本刊記者 | 李璐

隨著云計算的風(fēng)靡，“云安全”也成為關(guān)鍵詞，受到各企業(yè)用戶和廠商的關(guān)注。同時各大研究機(jī)構(gòu)調(diào)查顯示，阻礙用戶采用云計算的一個重要原因便是對云計算安全的擔(dān)憂。本期《通信世界周刊》邀請賽門鐵克中國區(qū)安全產(chǎn)品總監(jiān)卜憲錄、明朝萬達(dá)總裁王志海、邁克菲中國區(qū)技術(shù)總監(jiān)鄭林等專家共同討論相關(guān)問題。

引發(fā)政策、法規(guī)風(fēng)險

《通信世界周刊》：在企業(yè)部署云或向云遷移的過程中，常常面臨的安全問題有哪些？其中最為讓企業(yè)擔(dān)憂的隱患是什么？

卜憲錄：當(dāng)前的企業(yè)IT已經(jīng)突破了三個邊界：一是突破了應(yīng)用的邊界，因?yàn)樵朴嬎慵癐T的變化，使得應(yīng)用開發(fā)的難度降低了，企業(yè)應(yīng)用越來越多；二是服務(wù)的邊界發(fā)生變化，企業(yè)所需的任何服務(wù)都可以通過第三方來提供，而云計算讓服務(wù)的提供方式變得更加便捷，也使企業(yè)的邊界不斷拓展；三是企業(yè)內(nèi)部IT資產(chǎn)的概念變得更加模糊，現(xiàn)在很多基礎(chǔ)設(shè)施并不是企業(yè)擁有的，企業(yè)真正擁有的是信息和數(shù)據(jù)。應(yīng)用、服務(wù)和資產(chǎn)邊界的變化，使IT主管對安全產(chǎn)品的控制力減弱，企業(yè)暴露出的安全隱患越來越多。

實(shí)際云環(huán)境的潛在風(fēng)險包括惡意軟件、黑客盜竊以及機(jī)密資料的丟失。最令企業(yè)擔(dān)憂的隱患是數(shù)據(jù)安全無法得到保護(hù)，比如可能面臨的風(fēng)險包括黑客從云提供商處盜取數(shù)據(jù)，通過云端以缺乏安全防護(hù)的方式分享敏感數(shù)據(jù)，以及無法按照政策法規(guī)的要求恢復(fù)云數(shù)據(jù)等。

王志海：海量的數(shù)據(jù)被轉(zhuǎn)移到用戶掌控范圍之外的設(shè)備（云）上時，對具有敏感信息的企業(yè)而言，這種所謂的便利性，恰恰也是數(shù)據(jù)泄密的風(fēng)險所在。目前云服務(wù)所面臨的安全風(fēng)險主要在以下四個方面。

一是采用數(shù)據(jù)“云”端存儲技術(shù)時，云終端可以通過物理硬件防止數(shù)據(jù)從終端泄露，但由于數(shù)據(jù)是明文存儲在終端，依然無法解決文檔的授權(quán)管理，即如何防止員工查看非授權(quán)文件，內(nèi)部失密風(fēng)險仍然存在。

卜憲錄

王志海

鄭林

二是云面臨多種終端的訪問需求，如PC、筆記本、Pad、智能手機(jī)等。如何保證終端身份的合法性與文檔存儲在設(shè)備內(nèi)的安全性是挑戰(zhàn)。

三是云建設(shè)依賴于云服務(wù)商的服務(wù)能力與技術(shù)可靠性，但如何保障數(shù)據(jù)在云端的安全存儲，如何保證存儲在云端的數(shù)據(jù)不被運(yùn)營商“監(jiān)守自盜”是疑問。

四是法律和合規(guī)性風(fēng)險，因?yàn)樵贫耍ǚ?wù)器）所在的地域不同，使用期間可能面臨的法律風(fēng)險也會大不相同。雖然網(wǎng)絡(luò)無邊界，但用于進(jìn)行云計算業(yè)務(wù)的服務(wù)器畢竟真實(shí)的處于各國法律的管轄之下，因此，對于云計算的不當(dāng)應(yīng)用，將可能面臨極其嚴(yán)重的法律風(fēng)險和侵權(quán)風(fēng)險。

鄭林：引入云計算后，從安全角度考慮，用戶的數(shù)據(jù)中心主要面臨以下挑戰(zhàn)：數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計的扁平化和高速化，逐漸從傳統(tǒng)多層數(shù)據(jù)中心網(wǎng)絡(luò)向平面網(wǎng)絡(luò)架構(gòu)過渡，平面網(wǎng)絡(luò)架構(gòu)使用基于數(shù)據(jù)流、非攔截、最短路徑結(jié)構(gòu)來最大限度提升網(wǎng)絡(luò)性能；相對于傳統(tǒng)數(shù)據(jù)中心，云化的數(shù)據(jù)中心內(nèi)部之間的流量將會大大增加；云數(shù)據(jù)中心內(nèi)部系統(tǒng)的虛擬化引發(fā)的新的安全問題；同時訪問數(shù)據(jù)中心的客戶端設(shè)備具有移動化趨勢。此外，云化的數(shù)據(jù)中心和高速的Internet出口帶寬也可能被黑客利用作為攻擊跳板，從而給用戶帶來新的互聯(lián)網(wǎng)邊界責(zé)任風(fēng)險，這就要求用戶對云化的數(shù)據(jù)中心外發(fā)的數(shù)據(jù)流量也要進(jìn)行嚴(yán)格的入侵分析和過濾。

現(xiàn)有安全產(chǎn)品以平臺為主

《通信世界周刊》：目前在應(yīng)對這些云計算安全問題方面，業(yè)界普遍采用的方法是什么？貴方又是怎么看待的？

卜憲錄：賽門鐵克既能幫助用戶打造自己的私有云，也能幫助用戶享受到安全便利的云服務(wù)，同時，還可以把一部分產(chǎn)品通過云服務(wù)的方式去交付。并將進(jìn)一步提高云環(huán)境的信息安全：在機(jī)密信息被存儲或共享到云端之前，利用DLP和PGP加密技術(shù)對這些機(jī)密信息進(jìn)行自動探測、阻止和加密。同時O3云身份和訪問控制的第三層保護(hù)，將所有與云相關(guān)的安全事件聚合在一起以實(shí)現(xiàn)信息管理和合規(guī)性，從而為企業(yè)提供全面的云審核、取證和法規(guī)遵從打下基礎(chǔ)。

王志海：據(jù)統(tǒng)計，現(xiàn)市面上已有的云服務(wù)商的安全產(chǎn)品主要是從云計算平臺本身出發(fā)，圍繞平臺的穩(wěn)定性、用戶數(shù)據(jù)安全性、完整性、保密性、網(wǎng)絡(luò)攻擊防護(hù)等方面展開，主要包括系統(tǒng)冗余、用戶安全認(rèn)證、權(quán)限控制、端對端的數(shù)據(jù)傳輸加密、系統(tǒng)安全防護(hù)等技術(shù)手段，而這些安全手段并未涉及存儲數(shù)據(jù)級的安全。而對于企業(yè)，不得不考慮將核心數(shù)據(jù)統(tǒng)一歸檔集中存儲在第三方存儲設(shè)備（云端）上后，云服務(wù)提供商能否確保企業(yè)云端數(shù)據(jù)的存儲安全與訪問安全。

打破傳統(tǒng)樹立全新云安全機(jī)制

《通信世界周刊》：現(xiàn)在云計算安全日益得到重視，您認(rèn)為未來云安全的發(fā)展趨勢是什么？

卜憲錄：云的問題要通過云的方式來解決，未來將引發(fā)全新的安全機(jī)制。日后幾年，很多的政府機(jī)構(gòu)、中小企業(yè)可能會將安全外包，通過云的方式，去進(jìn)行云服務(wù)。

對于安全廠商來講，這既是一個機(jī)遇也是一個挑戰(zhàn)。云計算到底是令I(lǐng)T系統(tǒng)與信息資產(chǎn)更安全還是更不安全，這是非常值得探討的問題。從某個角度來講，會更安全，因?yàn)槠髽I(yè)會依賴云服務(wù)提供商提供的服務(wù)，更會驅(qū)使IT部門適應(yīng)并挖掘更新的方法保護(hù)企業(yè)系統(tǒng)與信息資產(chǎn)的安全，也就是形成全新的云安全管控機(jī)制。

王志海：目前云已經(jīng)在企業(yè)級市場得到了越來越廣泛的應(yīng)用，而這一新IT時代的產(chǎn)物若要更好地向前演進(jìn)，需要整個產(chǎn)業(yè)鏈成員的集體遷移，沒有信息和數(shù)據(jù)安全的保障，云架構(gòu)的搭建注定只能是空中樓閣。所以在未來信息安全廠商將是云發(fā)展拼圖中至關(guān)重要的一塊。

鄭林：企業(yè)用戶為了優(yōu)化安全結(jié)構(gòu)，降低安全防護(hù)措施的實(shí)施難度和維護(hù)復(fù)雜度、降低購買成本和運(yùn)營成本，正越來越趨向于在某些領(lǐng)域采用SaaS模式提供的安全服務(wù)，而不是繼續(xù)采用安全設(shè)備或軟件。比如基于SaaS模式的郵件安全、Web安全防護(hù)、端點(diǎn)安全防護(hù)等服務(wù)，在全球的應(yīng)用已經(jīng)非常成熟。