2015年，云計算已不再是什么新興技術(shù)。Gartner于8月份發(fā)布的2015年新興技術(shù)炒作周期報告中，云計算類目只剩下孤零零的“混合云”，即在Gartner的視野里，公有云、私有云等云計算形態(tài)，都已經(jīng)步入了“穩(wěn)定應(yīng)用期”，尤其是公有云，即使是最為保守的客戶，也已經(jīng)開始考慮將部分業(yè)務(wù)放置于公有云之上。IDC更是預(yù)計2015年全球公有云市場規(guī)模將達(dá)700億美元，而中國市場年均復(fù)合增長率將高達(dá)33.2%……但是，如火如荼的云遷移與云建設(shè)，是不是少了點兒什么動手之前就應(yīng)該注重分析的因素？

　　Bingo，你答對了！就是少了那項重中之重的安全因素——云安全。

　　小豆的云安全顧慮

　　2014，被認(rèn)為是“泄密年”。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2014年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報告》顯示，2014年中國通報的安全漏洞事件達(dá)9068起，較2013年增長3倍。這些不斷爆出的各類漏洞，不僅給網(wǎng)友財產(chǎn)和人身安全帶來巨大威脅，更讓中度或重度布設(shè)在公有云平臺上的企業(yè)隱含巨大品牌和運(yùn)營風(fēng)險。而步入2015，云安全事件更是接連不斷：宕機(jī)、斷網(wǎng)、泄數(shù)據(jù)……

　　這種種，在小豆，一個公有云上創(chuàng)業(yè)團(tuán)隊技術(shù)負(fù)責(zé)人的眼里，都是讓他心有余悸的。雖然這些安全問題已在IT內(nèi)部存在多年，但是云，以及那種人們對于數(shù)據(jù)一旦放到防火墻外將失去控制的恐懼，再次凸顯了這些問題。

　　顧慮起因

　　大概三四年前，小豆團(tuán)隊為了快速建立業(yè)務(wù)能力，便把全部業(yè)務(wù)放置在公有云之上，算是比較早期的重度公有云用戶。在創(chuàng)業(yè)初期，公有云為小豆團(tuán)隊帶來了不少便利，同時也帶來了一些困擾。印象最深刻的是某天半夜小豆收到的兩封重要通知郵件：

　　“尊敬的用戶，經(jīng)檢測您的主機(jī)xxx存在惡意掃描，請您務(wù)必在12小時內(nèi)處理，逾期未處理將關(guān)停主機(jī)。關(guān)停后必須重置全盤恢復(fù)初始狀態(tài)才能解封，請您務(wù)必重視。感謝您的配合。”?

　　“尊敬的用戶您好: 經(jīng)查詢您的云服務(wù)器xxx存在破壞或試圖破壞網(wǎng)絡(luò)安全的行為，懷疑已被肉雞。為了不影響您的服務(wù)， 請參考以下處理方案xxx進(jìn)行操作， 12小時內(nèi)未及時處理將導(dǎo)致云服務(wù)器關(guān)停。”

　　看到郵件說如果不及時處理就會被重置系統(tǒng)，小豆趕緊爬起來，先備份數(shù)據(jù)，把業(yè)務(wù)系統(tǒng)遷移到其他云服務(wù)器上，再排查是哪里出了問題。原來，云服務(wù)器默認(rèn)都是使用密碼進(jìn)行登錄驗證，并且默認(rèn)開放root用戶的登錄權(quán)限，這種不安全的方式被忙碌的小豆他們忽略了。小豆他們本應(yīng)像一般用戶一樣，申請云服務(wù)器后，將登錄方式修改為密鑰驗證，并關(guān)掉root用戶的登錄權(quán)限。但由于非常忙，未及時修改，竟然致使密碼被暴力破解，云服務(wù)器被掛了木馬，成了肉雞。

　　由于擔(dān)心木馬流竄到內(nèi)網(wǎng)其他系統(tǒng)上去，小豆趕緊叫上同事一起排查手上全部的云服務(wù)器，忙到第二天晚上，才算告一段落。事后小豆他們吸取教訓(xùn)，加強(qiáng)了安全建設(shè)，花了幾周的時間重新規(guī)劃了業(yè)務(wù)系統(tǒng)，梳理了一套安全規(guī)范，不單硬性規(guī)定所有云服務(wù)器必須使用密鑰認(rèn)證，關(guān)閉root用戶登錄權(quán)限，而且會不定期的更新密鑰，重要的系統(tǒng)禁止遠(yuǎn)程登錄到shell，只能登錄到特定的菜單執(zhí)行預(yù)定義的幾個操作，核心系統(tǒng)更是使用了敲門端口（服務(wù)器默認(rèn)關(guān)閉所有端口，只有在按一定順序和次數(shù)訪問特定的端口序列的時候，才會打開端口進(jìn)行key認(rèn)證，而且端口序列也會定期更新，據(jù)說這是密碼學(xué)里已知最安全的加密方法）。小豆他們開發(fā)了一套安全加固腳本，所有新申請的云服務(wù)器都要運(yùn)行這個腳本完成上述的安全設(shè)置，還專門開發(fā)了一套用做密鑰管理和發(fā)放、菜單和端口序列生成的小系統(tǒng)。在此之后的很長一段時間，小豆他們的系統(tǒng)再也沒出現(xiàn)過類似的安全事件。

　　小豆說：“如果云平臺能預(yù)制這樣一套系統(tǒng)就好了。雖然沒有及時修改認(rèn)證方式，是我們工作的疏忽，怪不得云平臺，但是用公有云不就是圖個方便，如果云平臺能預(yù)制這樣一套系統(tǒng)，那用起來多省心�；蛘咴破脚_在發(fā)現(xiàn)云服務(wù)器有異常行為的時候，能夠?qū)⒃品��?wù)器的網(wǎng)絡(luò)隔離掉，避免進(jìn)一步的破壞，也是個可以接受的處理方式。簡單粗暴的讓用戶限期整改，逾期就重置系統(tǒng)，這樣真是不太合適。”

　　尋找云安全解決方案

　　目前公有云在DDoS防護(hù)、防DNS劫持檢測、網(wǎng)站安全防護(hù)上已經(jīng)做了很多工作，也做了異地登錄告警、異常行為檢測、常見配置錯誤檢查等實用小功能，但是云平臺的安全，和傳統(tǒng)的數(shù)據(jù)中心有很大的不同，這些功能還遠(yuǎn)不足以解決云平臺的安全問題。

　　除了常見的外網(wǎng)攻擊，云平臺因為多個租戶共享同一組資源，物理上的可信邊界被打破，威脅也可能來自相鄰的租戶，傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)技術(shù)已經(jīng)難以應(yīng)對，一旦外網(wǎng)的安全邊界被突破（如云盾），整個云平臺都可能會被直搗黃龍。所以近幾年興起了所謂的縱深防御技術(shù)，意圖在多個層面解決云平臺的安全問題。今年Google更是啟動了BeyondCorp計劃，目的是取消內(nèi)外網(wǎng)之別，不再依賴外圍防火墻等安全設(shè)備的保護(hù)，就是因為一旦外圍防護(hù)的某一個點被突破，內(nèi)網(wǎng)就很可能變得和外網(wǎng)一樣危險，而現(xiàn)代企業(yè)越來越多的采用移動技術(shù)和云技術(shù)，內(nèi)外網(wǎng)的邊界越來越模糊，所以不如一視同仁，不再區(qū)分內(nèi)外網(wǎng)，而是用一致的安全技術(shù)去對待整個網(wǎng)絡(luò)里的每一臺主機(jī)。

　　普元的云安全解決方案

　　那么云平臺的安全問題，該如何解決呢？答案是：安全問題永遠(yuǎn)是“魔高一尺、道高一丈”，只能改善，無法一勞永逸的徹底解決，但是接入認(rèn)證方面的改進(jìn)，應(yīng)該是解決安全問題時投入產(chǎn)出比較高的一個途徑。云平臺上的業(yè)務(wù)系統(tǒng)建設(shè)，應(yīng)該嚴(yán)格控制客戶端或瀏覽器到業(yè)務(wù)系統(tǒng)的認(rèn)證關(guān)系，并強(qiáng)化業(yè)務(wù)系統(tǒng)之間的訪問認(rèn)證，所有的客戶端或瀏覽器訪問，都應(yīng)該經(jīng)過統(tǒng)一的認(rèn)證服務(wù)器、通過證書進(jìn)行驗證，訪問權(quán)限通過策略引擎統(tǒng)一管理，不同用戶在不同的時間和位置、通過不同的設(shè)備、訪問不同的資源，所擁有的權(quán)限應(yīng)該有所差異，而不是基于傳統(tǒng)的靜態(tài)權(quán)限配置，業(yè)務(wù)系統(tǒng)之間也應(yīng)該采用類似的安全策略。本質(zhì)上是信任關(guān)系從網(wǎng)絡(luò)層面下降到設(shè)備和系統(tǒng)層面，不再依賴外圍的網(wǎng)絡(luò)防護(hù)，總體思路和Google的BeyondCorp計劃類似。

　　多年來，國內(nèi)領(lǐng)先的軟件基礎(chǔ)平臺與解決方案提供商普元在幫助客戶建設(shè)私有云的同時，還提供基于公有云的企業(yè)應(yīng)用平臺 EOS Cloud，通過EOS Cloud，私有云和公有云可以得到連通，從而形成混合云，而在所有的云計算解決方案之中，都貫徹了普元的云安全理念，為企業(yè)應(yīng)用提供良好的安全基礎(chǔ)服務(wù)，為云平臺上的所有系統(tǒng)提供統(tǒng)一的安全策略，管理好每一個業(yè)務(wù)系統(tǒng)、每一個云服務(wù)器的入口，在最大程度上杜絕安全事故的發(fā)生。

　　近期，普元還推出了《建立安全可靠、高效智能的云數(shù)據(jù)中心》這一云計算白皮書，通過多年公有云、私有云、混合云成功實施經(jīng)驗，跨越災(zāi)備云、社區(qū)云、電商云等多領(lǐng)域，對企業(yè)如何建立安全可靠、高效智能的云數(shù)據(jù)中心給出建議。經(jīng)過一系列實踐與總結(jié)，圍繞業(yè)務(wù)、流程、技術(shù)相輔相成的建設(shè)思路，普元總結(jié)出“五級規(guī)劃和八大流程”兩個維度來幫助企業(yè)推進(jìn)云數(shù)據(jù)中心建設(shè)，形成最終安全可靠的云數(shù)據(jù)中心邏輯架構(gòu)。

　　另據(jù)了解，在云安全層面，OASIS（結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織）還專門成立了云身份技術(shù)委員會（IDCloud TC）以解決由云計算身份管理帶來的安全挑戰(zhàn)，這里的“身份”，不僅僅是“人”的身份，也應(yīng)該是“設(shè)備”和“系統(tǒng)”的身份。普元多位云技術(shù)專家擔(dān)任該委員會核心成員。