也谈云安全的标准、挑战和机遇问题

云安全到底是什么？是传统厂商的盒子的iso化？是云厂商自身具备的安全能力？还是SaaS提供安全服务？这些观点都比较片面，作为聊天话题还可以，但落地还需要认真讨论。

一、云安全标准

要想了解云安全真正的含义，首先要了解云计算本身。根据美国国家标准与技术研究院（NIST）定义，云计算按照服务模式分为IaaS、PaaS和SaaS，按照部署模式分为私有云、公有云、社区云和混合云，按照用户角色分为消费者、供应商、代理商、运营商和审计方。

云安全的定义根据国际的CSA TCI-RA、NIST SP500-292、NIST SP 500-29，以及国内的GB/T 31167-2014、GB/T 31168-2014等标准来看，简单来说就是根据云计算的服务模式、部署方式以及角色，提供有针对性的安全方案。

然而，实际的云安全建设往往错综复杂，把握几个关键的观点，有助于大家更了解云安全。

1、云安全责任共担

用户和使用的云服务商不同，安全的责任也不同。如果用户只是使用IaaS层的服务，IaaS层安全由云服务商提供，之上的所有中间件以及业务安全责任全部由用户自己承担；如果使用的是SaaS层的服务，云服务商就要提供云相关全栈的服务；PaaS层的情况介于这两者之间。

这不同于IDC环境下的安全。从用户角度来说，安全责任变轻了：以前从建设机房到部署应用的安全全部由用户自己承担，现在云服务提供商要承担相关的安全职责。

2、组织要评估和满足合规与审核要求

将业务从传统IDC迁移到云的一个重大挑战是：要遵守众多的合规和审核的约束。尤其在国内的环境，监管方存在“九龙治水”的情况。《网络安全法》已经开始正式执行；公安方面的等级保护针对云方面也推出了等保2.0；以覆盖等保1.0在云计算领域的缺失；大数据中心联盟也推出了可信云的相关标准；网信部门更是对每个行业都提出新的监管要求；TC260针对政府上云提出了GB／T 31167和31168。这些规定都意味着组织要承担更重大的监管责任。

合规可定义为对企业义务（企业社会责任、适用法律，道德指南）的感知和遵循，包括对适当和必要的纠正性措施的评估和排序。在某些高度监管的环境下，透明度可以对内部特定策略进行补充，成为组织效率的优势而非制约。

总体上，组织要保证合规性和完成审核，需要评估自身合规状态，借此感知和履行企业义务（社会责任、道德标准、法律责任等）；评估风险、不合规代价以及合规成本，从而评估是否采取适当或必要的纠错性措施。

对于客户和服务提供商而言，内审和外审以及各种控制措施都合情合理、可为云计算效力。目前对于云计算厂商的审计并不充分，大多情况都是通过一次性的测评来证明云计算的安全性和可靠性。对于客户而言，更有保障的方法是通过认证方式对云计算厂商进行持续的认证。

3、事件响应

信息安全领域不存在无懈可击的防御，无论是周详的计划还是周全的预防性措施，都无法完全避免信息资产遭到攻击。正因如此，致力于减少组织受攻击损失程度的事件响应，成为了信息安全管理的重要基石。云计算不需要一个新的事件响应框架，只需将原有的响应程序、处理机制和工具与云计算相关的环境对应起来。与此同时，组织也要意识到，云计算的某些特征会影响事件响应的效果。

首先，云计算属于按需自服务，客户在处理安全事件的时候很难甚至不可能从云服务商那里获得协助；第二，云服务的资源池化可能会导致 事件响应过程复杂化；第三、在多租户场景下，如果没有关于隐私信息的处理和资源池化的云服务方式，收集和分析事故的非直接数据和原始数据可能造成对隐私问题的担忧。

另一方面，云计算也给事件响应带来了新的机会。对于云的持续监控机制，可以减少事件处理时间或者事件响应频率。虚拟化技术和云计算平台固有的弹性特质，相比传统数据中心技术减少了服务中断时间，让遏制和恢复措施变得更有效率和效果。此外，由于虚拟机可以很容易地被移动到试验环境中并管理运行环境、取得鉴定映像及进行检查，这些都使得事件调查更容易开展。

目前情况并不太乐观，国内云计算厂商对于事故响应的手段极其有限，大部分是通过人工服务的情况进行解决，责任无法定位，造成的损失也无法衡量，导致用户和云服务提供商之间的不信任感。

二、云安全挑战

为了安全地使用公有云、私有云、混合云等丰富多样的数字化服务，越来越多的企业需要满足不断增多的各种安全要求。企业要满足这些需求，必须首先意识到云安全方面的三大挑战：保护多租户环境下的信息，虚拟化和私有云安全，以及SaaS可视化和控制。这三大挑战将为企业的云安全建设提供实用的分类方法。

1、评估和控制多租户环境下的安全和合规风险