在来势汹汹的云计算面前，我们最好的办法就是执“伞”以备。

云计算带来的诱惑力太大了，但是让用户把所有数据都放入第三方提供的云中，如今看来还只能是一个设想， 因为云带来的不确定性太多，大家最为关注的安全性得不到保障。尤其是对于政府、金融及其他敏感行业来说，他们现在还不敢把自己的数据安心的放入云中。目前 来看，云计算在中国还尚未普及，即使有一些小云团的出现，也只是局限于自己企业的内部应用，离全民皆云的目标距离还尚远。但是，这挡不住云计算发展的脚 步，挡不住人们对于云的热情。

2010年10月，RSA大会第一次在中国召开，RSA大会可以说是信息安全行业的顶级会议之一，而在 中国的召开，也说明了安全厂商对于中国市场的重视。在该大会上，云计算的安全成为了绝对主角，以往的恶意软件、网络欺诈等传统危机的主题也都纷纷让贤，将 云计算安全推到了主角席位。

云中黑手

IDC发布的调查报告显示，约有74.6%的人表示安全问题是阻碍云计算发展的主要原因。被问及云计算的安全问题时，SonicWALL技术经理蔡永生的第一反应就是虚拟化。 不管是私有云还是公有云，其提供者都面临着一个问题，那就是虚拟化。因为虚拟化可以实现在同一个物理机上装载多个虚拟机，并运行多个不同的服务，可以大大 节约企业的IT成本，所以在多年以前，虚拟化已经广泛运用于企业的数据中心。但是，蔡永生表示：“在云环境中，一个服务器上可以运行多个系统，带来了很多 问题。因为运行在同一个硬件中的服务是可以之间通信的，若是没有相应的控制机制，其中一个系统中了病毒，那么这个被感染的系统就可以作为跳板来让黑客去控 制其它的虚拟系统。”所以，不管对于私有云用户或者云服务提供商来说，虚拟机之间的隔离是成功提供云服务必须要解决的问题之一。

除了虚拟化带来的安全威胁，趋势科技中国研发中心资深经理钟宇轩表示：“除了对虚拟机和操作系统的保护 之外，数据的安全也是云带来的问题之一。”例如，以现在非常流行的社交网络为例，用户把自己的一些信息提交到了背后的“云”中，这些信息的对其他用户是否 可见是用户可以自己控制的，但是对于系统管理员来说，这些信息是否可见呢？还有一个问题就是，用户在删除了对应的帐号之后，以往提交的信息是否还留在了云 中呢？现实情况是，这些信息的删除与否是不受使用者控制的。因为背后数据库都会定期备份，用户的资料信息可能会随着数据库的备份存留在云中，而且这种信息 可以很容易进行还原。所以数据的安全也是云带来的问题之一。

清华大学计算机系教授郑纬民用了两个特点来总结云计算带来的安全问题，第一个是数据不能丢失；第二个是 云中的数据不能随意让人拿走或查阅。是的，这两个问题是用户关注问题的最直接的体现。云要普及，就必须让用户相信数据放在云中是安全的，而且是不能随意让 别人查看和拷贝的。针对上述这两个特点，郑纬民教授表示，在清华大学自己的存储云中都部署了一些比较有效的控制措施（后面会介绍）。另外复旦大学并行处理 研究所的助理教授陈海波教授也说：“云对于数据安全性带来了一些新的挑战，包括云提供者、操作员之间可能造成的一些侵入。另外你的邻居很有可能是你的竞争 对手，甚至来自网络的攻击，都可能会导致你的数据会被窃取。”。

而在联想网御CTO毕学尧博士看来，云端面临的安全威胁主要有数据丢失/泄漏，帐户、服务和通信劫持， 共享技术漏洞，不安全的应用程序接口，没有正确运用云计算，内奸等。针对私有云和公有云的安全措施是否有差异问题，毕学尧表示：“安全措施是有差异的，私 有云主要指组织在企业防火墙内的云，其安全重点应在内网安全、审计上。公共云是建立在开放的网络环境中，安全重点应在访问控制、操作权限管理上。”目前， 在中国部署的云朵大部分属于企业或组织内部的私有云。

综上所述，云计算带来了如此多的安全问题，记者一直感觉云计算环境下，数据的保护措施将会比目前数据中 心的保护措施更为复杂。但是华中科技大学博士生导师金海教授却提出了不同的观点，他认为，云计算平台将会比现有的分布式平台具有更高的安全性。为什么呢？ 因为，在云计算的环境下，将所有用户的分散资源进行了统一的管理，更加有利于安全控制；第二点，云环境下，云服务提供商虽然不能提供安全服务，但可以与安 全厂商合作，让安全即服务的厂商来充当云计算环境的“保安”；第三点，在云计算环境中，更为方便提供日志即服务（Log as a Service），来监控整个云环境下访问者的行为记录。

现实与虚拟的对决

上面介绍了许多云计算的安全问题，让人对云又爱又恨。对云计算的到来，除了安全厂商在不断推出最新的保 护云计算的技术之外，黑客们估计也没有闲着，他们肯定会抓住云计算刚刚普及还没有标准化的空子，努力发展他们的黑色产业链。不过，今年我们却看到了许多最 新的云应用案例以及保护云计算安全的方案，让用户看到了解决云计算安全问题的曙光。例如，联想网御在2010年8月发布的“主动云防御”技术，就是云计算 在安全技术上的务实应用，现在已经成功应用于现有防护墙、UTM、IPS、AV等安全网关中。以及趋势科技今年7月正式推出的云安全3.0，成功地实现了 从借助“云”实现更高等级的安全，到保护“云”自身的安全。钟宇轩介绍，这几个版本最大的区别是云安全3.0是为了保护云环境，而1.0和2.0是利用云 实现了更高级的安全。

与云计算一直形影不离的一项技术就是虚拟化，2010年，Gartner发布的最受关注的新兴技术调查显示，云计算和虚拟化成了关注度最高的两项技术。虚拟化并不是一项很新的技术，但随着云计算的出现，虚拟化也跟着被推到了风口浪尖。

至少从现在来看，虚拟化是实现云计算的必经之路。而且，随着虚拟化技术的成熟，其带来的安全威胁也被一 一攻破了。例如，针对虚拟机之间的隔离问题，金海教授提出了动态中国墙（PCW）的模型，这种模型将原来虚拟机之间的静态冲突级别，变为现在的动态级别， 该模型通过建立联盟关系实现对利益冲突关系的扩展，从而动态地构建访问区域，保证了两个虚拟机之间不会进行通信。

虚拟化带来的另外一个问题就是传统向虚拟的迁移。钟宇轩以安全软件为例子，传统的安全软件是运行在一个 物理机上，当用户将业务迁移到虚拟机上之后，传统的安全软件也被前移了过来。但是，这种安全软件并没有意识到自己处于虚拟的环境之中，在定时扫描时，安全 软件会对每一个虚拟机进行扫描，这将会占用物理机的大量资源，严重时还会引起宕机。针对这样的问题，他表示，目前已有解决方法。

10月份，趋势科技推出的VMware vShield Endpoint防病毒解决方案就是针对此问题而研发的。云计算的安全问题肯定不是一家厂商的力量能够胜任的。所以，趋势科技与专业的虚拟化厂商 VMware进行了合作。VMware vShield Endpoint技术将病毒防护作业转移到VMware的合作伙伴所提供的安全防护专用虚拟机当中执行，可强化虚拟机（VM）中与虚拟主机（host）的 安全性。这就避免了传统的安全软件迁移到虚拟环境中所带来的问题。

另外，钟宇轩介绍，云安全3.0采用的是Deep Security技术也是非常先进的，它可以通过先进的网络层主动深度威胁分析技术与虚拟补丁技术从网络层去阻断和防范针对漏洞的攻击，为各种物理服务 器、虚拟机、操作系统、服务系统和应用程序漏洞提供统一的先于零时差攻击的即时防护。这对于虚拟服务器的防病毒和恶意软件攻击来说是个福音。

实践中的应用

云计算服务目前来看还是比较新的技术，除了后台遇到的虚拟化带来的安全问题意外，SonicWALL亚 太区副总裁Richard Ting也表示， 云计算服务的安全措施也是在应用中逐步发现的，部署云的客户在运行过程中遇到什么问题，也会及时告知安全厂商，来进一步完善保护云安全的措施。清华大学计 算机系博士生导师郑纬民教授介绍，清华大学的存储云中就运用了几项技术来达到数据加密和身份认证的目的。

清华大学的存储云主要是面向全校的师生，为他们提供文件的存储功能。该存储云目前已经有接近一万六千个 注册用户，每个个人用户会分配2-4G的空间用于存放个人的数据。集团用户，例如教务处等，会得到400G的空间，供这个小组的成员共享这个空间。这个存 储云目前有几百个集团用户及一万六千个个人用户，共使用了100T的存储空间。目前，只要有网络的地方都可以登录到云中，无须再携带移动硬盘等设备进行数 据的转移了。

这个存储云可以说是一个清华大学的私有云，同样，也面临数据泄漏和丢失方面的威胁，对此，郑纬民教授介 绍了云中使用的几项技术。他认为，云中的数据安全包含两个方面，一是数据不能丢失；二是数据不能随意查看和拷贝。对第一点来说，可以采取备份的形式，异地 备份或者其他硬盘的备份都可以实现。对于第二点来说，有以下几项来保证数据不被随意查看：访问控制、对数据进行加密或在传输过程中加密、存储的安全、容灾 等。

对于上述的几个问题，有对应的几个解决办法：一是做好用户的认证和授权进行访问控制；二是用户访问数据 的时候，要有日志记录，跟踪整个过程，同时会为每个用户指定路径，禁止用户随意访问他人数据；三是将数据打碎，分成不同的几块，即使数据丢失，也不容易拼 凑起来。另外，针对系统管理员可随意查看用户信息的问题，郑纬民介绍，与复旦大学、华中科技大学及武汉大学等高校合作研发的道里系统可有效解决这一问题。 道里系统的具体方法是在虚拟机上装操作系统，操作系统相当于虚拟机的一个用户，系统管理员只能看到虚拟机而看不到用户的数据文件。

云服务提供商的职责

由于云计算的未知性，现在许多用户还不敢将自己的数据交由第三方的云服务提供商来保管，但是他们又不想 放弃云带来的便利，所以目前的多数用户是将数据放入自己搭建的云中。但是这不妨碍向公有云迁移的脚步，因为云是否能够普及，关键点在于云服务提供商能否为 用户提供安全可靠的云服务，安全问题解决之后，公有云的普及将会成为必然。面对如此多的安全问题，处于第三方的云服务提供商需要做什么？

第一是虚拟机的隔离。针对这个问题，金海教授举了一个例子，加入两个具有竞争关系的企业A和B使用了同 一个云服务提供商的设备。若A在完成业务之后没有及时的关掉其虚拟服务，此时，B的虚拟服务也已经开始运行，这样的话两个虚拟服务之间是可以通过隐形通道 进行通信的。这带来的安全问题是非常巨大的。所以，金海表示：“对于公有云服务提供商来说，虚拟机的隔离是必须要做的工作之一。”针对这个问题，上面也讲 述了一些应对虚拟化带来的安全危机的方法，目前这方面的技术已经相对比较成熟。

第二是保证服务的连续性。这里不是说硬件出现问题而导致服务中断，而是指针对将全部业务交付云中的客户来说，当云中的软件运行遇到问题时，如何检测到这个错误，以及下一次运行时如何避开同样的问题。

第三是做好行为监控。由于一个物理机上运行着多个不同种类的虚拟服务，若一个服务感染了病毒或者被共 计，如果保证其它服务不受影响。这就需要做好行为监控。金海教授提出了一个很新颖的想法。他表示，可以将监控系统做一个VMDriver，每一个虚拟机启 动时都要使用这个驱动，通过这种方式，可以实现对每个虚拟服务的实时监控。

第四是提供可信的执行环境。陈海波博士提出了利用轻量级虚拟机（LVM）的方式来提供可信的执行环境。 这种方式是将轻量级虚拟机部署在操作系统之下，每个虚拟机对应的只是一个用户，用户操作完毕后就可以拔掉。这就相当于为用户构建临时性的运行环境，用完之 后，信息将会被全部删除。

第五是提供云备份服务。该服务被金海教授称为利用云存储捞到的第一桶金。因为目前的云服务还没有完全普 及，但是云存储却可以担当其他重任。例如，作为云备份。用户虽然还没有信心将所有的数据放入云中，但却不妨碍将一些不包含隐私的数据放入云中。另外，对于 企业来说，也可以将云当作第二备份，节省了企业本身的备份开支。

目前来看，云服务提供商自身并没有为客户提供可靠的安全措施。未来，云服务提供商要做的就是与安全厂商合作，提供安全即服务模式的服务，来保证云环境的可靠。

云计算发展的如火如荼，但在中国还只是刚刚起步。目前，国内有不少企业或学校部署了云，但大都是属于私 有云，离云服务的商业模式还有一段的距离。在前两年还是前途未卜的云计算，目前已经具有了雏形。未来，私有云向公有云的迁移是肯定的，而公有云必定会带来 更多的安全问题，但是依现在的IT技术的发展速度来看，云计算势在必行。

编看编想：云朵腾飞前的思考

Gartner曾预计，云计算的受关注程度会在2010年达到顶峰，是的，这个顶峰已经出现了。云计算 的普及不仅是实现了一个资源的集中管理，它带来的是一个革命，云计算将改变现有数据中心的运营模式。云带来的安全问题曾经令用户感到困惑，它真的有传说中 的那么好吗？随着一些私有云的建设，大家普遍认可了云带来的便利。虚拟化、数据安全及访问控制等都是云计算带来的安全问题，这对于云服务提供商来说是个挑 战，但是同样的，也给云服务提供商提供了另外一个生存方式，那就是与安全厂商合作，提供安全即服务这种新的服务方式。随着云计算的发展，所有的业务都将变 为服务，例如IaaS，PaaS，SaaS，以及安全即服务等。云计算在中国才刚刚起步，随着安全问题的逐步解决，云朵将会开遍中国。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。