雲安全到底是什麽？是傳統廠商的盒子的iso化？是雲廠商自身具備的安全能力？還是SaaS提供安全服務？這些觀點都比較片面，作為聊天話題還可以，但落地還需要認真討論。

一、雲安全標準

要想了解雲安全真正的含義，首先要了解雲計算本身。根據NIST定義，雲計算按照服務模式分為IaaS、PaaS和SaaS，按照部署模式分為私有雲、公有雲、社區雲和混合雲，按照用戶角色分為消費者、供應商、代理商、運營商和審計方。

雲安全的定義根據國際的CSA TCI-RA、NIST SP500-292、NIST SP 500-29，以及國內的GB/T 31167-2014、GB/T 31168-2014等標準來看，簡單來說就是根據雲計算的服務模式、部署方式以及角色，提供有針對性的安全方案。

然而，實際的雲安全建設往往錯綜復雜，把握幾個關鍵的觀點，有助於大家更了解雲安全。

雲安全責任共擔

用戶和使用的雲服務商不同，安全的責任也不同。如果用戶只是使用IaaS層的服務，IaaS層安全由雲服務商提供，之上的所有中間件以及業務安全責任全部由用戶自己承擔；如果使用的是SaaS層的服務，雲服務商就要提供雲相關全棧的服務；PaaS層的情況介於這兩者之間。

這不同於IDC環境下的安全。從用戶角度來說，安全責任變輕了：以前從建設機房到部署應用的安全全部由用戶自己承擔，現在雲服務提供商要承擔相關的安全職責

組織要評估和滿足合規與審核要求

將業務從傳統IDC遷移到雲的一個重大挑戰是：要遵守眾多的合規和審核的約束。尤其在國內的環境，監管方存在“九龍治水”的情況。《網絡安全法》已經開始正式執行；公安方面的等級保護針對雲方面也推出了等保2.0；以覆蓋等保1.0在雲計算領域的缺失；大數據中心聯盟也推出了可信雲的相關標準；網信部門更是對每個行業都提出新的監管要求；TC260針對政府上雲提出了GB／T 31167和31168。這些規定都意味著組織要承擔更重大的監管責任。

合規可定義為對企業義務（企業社會責任、適用法律，道德指南）的感知和遵循，包括對適當和必要的糾正性措施的評估和排序。在某些高度監管的環境下，透明度可以對內部特定策略進行補充，成為組織效率的優勢而非制約。

總體上，組織要保證合規性和完成審核，需要評估自身合規狀態，借此感知和履行企業義務（社會責任、道德標準、法律責任等）；評估風險、不合規代價以及合規成本，從而評估是否采取適當或必要的糾錯性措施。

對於客戶和服務提供商而言，內審和外審以及各種控制措施都合情合理、可為雲計算效力。目前對於雲計算廠商的審計並不充分，大多情況都是通過一次性的測評來證明雲計算的安全性和可靠性。對於客戶而言，更有保障的方法是通過認證方式對雲計算廠商進行持續的認證。

事件響應

信息安全領域不存在無懈可擊的防禦，無論是周詳的計劃還是周全的預防性措施，都無法完全避免信息資產遭到攻擊。正因如此，致力於減少組織受攻擊損失程度的事件響應，成為了信息安全管理的重要基石。

雲計算不需要一個新的事件響應框架，只需將原有的響應程序、處理機制和工具與雲計算相關的環境對應起來。與此同時，組織也要意識到，雲計算的某些特征會影響事件響應的效果。

首先，雲計算屬於按需自服務，客戶在處理安全事件的時候很難甚至不可能從雲服務商那裏獲得協助；第二，雲服務的資源池化可能會導致 事件響應過程復雜化；第三、在多租戶場景下，如果沒有關於隱私信息的處理和資源池化的雲服務方式，收集和分析事故的非直接數據和原始數據可能造成對隱私問題的擔憂。

另一方面，雲計算也給事件響應帶來了新的機會。對於雲的持續監控機制，可以減少事件處理時間或者事件響應頻率。虛擬化技術和雲計算平臺固有的彈性特質，相比傳統數據中心技術減少了服務中斷時間，讓遏制和恢復措施變得更有效率和效果。此外，由於虛擬機可以很容易地被移動到試驗環境中並管理運行環境、取得鑒定映像及進行檢查，這些都使得事件調查更容易開展。

目前情況並不太樂觀，國內雲計算廠商對於事故響應的手段極其有限，大部分是通過人工服務的情況進行解決，責任無法定位，造成的損失也無法衡量，導致用戶和雲服務提供商之間的不信任感。

二、雲安全挑戰

為了安全地使用公有雲、私有雲、混合雲等豐富多樣的數字化服務，越來越多的企業需要滿足不斷增多的各種安全要求。企業要滿足這些需求，必須首先意識到雲安全方面的三大挑戰：保護多租戶環境下的信息，虛擬化和私有雲安全，以及SaaS可視化和控制。這三大挑戰將為企業的雲安全建設提供實用的分類方法。

評估和控制多租戶環境下的安全和合規風險

安全管理人員關註公有雲的相關安全問題。缺乏持續性的合規和風險的評估以及安全過程，使得一些敏感的場景無法遷移到公有雲。

使用多租戶的雲服務並不直接導致安全問題，跟雲廠商采取的安全措施有關，對雲廠商的形成強大的挑戰。持續的對雲廠商進行風險監控還需要一段路。

安全管理人員甚至所有IT人員都關註公有雲廠商是否安全。實際上，沒有直接證據證明公有雲廠商自身安全不到位會對用戶造成重大影響。然而，如何評估公有雲廠商安全性以及監管機構對公有雲的接受度仍然值得探討。公有雲廠商缺乏透明度，合規狀態不明確，風險評估和安全過程不成熟，使得一些敏感場景無法遷移到公有雲。

對於企業而言，使用多租戶的雲服務並不會直接導致安全問題，還得看雲廠商采取哪些安全措施。綜合評估雲廠商提供的服務和安全性，持續對雲廠商進行風險監控，能夠讓企業在享受優質雲服務的同時做到安全、合規。不過，市場對雲廠商的評估和持續監控還沒有形成最佳實踐。

使用CWPP和微隔離等新技術保護虛擬環境下的工作負載

對硬件資源的虛擬化催生了新的安全技術，比如工作負載安全。工作負載指的是服務器、虛擬機和容器等系統核心業務的載體。雲服務商的安全措施在某種意義來說比自建IDC機房的安全措施更好，但這並不意味著把工作負載從本地遷移到公有雲上就能自動獲得安全保障。實際上，雲服務使用者應該利用好雲廠商的安全特點和優勢，由此產生效果也會更好。比如，利用好雲廠商的安全自動化，能夠大幅減少配置錯誤、管理錯誤、補丁缺失、人工操作失誤等造成安全漏洞數量，從而大大提高雲的安全特性。雲工作負載保護平臺（CWPP, cloud workload protection platform）和微隔離等新的技術能夠在保證各種雲環境下的安全，越來越受到國內外組織重視。

明確SaaS**環境下的數據保護和行為監控

從當前企業支出來看，SaaS是比IaaS更重要的計算領域。由企業的哪個角色來負責SaaS治理尚無定論，對SaaS“所有權”的監管有所缺失，都影響了SaaS應用領域的推廣。

對此，有些企業專門制定了SaaS評估、使用和部門職責的相關規定，也有些專家、架構師組成專門部門來管理SaaS應用。這些都是比較好的實踐，能夠幫助企業更好、更快做出關於SaaS使用的決策。

另一方面，安全團隊在保護數據和監控行為時，要使用比SaaS廠商提供的控制機制更高級的技術手段。有數據顯示，在10,000個使用的SaaS應用中，諸如身份治理和管理（IGA, identity governance and administration）和CASB等單點控制技術變得越來越重要。使用第三方產品來集中有效管理安全策略、權限和行為，也越來越被各種規模的企業所重視。

三、雲安全機遇

根據麥肯錫咨詢機構的預計，雲技術至2020年全球每年創造的價值在3.72億美金。如果企業不重視雲安全建設導致風險和損失，最終可能減少使用雲技術。這種“數字反彈”的局面影響會非常嚴重，可能導致1.4萬億市場的萎縮。麥肯錫認為，企業在采用雲技術的同時要同步建設雲安全，這樣才會使得技術不會倒退，市場不會反彈。任何一項技術在大規模擴張之前都沒有考慮到安全問題（區塊鏈技術除外），而技術產生泡沫的原因之一，正是安全問題沒有得到充分的重視。

根據Gartner預測，2017年基於雲的安全服務市場規模將達到41億美金，雲安全的發展將受益於雲計算市場的快速增長。

反觀國內雲計算市場，經過十年發展，目前已經“賽程過半”，上半場以中小長尾和互聯網產業為主要目標客戶，以公有雲為主要交付形態，洗牌基本完成。下半場將以數字化轉型為核心訴求，以傳統縱向行業、大型企業為主要目標客戶，以混合雲為主要交付形態。

筆者大膽預測未來國內將是行業雲和私有雲的爆發期，針對關鍵基礎設施（8+2）的雲計算建設的方式，大部門會以行業雲的方式存在。行業雲（Industrial Cloud）這個概念跟國外標準中的社區雲（community cloud）有類似的地方又不盡相同。行業雲是數據和軟件的擁有者為行業內部的核心組織或者成員，但服務對象是大眾，滿足社會經濟運行信息需求。社區雲的定義更著重於雲計算後臺的地理位置。針對於私有雲和行業雲的安全方案前景更加明朗，但是一般來說這些廠商的安全措施比公有雲廠商的安全能力會更差一些。

國內大環境而言，網絡安全領域得到了實質性的重視和發展。國家強調在任何技術領域必須提倡自主可控，這意味著國內安全廠商的機會大大增加。雖然我國網絡信息技術和網絡安全保障取得了不小成績，但同世界先進水平相比還有很大差距。我們要填補國內安全市場的空白，跟國際接軌，追趕世界最高安全水平。

深入分析一波，你們說的雲安全到底是什麽鬼？