什么是云计算安全？如何保障云计算安全

云计算彻底改变了数据存储的世界，它使企业可以远程存储数据并随时随地从任何位置访问数据。存和取变得简单，也使得云上数据极易造成泄露或者被篡改，所以云计算安全就显得非常重要了。那么什么是云计算安全？

其实，云计算并非一个全新概念，其发展历史可以追溯到1956年虚拟化技术的正式提出。我国云计算发展大致经历三个阶段：2010年以前是准备阶段；2011年到2013年是稳步成长阶段；2014年至今，中国云计算产业进入高速发展阶段。当前，云计算正从新业态转变为常规业态，并且与传统行业深度融合发展。

云计算究竟是一项什么样的技术？

通过高速网络，云计算将大量独立的计算单元相连，提供可扩展的高性能计算能力。它的主要特点是：资源虚拟化、服务按需化、接入泛在化、部署可扩展、使用可计费。

简单说，就是用户的计算需求不必在本地计算机上实现，而是只要把计算需求交给“云平台”，“云平台”把巨量数据分解成无数个小任务，分发给众多服务器，最后汇总出计算结果，返回给用户。打个比方，吃鱼不必自己造船、结网、出海、烹饪，只需跟饭店下订单即可，饭店自会准时上菜，这个饭店会同时服务众多顾客。随着用户越来越多，程序越来越复杂，对计算能力和安全性的要求也越来越高。在不断提升的需求推动下，云计算技术不断升级，应用也越来越普及。

云计算的定义

云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问， 进入可配置的计算资源共享池(资源包括网络，服务器，存储，应用软件，服务)，这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。

随着云计算逐渐成为主流，云安全也获得了越来越多的关注，传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是，与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同，业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

主要有三种系统类别：IaaS, PaaS, IaaS：
 

• SaaS：传统软件用户将其安装到硬盘然后使用。在云中，用户不需要购买软件，而是基于服务付费。它支持多租户，这意味着后端基础架构由多个用户共享，但逻辑上它没每个 用户是唯一的。
• PaaS：PaaS将开发环境作为服务提供。开发人员将使用供应商的代码块来创建他们自己的应用程序。该平台将托管在云中，并将使用浏览器进行访问。
• IaaS：在IaaS中，供应商将基础架构作为一项服务提供给客户，这种服务以技术，数据中心和IT服务的形式提供，相当于商业世界中的传统“外包”，但费用和努力要少得多。主要目的是根据所需的应用程序为客户定制解决方案。

什么是云计算安全？

云计算安全 （Cloud security ），是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。

“云安全”是继“云计算”“云存储”之后出现的“云”技术的重要应用，是传统IT领域安全概念在云计算时代的延伸，是“云计算”技术的重要分支。

在云计算的架构下，云计算开放网络和业务共享场景更加复杂多变，安全性方面的挑战更加严峻，一些新型的安全问题变得比较突出，如多个虚拟机租户间并行业务的安全运行，公有云中海量数据的安全存储等。

云计算与云计算安全的关系

云计算安全(Cloud Security)是一个从“云计算”演变而来的新名词。云安全就是基于云计算商业模式的安全软件、硬件、用户、机构安全云平台的总称。它通过对网络软件的行为进行监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

从发展的脉络分析，“云安全”相关的技术可以分两类：

• 一类为使用云计算服务提供防护，即使用云服务时的安全(security for using the cloud)，也称云计算安全(Cloud Computing Security),一般都是新的产品品类;
• 一类源于传统的安全托管(hosting)服务，即以云服务方式提供安全(security provided from the cloud)，也称安全即服务(Security-as-a-Service, SECaaS)，通常都有对应的传统安全软件或设备产品。

“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分，即以云服务方式为使用云计算服务提供防护。

云计算的三种服务模式

基于云计算的服务模式、部署模式和参与角色等三个维度，美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA，NIST Cloud Computing Security Reference Architecture)。

NIST云计算安全参考架构的三个构成维度：

• 云计算的三种服务模式：IaaS、PaaS、SaaS
• 云计算的四种部署模式：公有、私有、混合、社区
• 云计算的五种角色：提供者、消费者、代理者、承运者、审计者

云计算具有以下特点：

• 虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。
• 规模化整合。云里的资源非常庞大，在一个企业云可以有几十万甚至上百万台服务器，在一个小型的私有云中也可拥有几百台甚至上千台服务器。
• 高可靠性。云计算使用了多副本容错技术、计算节点同构可互换等措施来保障服务的高可靠性，使用云计算比使用本地计算机可靠。

云安全包含的风险

云服务因其总体架构、网络部署、运维服务具有相似性，面临着共性安全风险，以下从基础设施、网络部署、云上应用、运维服务四个方面进行安全风险分析。其中，基础设施是指为云上应用提供运行环境的软硬件及管理编排系统。

(1) 基础设施安全风险

主要包括：物理环境及设备安全风险、虚拟化安全风险、开源组件风险、配置与变更操作错误、带宽恶意占用、资源编排攻击。

(2) 网络部署安全风险

主要包括：数据泄露、身份和密钥管理、接入认证、跨数据中心的横向攻击、APT等新型攻击。

(3) 云上应用安全风险

主要包括：API接口安全、无服务器攻击、DOS攻击、跨租户/跨省横向攻击、跨工作负载攻击、云服务被滥用及违规使用、用户账号管理安全、核心网攻击。

(4) 运维服务安全风险

主要包括：管理接口攻击、管理员权限滥用、漏洞和补丁管理安全、安全策略管理。

云安全为什么那么重要？

1、云操作容易受到攻击

云服务器一般都会由专业的运维工程师去运维，但是在大多数开发小公司，是没有运维工程师的，这个时候一般都是开发人员自己去维护，这个时候就会缺乏基本的安全常识，比如防火墙相关的操作、应用不当的补丁、数据库设置等等，这些操作都会使得服务器遭到攻击。

2、共享资源会增加风险

在现在的开发中，一般都会有开发环境、测试环境、线上环境等，开发环境一般就是本地环境，有些公司的几个环境都会用同一套数据库和其他基础服务，这些资源都是共享资源，如何保证环境的隔离就成了大难题，资源的共享就增加了风险。

3、多云环境变得更加复杂

现在的公司一般不会只买一家云提供商的云产品，云产品例如有：云服务器、云存储、云直播、云计算等。

那么这种多云环境，怎么能保证数据安全呢？登录的凭据怎么保证通用呢？这就是云安全要施展拳脚的地方。

云安全工作原理

云安全的类型一般有四种：

1、身份和访问管理

授权身份访问云环境中的资源，不同身份的人有不同的角色，不同的角色有不同的权限。

2、数据丢失防护

对数据进行监控和检查来防止网络攻击者窃取数据。

3、加密

对传输的数据进行加密，让拦截者解密数据难度加大，从而保护我们的数据。

4、安全信息和事件管理

将安全日志分散在不同的环境中并进行实时分析，这样安全团队可以提高对云生态系统的可见性，减少云环境大量漏洞。

云安全和传统安全有什么区别？

一是网络边界不可见。云计算通过引入虚拟化技术，将物理资源池化，按需分配给用户，这里涉及到计算虚拟化、网络虚拟化、存储虚拟化。云服务商为用户提供虚拟化实体，对用户而言，以租用的形式使用虚拟主机、网络和存储，传统的网络边界不可见。在云计算中，传统的安全问题仍然存在，诸如拒绝服务攻击、中间人攻击、网络嗅探、端口扫描、SQL注入和跨站脚本攻击等。在传统信息系统中，通过在网络边界部署可实现安全的防护。但在云环境中，用户的资源通常是跨主机甚至是跨数据中心的部署，由物理主机之间的虚拟网络设备构成，传统的物理防御边界被打破，用户的安全边界模糊，因此需要针对云环境的复杂结构，进一步发展传统意义上的边界防御手段来适应云计算的安全性。

二是数据安全要求更高。云环境中的责任主体更加复杂，云服务商为租户提供云服务，不可避免会接触到用户数据，因此云服务商内部窃密是一个很重大的安全隐患。事实上，内部窃密可分为内部工作人员无意泄露内部特权信息或者有意和外部人员勾结窃取内部敏感信息两种。在云计算环境下，内部人员还包括云服务商的内部人员，也包括为云服务商提供第三方服务的厂商的内部人员，这也增加了内部威胁的复杂性。因此需要采用更严格的权限访问控制来限制不通级别内部用户的数据访问权限。

三是云环境中的责任主体更为复杂。在云环境下，数据存储在共享云基础设施之上，当用户数据的存储与数据维护工作都是由云服务商来完成时，就很难分清到底是谁拥有使用这些数据的权利并对这些数据负责。需要更明确的职责划分，更清晰的用户协议，更强的访问控制等多种手段来限制内部人员接触数据并尽可能与用户达成共识。

如何做好云计算安全

针对云计算安全，WAAP全站防护是基于风险管理和WAAP理念打造的安全方案，以“体系化主动安全” 取代安全产品的简单叠加，为各类Web、API业务等防御来自网络层和应用层的攻击，帮助企业全面提升Web安全水位和安全运营效率。全站防护的特性在于：

1.全周期风险管理

基于事前-事中-事后全流程，通过资产发现→策略布防→体系化运营，实现风险管理闭环

2.全方位防护

聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块，实现覆盖L3-L7层的全站防护

3.简化安全运营

统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛，大幅降低安全运营复杂度和人力成本

4.防护效果卓越

多模块数据联动，秒级识别低频DDoS、业务欺诈等隐藏恶意行为；主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁

体系化防护架构：引擎融合+风险闭环，并且拥有四大功能：云端部署、风险管理、全站防护以及安全运营。

一、云端部署

一键接入，无需改造现有架构，专家7*24小时在线支撑，实时解决问题

二、风险管理

在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险

1.漏洞扫描

通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

2.渗透测试

派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；

3.智能化防护策略

平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；

4.API资产盘点

基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

5.互联网暴露面资产发现

通过平台和人工服务的方式，对域名、IP及关键字的综合查询及关联分析，提供互联网资产的发现、识 别、监测、稽核等服务，帮助用户发现和梳理互联网资产；

三、全站防护

在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环

1.DDoS防护

秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；

2.CC防护

基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；

3.业务安全

针对业务层面，提供轻量化的信息防爬和场景化风控能力；

4.API安全

针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；

5.Web攻击防护

覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；

6.全站隔离

基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；

7.协同防护

通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

四、安全运营

在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环

1.全面的安全态势

聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；

2.持续优化的托管策略

结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；

3.安全专家运营

资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。

云安全是云计算环境中不可或缺的重要组成部分，它关系到数据的安全、业务的连续性和企业的合规性。随着技术的不断进步和需求的不断变化，云安全将不断发展和完善，为企业提供更高效、更智能的安全保障。因此，企业应高度重视云安全工作，加强安全投入，提高安全防护能力，确保云计算环境的安全稳定运行。