對(duì)客戶而言，云時(shí)代帶來(lái)安全挑戰(zhàn)的同時(shí)，在安全方面也帶來(lái)很多優(yōu)勢(shì)。大的云服務(wù)商都有很強(qiáng)的安全團(tuán)隊(duì)，有能力構(gòu)筑基于深層防御的云安全解決方案，可更好地應(yīng)對(duì)安全威脅；也有強(qiáng)大的應(yīng)急響應(yīng)能力，可提供更好的安全保障能力；同時(shí)，云服務(wù)商通常也會(huì)將自己保護(hù)云基礎(chǔ)設(shè)施的安全能力延伸到其客戶，提供豐富的安全服務(wù)，讓客戶按需選用，比如云服務(wù)商提供的漏洞掃描、安全配置檢查和補(bǔ)丁服務(wù)等；另外，也會(huì)將業(yè)界最好的第三方安全產(chǎn)品集成進(jìn)來(lái)提供安全服務(wù)，方便客戶選用，比如WAF、DLP和殺毒等產(chǎn)品。由于安全人才稀缺，薪酬也比較高，大多數(shù)客戶并沒(méi)有配備經(jīng)驗(yàn)豐富的安全團(tuán)隊(duì)，將業(yè)務(wù)遷移到云端以后，由于云服務(wù)商提供了安全解決方案部署的便利性、更強(qiáng)的安全技術(shù)和人才保障，其實(shí)更安全。

　　2016年9月22日，雅虎公司承認(rèn)兩年前其5億用戶的信息被黑客盜竊，該消息導(dǎo)致Verizon可能會(huì)放棄對(duì)其48億美元的收購(gòu)計(jì)劃；此前，已經(jīng)發(fā)生過(guò)MySpace的3.6億郵件泄露、LinkedIn的1.67億用戶信息泄露，以及EBay的1.45億用戶信息泄露等類似事件。

　　部分企業(yè)CIO認(rèn)為，遷移到云服務(wù)將使保存在云端的數(shù)據(jù)更容易受到黑客的攻擊。數(shù)據(jù)泄露和其他攻擊經(jīng)常與身份驗(yàn)證不嚴(yán)格、弱密碼橫行以及密鑰或憑證管理松散有關(guān)。

　　正因?yàn)閿?shù)據(jù)安全如此重要，因此最近幾年，業(yè)界很關(guān)注“以數(shù)據(jù)安全為中心”進(jìn)行風(fēng)險(xiǎn)分析和安全架構(gòu)設(shè)計(jì)。數(shù)據(jù)的安全防護(hù)是重中之重。

　　企業(yè)客戶希望能夠獨(dú)立驗(yàn)證其數(shù)據(jù)是如何存儲(chǔ)、訪問(wèn)和加密的，以消除其對(duì)于數(shù)據(jù)安全性的擔(dān)心。另外，斯諾登事件后，很多企業(yè)擔(dān)心政府會(huì)通過(guò)合法或者非法的手段查看其數(shù)據(jù)，同時(shí)也擔(dān)心企業(yè)的數(shù)據(jù)會(huì)被云管理員等查看。另外，數(shù)據(jù)存儲(chǔ)在云端后，租戶無(wú)法確定其具體的存儲(chǔ)位置，擔(dān)心數(shù)據(jù)被人轉(zhuǎn)移；也擔(dān)心數(shù)據(jù)刪除時(shí)，云端物理存儲(chǔ)設(shè)備是否真正徹底地進(jìn)行了同步刪除。華為的公有云非常重視用戶隱私保護(hù)，絕對(duì)不允許觸碰租戶數(shù)據(jù)。華為在國(guó)外開(kāi)展公有云業(yè)務(wù)，通常是交給合作伙伴去運(yùn)營(yíng)。比如德國(guó)電信公有云，是由德國(guó)電信這樣在當(dāng)?shù)叵碛行抛u(yù)的電信公司來(lái)負(fù)責(zé)，更容易贏得客戶的信賴。

　　API和界面通常都可以從公網(wǎng)訪問(wèn)，也就成為了系統(tǒng)對(duì)外暴露的部分，成為攻擊風(fēng)險(xiǎn)最大的部分。

　　對(duì)于公有云，租戶和互聯(lián)網(wǎng)用戶能直接訪問(wèn)到這些服務(wù)，比如用戶要登錄Web頁(yè)面訂購(gòu)云服務(wù)，這些Web服務(wù)是面向所有互聯(lián)網(wǎng)用戶的，其風(fēng)險(xiǎn)比較大。另外，租戶本身也可能是攻擊者，故意訂購(gòu)一些云業(yè)務(wù)，其實(shí)是測(cè)試其中的漏洞，然后利用租戶身份發(fā)動(dòng)攻擊。PaaS服務(wù)主要以API為服務(wù)的載體，API的設(shè)計(jì)和使用不當(dāng)容易引入風(fēng)險(xiǎn)。

　　公有云是眾多租戶共享的一個(gè)大系統(tǒng)。云服務(wù)共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用，一旦其中任何一個(gè)出現(xiàn)嚴(yán)重漏洞，則每個(gè)人都可能會(huì)受到影響。

　　比如，最近幾年，虛擬化平臺(tái)出現(xiàn)多個(gè)嚴(yán)重漏洞，可以導(dǎo)致虛擬機(jī)逃逸。客戶比較常見(jiàn)的問(wèn)題之一就是如何解決虛擬機(jī)逃逸問(wèn)題？

　　DDoS攻擊是云服務(wù)面臨的最常見(jiàn)的攻擊，影響到可用性，使網(wǎng)絡(luò)帶寬被大量占用甚至擠滿，造成業(yè)務(wù)癱瘓系統(tǒng)；或者響應(yīng)會(huì)被拖慢，消耗大量處理能力。

　　DDoS攻擊在數(shù)據(jù)中心中非常頻繁，消耗了管理員大量運(yùn)維時(shí)間。國(guó)內(nèi)攻擊流量達(dá)到數(shù)百Gbps已不少見(jiàn)，當(dāng)攻擊流量帶寬超過(guò)云服務(wù)商的數(shù)據(jù)中心入口帶寬時(shí)，要依賴和運(yùn)營(yíng)商等合作。華為在抗DDoS產(chǎn)品上有十多年研發(fā)經(jīng)驗(yàn)，產(chǎn)品在國(guó)內(nèi)外運(yùn)營(yíng)商網(wǎng)絡(luò)、數(shù)據(jù)中心均有廣泛部署，具有業(yè)界領(lǐng)先優(yōu)勢(shì)；并發(fā)起“云清聯(lián)盟”， 通過(guò)全球運(yùn)營(yíng)商、MSSP、IDC合作，構(gòu)成一個(gè)云端的“DDoS防御生態(tài)系統(tǒng)”， 實(shí)現(xiàn)“近源清洗”，更好的解決DDoS攻擊問(wèn)題。

　　內(nèi)部人員威脅擁有很多張面具：現(xiàn)員工或前雇員、系統(tǒng)管理員、承包商和商業(yè)合作伙伴等，惡意行為可以從單純的數(shù)據(jù)偷盜到報(bào)復(fù)公司。

　　這是公有云非常不同于傳統(tǒng)網(wǎng)絡(luò)的地方，公有云管理員管理的租戶數(shù)據(jù)并不屬于云服務(wù)商。公有云設(shè)計(jì)的重要前提就是要防止內(nèi)部人員“作惡”，因此對(duì)傳統(tǒng)管理員的內(nèi)部調(diào)試和定位問(wèn)題的能力都要進(jìn)行限制。好的公有云設(shè)計(jì)要能夠做到除非得到客戶授權(quán)，否則無(wú)法進(jìn)入客戶系統(tǒng)窺探數(shù)據(jù)。

　　租戶本身的安全意識(shí)薄弱，則租戶自己的虛擬機(jī)就有可能被入侵，并被用于支持違法活動(dòng)；當(dāng)然，也可能是租戶自身的惡意企圖。

　　作為云服務(wù)商，也要具備對(duì)租戶虛擬機(jī)“作惡”行為的監(jiān)控能力。當(dāng)然，這種監(jiān)控不能超越必要權(quán)限，比如獲取租戶的隱私信息就不允許。另外，國(guó)內(nèi)的公有云出口國(guó)家都會(huì)強(qiáng)制部署信安系統(tǒng)進(jìn)行檢測(cè)，對(duì)反動(dòng)、黃賭毒等內(nèi)容進(jìn)行識(shí)別。

　　在國(guó)外，許多上市公司、政府機(jī)構(gòu)和醫(yī)院等客戶面臨很多法律法規(guī)的合規(guī)要求，IT設(shè)施和運(yùn)維必須要滿足這些要求。對(duì)于把業(yè)務(wù)遷移到云業(yè)務(wù)后是否滿足合規(guī)要求，客戶是有顧慮的。國(guó)內(nèi)對(duì)一些行業(yè)也有等級(jí)保護(hù)等各種要求。業(yè)界有眾多公司提供合規(guī)方面的認(rèn)證和咨詢服務(wù)，可以幫助客戶減少這方面的擔(dān)心。

　　為了應(yīng)對(duì)上述安全風(fēng)險(xiǎn)，解決用戶信任問(wèn)題，云服務(wù)商要綜合技術(shù)、合規(guī)運(yùn)營(yíng)、信息透明和宣傳等多種手段。做好云的安全防御工作，要以黑客的視角看問(wèn)題——“不知攻，焉知防”。漏洞無(wú)處不在，攻擊技術(shù)不斷演變，靠單一的手段防御很難奏效，需要綜合的解決思路來(lái)構(gòu)建深層防御體系。

　　推行SDL，以數(shù)據(jù)安全防護(hù)為核心，在設(shè)計(jì)中構(gòu)筑安全質(zhì)量，從源頭提升安全質(zhì)量：推行SDL（Secure Development Lifecycle）安全研發(fā)流程很重要，很多人理解不了SDL的重要性。實(shí)際上業(yè)界主要的大軟件公司都將此作為重要基礎(chǔ)手段。沒(méi)有SDL的推行，開(kāi)發(fā)出的產(chǎn)品會(huì)漏洞百出。基礎(chǔ)軟件安全質(zhì)量差，靠其他防御手段很難彌補(bǔ)。比如，這些年緩沖區(qū)溢出造成的高危漏洞居高不下，這與沒(méi)有推行SDL或者推行SDL落地不到位有很大關(guān)系。前面提到的界面和API的風(fēng)險(xiǎn)，就需要依賴良好的安全設(shè)計(jì)和編程才能有效減少漏洞。

　　2016年10月21日，美國(guó)很多城市出現(xiàn)網(wǎng)絡(luò)癱瘓，起因是大量IoT設(shè)備的漏洞被利用，造成DDoS攻擊所致。根本原因就在于眾多研發(fā)IoT設(shè)備的小公司沒(méi)有安全研發(fā)流程，造成很多低級(jí)漏洞。比如，一些IoT設(shè)備上存在硬編碼的默認(rèn)賬號(hào)，還沒(méi)法修改密碼，必須要升級(jí)固件才能解決，這是非常低級(jí)的設(shè)計(jì)錯(cuò)誤。華為公司嚴(yán)格推行SDL流程落地，這對(duì)于安全質(zhì)量的提升提供了重大保障。

　　從設(shè)計(jì)上講，強(qiáng)調(diào)以數(shù)據(jù)安全為核心來(lái)端到端設(shè)計(jì)安全架構(gòu)，涉及到密鑰的分發(fā)和管理、身份認(rèn)證、管理員賬戶的管理、數(shù)據(jù)加密和安全域隔離等各個(gè)環(huán)節(jié)。任何環(huán)節(jié)疏漏均可能造成數(shù)據(jù)泄露。華為為了增強(qiáng)對(duì)租戶隱私數(shù)據(jù)的保護(hù)，還采用了加密態(tài)搜索技術(shù)，確保管理員也無(wú)法獲取。

　　對(duì)于云這樣的大型系統(tǒng)來(lái)說(shuō)，開(kāi)發(fā)系統(tǒng)上要盡量歸一，才能減少漏洞引入和對(duì)專家的依賴。比如開(kāi)發(fā)語(yǔ)言、操作系統(tǒng)、Web框架、API框架和虛擬化平臺(tái)等要盡量歸一。對(duì)于云產(chǎn)品，一般開(kāi)發(fā)都采用了DevOps研發(fā)模式，為滿足快速交付，研發(fā)要增強(qiáng)安全自動(dòng)化測(cè)試能力。

　　建立深層防御，防止單點(diǎn)突破，提升黑客攻擊難度：無(wú)論是單產(chǎn)品還是解決方案，架構(gòu)上都要設(shè)立多層次的防御系統(tǒng)，提升黑客攻擊的難度。比如，對(duì)于主機(jī)防護(hù)可以通過(guò)SELinux對(duì)操作系統(tǒng)進(jìn)行加固；打開(kāi)DEP和ASLR等提升漏洞利用的難度；運(yùn)用可信計(jì)算技術(shù)防止代碼被篡改；關(guān)鍵數(shù)據(jù)進(jìn)行加密讓黑客拿到數(shù)據(jù)也難以破解等等；解決DDoS問(wèn)題也要建立層次化防御，比如，與運(yùn)營(yíng)商在骨干網(wǎng)進(jìn)行合作，防止入口帶寬打滿；在數(shù)據(jù)中心內(nèi)部也要建立抗DDoS清洗系統(tǒng)。深層防御已經(jīng)成為業(yè)界公認(rèn)的安全架構(gòu)設(shè)計(jì)的一個(gè)基本原則。當(dāng)然在安全設(shè)計(jì)上還有最小權(quán)限等業(yè)界公認(rèn)的8大安全設(shè)計(jì)原則，但是把軍事上的縱深防御思想引入到安全架構(gòu)設(shè)計(jì)原則是一個(gè)重大進(jìn)步。

　　建立“隔離艙”，避免影響整體安全或者避免關(guān)鍵域被攻擊：隔離涉及到網(wǎng)絡(luò)層面的隔離和軟件層面的隔離。其中的網(wǎng)絡(luò)隔離，比如劃分安全域，做好安全域隔離。網(wǎng)絡(luò)隔離的設(shè)計(jì)是安全方案最基礎(chǔ)的工作，具體做到什么程度還要兼顧成本和管理等多方面進(jìn)行考慮，但是安全等級(jí)不一樣的域和業(yè)務(wù)差別較大的域最好還是隔離開(kāi)。比如，要把用戶訪問(wèn)界面與運(yùn)營(yíng)和認(rèn)證系統(tǒng)做好隔離；而提供給用戶的API必要時(shí)也需要通過(guò)代理（Proxy），并做好權(quán)限控制，以實(shí)現(xiàn)隔離。

　　軟件層面的隔離，比如應(yīng)用程序運(yùn)行在容器中，可以在應(yīng)用程序與其他系統(tǒng)之間建立一定的隔離墻，以減少彼此影響。比如，應(yīng)用程序不要以Root權(quán)限運(yùn)行，分配權(quán)限應(yīng)盡可能的小，盡可能實(shí)現(xiàn)與操作系統(tǒng)的隔離；隔離，也可以結(jié)合最新的硬件技術(shù)，比如，運(yùn)用Intel芯片的SGX技術(shù)將要保護(hù)的軟件和數(shù)據(jù)位于Enclave中，這樣即便操作系統(tǒng)或者Hypervisor被滲透，也無(wú)法影響Enclave中的代碼和數(shù)據(jù)。

　　假定系統(tǒng)已經(jīng)被入侵，關(guān)鍵點(diǎn)全面部署威脅感知系統(tǒng)：無(wú)法攻破的大型系統(tǒng)是不存在的，這已經(jīng)被無(wú)數(shù)案例證明。只能假定系統(tǒng)肯定會(huì)被入侵，那么我們的防御思路就會(huì)有徹底改變。

　　首先，我們要假定任何關(guān)鍵區(qū)域都有可能被突破，那么就不能出現(xiàn)監(jiān)控盲點(diǎn)。要對(duì)基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用全面實(shí)施安全監(jiān)控，消除監(jiān)控盲點(diǎn)。比如服務(wù)器可以考慮部署AGENT，輸出配置、進(jìn)程和訪問(wèn)日志等信息，對(duì)這些信息進(jìn)行系統(tǒng)分析可以有效發(fā)現(xiàn)入侵，這也是防止內(nèi)部作惡的有效審計(jì)手段，同時(shí)也可以監(jiān)控云服務(wù)是否被濫用。但對(duì)于涉及到VM以上的租戶系統(tǒng)，要取得租戶許可，租戶可以根據(jù)需要選用。

　　前面談到虛擬機(jī)逃逸問(wèn)題，業(yè)界主要就要靠監(jiān)控手段，比如在Hypervisor或更底層設(shè)置監(jiān)控。如果沒(méi)有這些監(jiān)控，則一旦突破之后就可能造成嚴(yán)重危害。這就好比我們?cè)诜孔雨P(guān)鍵位置都設(shè)置了攝像頭和紅外傳感器，入侵者通常很難逃避這兩種傳感器，除非傳感器被破壞了。但是我們?cè)O(shè)置這些監(jiān)控，當(dāng)然不會(huì)把監(jiān)控技術(shù)公開(kāi)，以免被入侵者找到規(guī)避的方法。

　　在假定系統(tǒng)肯定被入侵的基礎(chǔ)上，則系統(tǒng)的安全設(shè)計(jì)要全面增強(qiáng)。比如，對(duì)于機(jī)密數(shù)據(jù)，我們要假定操作系統(tǒng)已經(jīng)被入侵了，此時(shí)如何防范？首先就要對(duì)重要數(shù)據(jù)進(jìn)行加密，密鑰不能存儲(chǔ)在本地，讓入侵者拿到數(shù)據(jù)也沒(méi)法破解；其次，原來(lái)傳統(tǒng)認(rèn)為只有管理員才可能接觸到的區(qū)域，也要進(jìn)行深度防范，對(duì)于內(nèi)部機(jī)-機(jī)之間的通信也要認(rèn)證和加密。

　　云安全解決方案上還要應(yīng)用欺騙技術(shù)（Deception）。Gartner將欺騙技術(shù)列為2016年的10大信息安全技術(shù)之一。這個(gè)屬于威脅感知中很重要的主動(dòng)防御技術(shù)之一，在云系統(tǒng)中很重要。偽裝的越真實(shí)，越能吸引攻擊者現(xiàn)身或者延緩對(duì)真實(shí)目標(biāo)的攻擊時(shí)間。傳統(tǒng)的蜜罐屬于這類技術(shù)，但蜜罐技術(shù)手段比較單一，容易被攻擊者識(shí)破。欺騙技術(shù)的發(fā)展方向?qū)⒏鼜?qiáng)調(diào)以各種綜合手段達(dá)到以假亂真的目的。

　　部署機(jī)器學(xué)習(xí)和大數(shù)據(jù)安全分析系統(tǒng)，實(shí)現(xiàn)安全智能化：云系統(tǒng)每天產(chǎn)生的安全日志數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超出人工能分析的范圍，運(yùn)維人員很難知道哪些是真正有威脅的攻擊，應(yīng)用機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析系統(tǒng)已經(jīng)必不可少。華為已經(jīng)在國(guó)內(nèi)的公有云中部署了大數(shù)據(jù)分析平臺(tái)來(lái)輔助安全運(yùn)維，該系統(tǒng)可以輔助人工決策，提高安全分析能力，是新一代智能SOC（Security Operation Center）的核心技術(shù)。另外，業(yè)界也強(qiáng)調(diào)SOC系統(tǒng)要和威脅情報(bào)結(jié)合到一起，威脅情報(bào)的核心是要做到“知己知彼”，不能被動(dòng)防御，而要主動(dòng)分析和了解攻擊者的最新攻擊態(tài)勢(shì)、攻擊方法、攻擊工具以及位置和身份等。云服務(wù)商要自己積累這方面能力，也需要與業(yè)界合作，獲取最新信息。機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析是建立威脅情報(bào)的一個(gè)重要手段。

　　安全運(yùn)維要實(shí)現(xiàn)安全的自動(dòng)化和可視化：云規(guī)模龐大，但卻只有為數(shù)不多的安全運(yùn)維人員，必須盡可能實(shí)現(xiàn)安全運(yùn)維的自動(dòng)化和可視化，能自動(dòng)化的就不要靠手工。另外，這對(duì)云安全運(yùn)維人員提出了比較高的技能要求。新一代的安全運(yùn)維人員一般要求有比較熟練的編程能力，隨時(shí)可以根據(jù)需要編一些腳本或者開(kāi)發(fā)一些工具，來(lái)滿足自動(dòng)化需要。

　　（1）全面監(jiān)控整網(wǎng)的安全狀態(tài)，實(shí)現(xiàn)安全的可視化。比如對(duì)整網(wǎng)的各個(gè)部件的應(yīng)用軟件、操作系統(tǒng)版本和補(bǔ)丁狀況要一目了然，一旦爆出漏洞，監(jiān)控系統(tǒng)就能通報(bào)哪些設(shè)備需要打補(bǔ)丁，并自動(dòng)生成工單，推動(dòng)補(bǔ)丁的快速修補(bǔ)。事實(shí)上，業(yè)界絕大部分入侵并非0DAY漏洞造成，而是已知漏洞未及時(shí)打補(bǔ)丁造成的。

　　（2）引入在線的安全自動(dòng)測(cè)試方法，比如實(shí)時(shí)探測(cè)系統(tǒng)漏洞、探測(cè)弱密碼賬號(hào)和錯(cuò)誤配置導(dǎo)致的安全隱患等等，搶在黑客之前發(fā)現(xiàn)風(fēng)險(xiǎn)。公有云每天會(huì)受到無(wú)數(shù)黑客工具的掃描，只要不是深層次漏洞，很快就會(huì)被黑客發(fā)現(xiàn)，對(duì)此不能存在僥幸心理。作為自動(dòng)測(cè)試工具，要快速跟進(jìn)黑客的工具，因?yàn)楹诳偷墓ぞ吣芰Ω�新速度常常超出你的想象�?/div>