2015年，网易大面积服务器瘫痪，支付宝光缆事故，携程网出现业务故障，艺龙网遭受DDoS攻击等事件使网络安全受到前所未有的关注。

云计算的落地和移动设备的普及向信息安全提出了新的挑战，产生了在新的IT环境下的新问题，例如公用云数据安全、专用云防御等。360云事业部产品总监张晓兵表示，随着公有云的发展，安全防护的重要性更加明显，一旦云平台遭受攻击，将影响更多企业。

根据防火墙操作管理软件公司AlgoSec的调查数据显示，受访者中，约有66%的企业称其目前正在部署或计划未来1-3年内在云平台上部署业务应用程序。但是，这些企业对云安全的了解却存在很多不足，其中超过30%的企业计划未来部署云业务应用，但却不清楚该如何管理其云环境的网络安全策略。

正视云安全差异

记者了解到，许多传统用户对于云安全存在一些错误的认知。例如，希望依靠传统安全工具或靠物理隔离的方法来进行隔离防护，希望能从及时得到漏洞通知信息来服务，认为进行运维外包就能够确保工程系统的安全，或指望云提供商具有集中的管理系统等。

中国联通云计算公司专家表示，对于云环境，传统的安全问题依然存在，同时虚拟化管理系统、云平台管理系统等云平台相关系统的出现，更加导致在这些平台上的安全手段目前还处在非常初级阶段。

IDC分析师王培在接受《通信产业报》(网)记者采访时表示，目前看来，中小企业或者非关键性业务倾向采用安全即服务的模式，而大企业，特别是金融、电信等行业的客户，他们更倾向于自建安全防护体系来保护云业。

技术继承与创新

云安全可以更智能务的安全。

对于不同模式的云服务平台，面临的安全问题有所不同。对于SaaS模式，数据安全、应用安全与身份认证是主要问题;对于PaaS模式，数据与计算的可用性、数据安全与灾难恢复等需求更加突出。IaaS模式是云安全面临威胁最严峻的，其平台建设过程涉及到的数据中心建设、物理安全、网络安全、传输安全与业务系统安全等多方面的防护需求使得IaaS云安全防护需要引入多个层面的防护手段，并需要更加严谨的框架与标准的保障。

事实上，云安全的标准和框架已经逐渐形成，北京中油瑞飞信息技术有限公司信息安全专家黄晟在“云计算安全论坛”发言中介绍，CSA和NIST都已经提出了较为完备的云安全框架，但是如何在实际的云计算环境中全面落实，一直是信息安全从业人员面对的挑战。

继承传统防护手段

云计算平台本质上来说就是一个复杂的信息系统，特别是虚拟化管理与云管理系统采用通用软件和现有技术开发，最终也部署在传统硬件平台之上，依然受到传统软硬件技术生态圈的影响。

因此，黄晟表示，传统攻击手段依然具有威胁性，还是需要依靠传统防护手段作为私有云安全防护的基础。

虽然在云计算环境中，传统的防火墙不再出现，但是其防护功能仍需实现，在云服务中必须要打造传统用户所需要的安全性功能。

例如针对网站最常见的入侵行为，从部署最基本的防DDoS攻击、端口安全检测、Web漏洞检测、木马检测等主要功能，到利用漏洞管理、质量保证、软件的安全性审查、审计和外部审计等工具进行安全威胁检查，以及建立安全事件管理等平台辅助制定安全策略。其中的技术手段与传统安全防护没有本质上的区别。

针对云架构升级

在满足传统防护需求的基础上，针对虚拟化和云架构带来的特殊问题，防护技术需要进一步扩展和升级。阿里云安全部安全专家沈锡镛表示，具备低成本、高精度、大规模的安全防御架构，具备完善的数据安全保护能力的云平台才能满足用户的需求。

除了在云平台建设的过程中实施基础安全防护措施，综合采用现有成熟的安全防护手段，还要面向主流的云技术体系，有效应对面向云计算平台底层的主要云安全威胁，才能为云平台的用户系统实现不低于传统物理机模式的安全保障。

那么，云计算服务安全的关键点在哪些方面?来自西交利物浦大学的信息安全专家接受采访时介绍，从主要云技术体系的层级来看，云服务存在五大安全关键点。在数据中心层面，关键在于备份与容灾，以及网络层面的防黑客入侵;在虚拟化平台层面，关键在于云平台的内部安全监控、管理行为审计、阻止虚拟机用户“外泄”与上浮;在IaaS层面，虚拟机间的“溢出”监控与阻断是主要问题;在PaaS层面，要关注虚拟机间的安全监控与用户行为审计，以及病毒过滤;在用户流量控制方面，则要重视双向的身份鉴别、传输加密等问题。

分层实施防护措施

面对如此庞大的安全体系和需求，必须在设计和建设时注重调整云网络拓扑与部署架构，依托网络纵深，设计多道防线，构建一个由多个核心组件组成的多层次安全策略来支持海量云服务和产品。

专家指出，可以从边界防护、基础防护、增强防护以及云化防护四个方面，分阶段提升云平台的安全防护能力。

边界防护是私有云安全防护的底线，与基础防护能力一起都应和私有云建设过程中同步开展，需要建立多层防御，以帮助保护网络边界面临的外部攻击。以阿里云为例，首先，严格控制网络流量和边界，使用行业标准的防火墙和ACL技术对网络进行强制隔离，辅以网络防火墙和ACL策略的管理，包括变更管理、同行业审计和自动测试等。其次，使用个人授权限制设备对网络的访问，通过自定义的前端服务器定向所有外部流量的路由，帮助检测和禁止恶意的请求，并建立内部流量汇聚点,帮助更好的监控。多个组件构成其完整的网络安全策略。

随着面向虚拟化和云计算的安全技术逐渐成熟，增强完善云安全服务，并面向SaaS等更复杂的云计算模式，引入云安全访问代理等新技术，结合业务实现防护。对此，黄晟给出了多方面具体建议，例如注重操作系统加固技术在云底层平台的应用，特别是通过安全手段固化底层行为;构建“安全数据平面”，收集多样化的安全信息数据，结合大数据流式分析技术，对云平台进行全面地持续监控;或可基于SDN技术构建“流网络平台”，提升“东西向”的隔离颗粒度与强度, 以及加强云内流量监控;面向业务操作与业务数据建立云安全代理机制等。

纵深安全运维

在虚拟化环境中，越来越多的开源软件或开源组件得到应用，云技术体系的生态安全也应纳入考虑之中。企业不仅需要考虑如何使用云服务，还必须考虑并落实云建设和运维牵涉到的所有细节。特别是考虑到开源软件漏洞生命周期特点，需要有针对性地实现安全运维覆盖。

在运维过程中，云监控与云审计是有效手段。通过建立专门的管理团队，制定预警应急、分析评估、安全审计、测试认证、使用监控等手段，结合使用情况及安全情报信息，及早发布预警，整体评估架构的安全性和可控性，跟踪了解云平台的安全动态，进一步保障防护的及时性和全面性。