摘要：云计算的定义有广义和狭义之分，很清晰。但是对于什么是云计算安全，业界却没有明确的说法。在了解云计算安全之前，我们先要明确一点，云安全和云计算安全是两个概念，不能混淆。

第1页:保护云计算 第2页:保证数据自身安全

　　加密：保证数据自身安全
　　
　　企业通常在网络的边界部署安全设备，用来拒绝外部非授权用户的访问。然而在虚拟化环境中，虚拟IT服务不存在物理边界。于是，企业必须假设所有传输的数据都有潜在的被拦截风险。
　　
　　没有了物理控制，就必须依靠其他加固原理来限制对信息的访问。信息的加密是其中最重要的方法，它可以限制对有用信息的访问，这种限制甚至超过了对物理系统的保护级别。所以，加密成为了保证云服务安全性的关键性部分。
　　
　　赛门铁克资深信息安全顾问林育民表示，在保护云端的数据安全方面，赛门铁克正在研发新的用户密钥管理技术，来保护用户数据的安全。
　　
　　趋势科技执行副总裁暨中国区总经理张伟钦认为，如果企业把数据放到云服务提供商那里，数据的加密和解密就很重要。密钥一定要在企业自己的口袋里，别人只要没有密钥，就不能看到数据。需要注意的是，钥匙一定不要放在IT部门，而且资料的保存者和钥匙的拥有者一定要分开。
　　
　　虚拟机防护：传统安全释放新活力
　　
　　在保护云计算环境的安全方面，一些国外的安全厂商，例如StillSecure和AlertLogic，已经开始提供入侵检测、入侵防御服务，保护云服务提供商那里的基于虚拟机的服务器。
　　
　　为医院和医疗保健机构提供病历管理的AutomatedDocumentSolutions(ADS)公司IT主管MikeCrews表示，ADS使用Host.net作为云提供商。当几个月前Host.net开始与StillSecure合作提供IDS/IPS服务时，ADS订购了服务，享受这类全天候监测的好处。
　　
　　Crews说：“ADS很难自己部署这类功能，因为StillSecure这样的安全专家才能做好此类事情。”Crews说到目前为止，StillSecure提供的这项安全服务运行的很好。StillSecure拥有自己的网络运营中心，这个运营中心监测运行在Host.net那里的ADS虚拟机上的情况。服务的费用为每10台虚拟机每月支付250美元。ADS认为这样的费用是可以承受的。
　　
　　另一家云基础设施提供商——iland公司CTOJustinGiardina说，iland在一年多以前便开始通过安全公司AlertLogic在其数据中心提供IDS/IPS监测服务。
　　
　　iland的每家云客户通常会得到基于VMware虚拟机的虚拟LAN分段、防火墙保护。另外，客户还可以选择让AlertLogic从自己的网络运营中心监测这些虚拟机。
　　
　　AlertLogic的监测使用基于主机的软件，该软件运行在管理程序级。AlertLogicIDS/IPS服务可以被配置为通过触发CiscoASA防火墙(例如检测到问题)的自动响应来自动保护某个网段。
　　
　　有不到四分之一的iland客户使用这个AlertLogic服务。虽然AlertLogic负责对虚拟机的24X7监测，并且与客户建立直接的关系，但是如果发生安全事件，iland也可能会牵扯进来。
　　
　　Giardina说：“不是每个人都懂得打补丁的重要性。”他谈到了因黑客和恶意软件造成的服务器安全受到损害，iland有时也收到AlertLogic的通知来回应安全事件。
　　
　　虽然除了AlertLogic提供的安全服务外，iland当前没有增加更多第三方安全服务的计划，但Giardina说，iland正在研究建立基于赛门铁克软件的病毒扫描和防护服务的可能性。赛门铁克的新软件将利用基于VMware的VMsafeAPI实现管理程序级的监测功能。
　　
　　虽然没有在中国进行重点宣传，但是在保护云计算安全方面，领先的安全厂商都有自己的计划和产品。
　　
　　CheckPoint中国区总经理刘伟表示，VPN-1PowerVSX是专门为基础设施整合而设计的虚拟化安全网关，对协助企业加强对云计算等一类虚拟化环境的安全控制有帮助。对于云服务供应商而言，VSX可以轻而易举地协助他们提供新的安全服务，因此是发掘新收入来源的理想平台。这些新安全服务包括增值虚拟化内容过滤、VPN、网络分区及防火墙服务。
　　
　　在今年的RSA安全大会上，SonicWALL推出了两款安全虚拟设备——全球管理系统虚拟设备与ViewPoint虚拟设备。SonicWALL产品管理副总裁PatrickSweeney说：“企业部署的虚拟设备需要能够提供关键的安全性能并有助于提高工作效率，才能充分发挥设备优化、更低成本、数据中心容量充分利用以及云计算基础设施的优势。SonicWALL最新推出的产品可帮助大中型企业在虚拟化环境中开发可扩展的安全解决方案。”
　　
　　趋势科技在收购ThirdBrigade后，经过一年多的整合和联合开发，推出了面向云计算架构虚拟服务器保护的DeepSecurity7.0新产品。据张伟钦介绍，作为一款全新的保护虚拟化服务器的安全解决方案，DeepSecurity7.0将云计算环境中的全部服务器纳入保护范围，包括操作系统、网络、应用程序等，不论用户使用的是何种运算环境、虚拟化平台或储存系统，它都能提供优异而完整的安全保护。
　　
　　DeepSecurity7.0的主要特色包括：在云端服务器中设置一套防护模式，预防信息的外泄与中断;降低虚拟环境和云计算环境的安全管理成本;协助实现各种法规与标准的遵从要求，例如PCI、HIPAA等;为云计算数据中心解决各种黑客攻击问题，如SQL注入攻击、跨站攻击等。
　　
　　云计算的绊脚石
　　
　　云计算描绘了一幅美妙的未来图景。然而，企业们发现通向美好愿景的是一条艰辛之路，数据保护和虚拟环境中的风险管理让人望而却步。毋庸置疑，安全问题已经成为了阻碍云计算发展的最大“绊脚石”。
　　
　　在2010年RSA大会上，RSA总裁科维洛表示，“有些事情阻碍了云这一愿景的充分实现。简单地说，那就是安全。据调查，有51%的首席信息官认为安全是云计算最大的顾虑。安全没有跟上云计算的步伐。”
　　
　　云安全联盟所做的调查研究指出，业在选择云服务时面临着恶意攻击和数据意外丢失的双重危险。最关键的问题是应用程序编程接口(API)开发工具十分脆弱。研究人员表示，企业将众多的其他服务捆绑到一个云计算应用程序上，无形中使得自己暴露出了最薄弱、最易受攻击的环节，其中任意一个服务受到损害，将会导致所有连接的其他应用程序遭到攻击。
　　
　　另外，根据独立研究与产业分析报告显示，虚拟化后的企业数据中心的安全状况令人担忧，尽管95%的数据中心在2009年都已采用了虚拟化技术，然而生产环境中的虚拟机器有60%以上比物理主机更缺乏安全防护。更糟糕的是，虚拟化为云计算提供了很好的底层技术平台，这些被虚拟化的设备和存储空间，大多已经成为云中的重要成员。
　　
　　由于云计算是一个开放的环境，没有清晰定义的网络边界，云端部署的应用程序与操作系统受到攻击的可能性就会很大，很多计算资源今后都会面临更多的风险，安全形势会变得越来越严峻。所以，尽管安全厂商已经做出了很大的努力，但还需要让云计算的安全性变得更好。
　　
　　责任编辑：关晓晨