雲計算是“雙刃劍” 補足安全短板是關鍵

雲計算變革著傳統IT的交付流程，彈性靈活的資源配置為企業業務部署提供了更多可能。儘管虛擬化技術充分發揮了資料中心的硬體性能，利用不斷擴展的計算資源打破了固有界限，但資料在遷移、應用、運維的過程中，仍然面臨著安全問題，核心訴求就是對隱私性、完整性、可用性的保護。此時，雲安全閘道服務商（CSG）出現了，他們要做的就是在雲環境中的資料分析和任務監控等方面發揮作用。

雲計算是“雙刃劍” 補足安全短板是關鍵

通常來說，雲安全可以通過網狀的大量用戶端對網路軟體行為進行異常監測，獲取互聯網中木馬、惡意程式的最新資訊，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個用戶端。不過，隨著開放網路和業務共用場景愈發多變，新型的攻擊方式也是不斷湧現。多雲供應、資源虛擬化、資料所有權分離等問題難以從根本上解決，更不用說雲服務中包含了很多軟體應用，更是暴露出潛在風險。

可以說，共用技術、協定相容、開放的程式介面…這些所謂的“雲優勢”已變為雙刃劍。如果在當前安全管理技術的基礎上，根據雲業務及應用的特點，將成熟的方案拓展到雲環境，或許會有更好的效果。前文提到，虛擬化讓多用戶共用資源成為可能，但傳統策略更多的適用於物理主機、磁碟陣列，難以照顧到虛擬機器、虛擬網路等環境。另一方面，虛擬化共用磁片和記憶體的工作方式也帶來了資料洩露的隱憂，被攻擊物件甚至包括虛擬化管理軟體。

此外，通過網路提供的雲計算服務涉及了海量資料，潛在風險可能會發生在生成、傳輸、存儲、處理等各個環節。如果資料上傳到雲端，意味著使用者對資料所有權的控制權削弱，而由於資料資源過度集中，一旦出現服務異常將帶來巨大的資產損失。

工信部印發的《雲計算發展三年行動計畫（2017-2019年）》中強調，高度重視雲計算應用和服務發展帶來的網路安全問題與挑戰，結合雲計算發展特點，進一步提升網路安全技術保障能力，制定完善安全管理制度標準，形成健全的安全防護體系，落實企業安全責任。這表明，雲計算安全防護的管理和標準，以及應急預警等方面的預先防範，正進入全面落實階段。

對於雲安全閘道服務商或者風控人士來說，要想在雲安全領域分得一杯羹，或許可以從五個方面找到方法。第一，對異常資料或欺詐活動進行監測和攔截。一般來說，客戶代表對客戶資訊的訪問在單位時間內有數值波動不大，如果突然出現爆發式的訪問或下載記錄，說活動非常可疑。此時，CSG解決方案提供商必須準備必要的檢測和通知機制。

第二，檢測和防禦固然重要，但相關人員更要知道“5W1H”，並為此做出視覺化的深度分析報告。這樣一來，未經驗證的雲程式可以提升其被預測性，在企業雲遷移時加強安全風控。第三，線上工作平臺的流行加速了惡意軟體的傳播，使用者在上傳、分享、下載檔案的過程中很難察覺到位於雲存儲系統的外掛程式，為駭客訪問敏感性資料創造了便利條件。因此，CSG有必要在識別、隔離、消除惡意軟體方面多下功夫。

第四，保護好使用者的機密資訊。資料洩露並非都是源於駭客竊取，一些不謹慎的員工在不經意間會將企業資料丟失，其中涉及個人資訊或者智慧財產權方面的檔。通常情況下，傳統預防措施（如DLP,Data leakage prevention）難以顧及雲應用與平臺之間資料移轉，使得CSG需要提供專門的雲端DLP覆蓋能力。

第五，對結構化和非結構化資料加密。為資料“上鎖”的必要性在於，加大駭客售賣資訊的難度，從而降低竊取動機。事實上，企業主更喜歡採用協力廠商CSG的存儲和管理金鑰，並通過雲平臺自帶的加密功能進行過濾和防護。從某種程度上來說，這種外包的方式會帶來額外的時間和經濟成本，因此企業內部有能力解決往往更好。

總的來說，企業提升雲安全性除了選擇優質的CSG，還可以在私有雲部署、風控評估、網路安全標準等方面進行補足。這一方面，工信部正在推行公有雲定級備案、雲網路安全防護檢查的實施，逐步建立雲安全評估認證體系。此外，在安全互信的雲計算產業發展過程中，獨立機構扮演的角色也愈發重要，只有廠商、雲服務商、獨立安全機構三者相互配合，才能構建出更安全的雲計算環境。