。

趋势科技全球执行副总裁暨大中华区总经理张伟钦认为：“云安全3.0的出现，不仅是一次技术升级，更是对云计算环境的一次颠覆，以更完整的方案保护云计算基础架构。”

而国内技术型安全厂商的代表绿盟科技，则在自己的云安全计划中还囊括了适用于异常流量清洗的安全云，这种模式已经在多个运营商骨干网和城域网得到了广泛的部署。此次它推出的检测恶意网站的安全云将会与异常流量清洗安全云相结合，从应用及内容安全层面提升用户的安全体验。

与以往专注于传统分治网络安全不同，绿盟科技云安全计划基于绿盟科技在入侵防御、漏洞扫描、挂马防范、流量清洗等方面的多年的研究能力，结合强有力的计算能力，提供了在大范围网络环境下根治安全问题的全新思路，用户将获得全新的安全体验。

链 接

抵挡虚拟化过程中的风险

同传统的IT架构不同，在云计算当中以对机器的控制和权限为主的权力结构慢慢从企业下移到服务商。从传统架构走向虚拟的架构的云化过程可以分为三个阶段：

第一个阶段是服务器整合。传统的方式需要先盖机房，这要花很长的时间。将服务器合并，这是虚拟化的第一步。服务器的整合可以减小一些空间，实现节能减排，让企业更“绿色”。但是服务器整合的增加可能会影响到业务的连续性，不一定可以马上开展业务，因此第二阶段桌面的虚拟化就出现了。第三阶段是云的转移，这是在更高一个层次上考虑到成本与竞争力。

在整个虚拟化的过程中会存在一些风险。第一个是系统和资料不可控制。传统机器是有固定时空的，云化以后系统和资料的时空转移变成不可控的，这是云化同传统的最大区别。第二个风险是虚拟机之间会相互攻击。在虚拟化的那一层，虚拟机本身是一个操作系统，只要是操作系统就有漏洞。第三个风险是多台虚拟机共存时很难控制。过去为一台机器做防火墙、打补丁都挺容易。而多台虚拟机中有的会睡觉，这就给安全控制带来了很大的麻烦和风险。

在做安全防范时，传统的做法是一台虚拟机里面放一个杀毒软件，结果多台虚拟机定时进行扫描会将系统资源全部“吃掉”，这是传统的堡垒式的防御。而在同公有云连接之后，这个堡垒就消失了。如何重新设计这个安全架构，是一个很大的挑战。而且数据销毁很难。由于服务商都会帮助备份，一张放到互联网上图片被删掉之后还是可以被查到，隐私得不到很好的保证。这样的情况下，公有云的服务商是否要承担一定的责任呢?

如何防范上面各个阶段的风险?这就需要在云设计时就要考虑充分。

第一， 一个好的云要有充分的灵活性，最好的方法是从物理机到云计算都可以保护。防护系统的整合，事实上是一种新的安全概念。一般虚拟的安全系统本身是一台虚拟机，当其进入到物理机时和系统整合得好，所有的流量先透过虚拟机再“喂”给其他人，装一台安全系统就可以达到和装十套一样的效果。

第二， 要有全面性，通过加密解锁的方式保护资料。对于很多人来说，资料的保密是很重要的，资料的保存者和钥匙的拥有者一定要分开，这样问题就不大了。

第三， 实行模块化，许可和应用一个或多个防护模块。

第四，具有开放性，能够整合和利用VMware的程序接口、产品和技术。虚拟平台做整合，所用的资源会比较少。