一個管理不善和配置糟糕的私有云應(yīng)用程序會非常容易受到攻擊，而一個管理妥當?shù)暮团渲煤细竦墓苍茟?yīng)用程序卻能夠達到很好的安全性。把這種情況描繪成非黑即白地簡單化，會危害云環(huán)境的正常發(fā)展。

HyperStratus咨詢公司首席執(zhí)行官伯納德·戈爾登（Bernard Golden）撰文指出，一個接一個的調(diào)查表明，對于公有云計算，安全是潛在用戶最擔心的問題。例如，2010年4月的一項調(diào)查指出，45%的以上的受訪者認為云計算帶來的風險超過了收益。CA和Ponemon Institute進行的一項調(diào)查也發(fā)現(xiàn)了用戶有此類擔心。但是，他們還發(fā)現(xiàn)，盡管用戶存在這種疑問，云應(yīng)用還是在部署著。類似調(diào)查和結(jié)果的持續(xù)發(fā)布表明人們對云計算安全的不信任繼續(xù)存在著。

不可否認，大多數(shù)對云計算安全的擔心都與公有云計算有關(guān)。全球IT從業(yè)者不斷地對使用一個公有云服務(wù)提供商提出同樣的問題。例如，戈爾登近期去了臺灣并且在臺灣云SIG會議上發(fā)表了演講。有250人參加了這個會議。正如預料的那樣，人們向他提出的第一個問題是“公有云計算環(huán)境足夠安全嗎，我是否應(yīng)該使用私有云以避免安全問題？”所有的人似乎都認為公有云服務(wù)提供商是不可信賴的。

然而，把云安全的討論歸結(jié)為“公有云不安全，私有云安全”的公式似乎過于簡單化。簡單地說，這個觀點存在兩個大謊言（或者說是兩個基本的誤會）。主要原因是這種新的計算模式迫使安全產(chǎn)品和方法發(fā)生了巨大變化。

第一個云安全謊言：私有云很安全

第一個謊言是私有云是安全的。這個結(jié)論的依據(jù)僅僅是私有云的定義：私有云是在企業(yè)自己的數(shù)據(jù)中心邊界范圍內(nèi)部署的。這個誤解產(chǎn)生于這樣一個事實：云計算包含與傳統(tǒng)的計算不同的兩個關(guān)鍵區(qū)別：虛擬化和動態(tài)性。

第一個區(qū)別是，云計算的技術(shù)基礎(chǔ)建立在一個應(yīng)用的管理程序的基礎(chǔ)上。管理程序能夠把計算（及其相關(guān)的安全威脅）與傳統(tǒng)的安全工具隔離開，檢查網(wǎng)絡(luò)通訊中不適當?shù)幕蛘邜阂獾臄?shù)據(jù)包。由于在同一臺服務(wù)器中的虛擬機能夠完全通過管理程序中的通信進行溝通，數(shù)據(jù)包能夠從一個虛擬機發(fā)送到另一個虛擬機，不必經(jīng)過物理網(wǎng)絡(luò)。而一般安裝的安全設(shè)備通常會在物理網(wǎng)絡(luò)檢查通訊流量。

至關(guān)重要的是，這意味著如果一個虛擬機被攻破，它能夠把危險的通信發(fā)送到另一個虛擬機，傳統(tǒng)的防護措施甚至都不會察覺。換句話說，一個不安全的應(yīng)用程序能夠造成對其他虛擬機的攻擊，用戶采用的安全措施對此卻無能為力。僅僅因為一個用戶的應(yīng)用程序位于私有云并不能確保這個應(yīng)用程序不會出現(xiàn)安全問題。

當然，人們也許會指出，這個問題是與虛擬化一起出現(xiàn)的，沒有涉及到云計算的任何方面。這個觀點是正確的。云計算代表了虛擬化與自動化的結(jié)合。它是導致私有云出現(xiàn)另一個安全缺陷的第二個因素。

云計算應(yīng)用程序得益于自動化以實現(xiàn)靈活性和彈性，能夠通過快速遷移虛擬機和啟動額外的虛擬機來管理不斷變化的流量負載類型，并對不斷變化的應(yīng)用狀況做出回應(yīng)。這意味著新的實例在幾分鐘之內(nèi)就可以上線，不需要任何人工干預。這也意味著任何必要的軟件安裝或者配置也必須實現(xiàn)自動化。這樣，當新的實例加入現(xiàn)有的應(yīng)用程序池的時候，它能夠立即作為一個資源被其他應(yīng)用使用。

同樣，它還意味著任何必須的安全軟件必須自動化地進行安裝和配置，不能有人工干預。遺憾的是，目前許多機構(gòu)還必須依靠安全人員或者系統(tǒng)管理員人工安裝和配置必要的安全組件，而且這通常是作為這臺機器的其它軟件組件安裝和配置完畢之后的第二個步驟。

換句話說，許多機構(gòu)在安全措施實踐與云要求的現(xiàn)實方面是不匹配的。現(xiàn)在可以認為私有云本身是安全的這個觀點是不正確的。在用戶的安全和基礎(chǔ)設(shè)施實踐與自動化的實例一致之前，肯定會產(chǎn)生安全漏洞。

而且，使它們一致是非常重要的。否則，可能出現(xiàn)這種情況：用戶的應(yīng)用程序自動化超過了安全實踐的應(yīng)對能力。這不是一個好現(xiàn)象。毫無疑問，人們不想面對為什么好像安全的私有云最終還是有安全漏洞，因為云計算的自動化特征還沒有擴展到軟件基礎(chǔ)設(shè)施的所有方面。

因此，關(guān)于云計算的第一個大謊言的結(jié)果是：私有云本身就是不安全的。#p#副標題#e#

第二個云安全謊言：公有云很不安全

關(guān)于云計算安全的第二個謊言是對公有云安全的假設(shè)，特別是錯誤的認為公有云計算的安全完全取決于云服務(wù)提供商。現(xiàn)實是，服務(wù)提供商領(lǐng)域的安全是提供商與用戶共同承擔的責任。服務(wù)提供商負責基礎(chǔ)設(shè)施的安全以及應(yīng)用程序與托管環(huán)境之間接口的安全；用戶負責接入環(huán)境接口的安全，更重要的是負責應(yīng)用程序本身的內(nèi)部安全。

沒有正確地配置應(yīng)用程序，如環(huán)境安全接口，或者沒有采取適當?shù)膽?yīng)用程序級安全預防措施，會使用戶產(chǎn)生一些問題。任何提供商也許都不會對這種來自用戶應(yīng)用程序內(nèi)部的安全問題承擔責任。

讓筆者提供一個例子。與我們合作的一家公司把自己核心的應(yīng)用程序放在亞馬遜的Web服務(wù)中。遺憾的是這家公司既沒有針對亞馬遜Web服務(wù)安全機制可能存在的漏洞部署安全措施，也沒有針對應(yīng)用程序設(shè)計的問題采取安全防御措施。

實際上，亞馬遜提供了一個虛擬機級別的防火墻（稱作安全組）。人們配置這個防火墻以允許數(shù)據(jù)包訪問具體的端口。與安全組有關(guān)的最佳做法是對它們進行分區(qū)，這樣，就會為每一個虛擬機提供非常精細的訪問端口。這將保證只有適用于那種機器類型的通信流量才能夠訪問一個實例。例如，一臺Web服務(wù)器虛擬機經(jīng)過配置允許端口80上的通信訪問這個實例，同時，數(shù)據(jù)庫虛擬機經(jīng)過配置允許端口80上的通信訪問這個實例。這就阻止了來自外部的利用web通信對包含重要應(yīng)用程序數(shù)據(jù)的數(shù)據(jù)庫實例的攻擊。

要建立一個安全的應(yīng)用程序，人們必須正確地使用安全組。但下述這個用戶沒有這樣做。它對于訪問所有實例的通信都使用一個安全組。這意味著訪問任何實例的任何類型的通信都可以訪問每一種類型的實例。這顯然是沒有正確使用亞馬遜Web服務(wù)安全機制的一個例子。

關(guān)于用戶的應(yīng)用程序本身，它也采用了很糟糕的安全措施。它沒有在不同類型的機器之中對應(yīng)用程序代碼進行分區(qū)，而是把所有的應(yīng)用程序代碼都裝載到同一個實例中。這個實例可以接收來自其企業(yè)網(wǎng)站的通信流量，以及包含專有算法的代碼。

這種情況的關(guān)鍵事實是：如果這個用戶以為所有的安全責任都由云服務(wù)提供商來承擔（在這個案例中是亞馬遜Web服務(wù)），這將是一個嚴重的疏忽，因為用戶本身沒有采取重要的步驟來解決安全問題，而這個安全問題是任何一個云服務(wù)提供商都不會承擔相關(guān)責任的。這就是共同承擔責任的意義——雙方必須建立自己控制的安全范疇。如果沒有這樣做，就意味著應(yīng)用程序是不安全的。即使云服務(wù)提供商在自己控制的范圍內(nèi)所做的一切都是正確而且完善的，若是這個應(yīng)用程序的所有者沒有正確地履行自己的責任，這個應(yīng)用程序也將會變得不安全。

戈爾登稱，我曾經(jīng)見過許多安全人員討論有關(guān)公有云服務(wù)提供商的問題。他們拒絕承擔自己的公司在公有云環(huán)境中應(yīng)該承擔的責任，堅持把每一個安全問題轉(zhuǎn)向?qū)υ品?wù)提供商的擔心。

坦率地說，這使我感到他們的想法很輕率。因為這暗示著他們拒絕認真地做一些必要的工作以便創(chuàng)建一個基于公有云服務(wù)提供商的盡可能安全的應(yīng)用程序。這個態(tài)度顯示，好像所有的安全責任都在云服務(wù)提供商身上，再進一步發(fā)展就是認為他的公司與在公有云服務(wù)提供商環(huán)境中運行的應(yīng)用程序的任何安全事故都無關(guān)。因此，以下這種論點并不讓人感到意外：有關(guān)人士堅決支持私有云，聲稱私有云與公有云相比有優(yōu)越的安全性。

現(xiàn)實情況是，用戶正在越來越多地在公有云服務(wù)提供商環(huán)境中部署應(yīng)用程序。安全組織保證自己采取一切可能的步驟盡可能安全地執(zhí)行應(yīng)用程序是非常重要的。這意味著用戶本身也需要在這方面采取些相關(guān)的措施。

因此，安全是云計算的第三條軌道。安全一直被說成是私有云固有的好處和公有云計算的基本缺陷。實際上，事實比這些情況暗示的還要模糊不清。斷言公有云環(huán)境有安全缺陷，不認真考慮如何緩解這些不安全因素，是不很負責任的說法。

一個管理不善和配置糟糕的私有云應(yīng)用程序是同樣會非常容易受到攻擊。而一個管理妥當?shù)暮团渲煤细竦墓苍茟?yīng)用程序卻能夠達到很好的安全性。把這種情況描繪成非黑即白地簡單化，會危害云環(huán)境的正常發(fā)展。

在如何選擇兩種不同的云環(huán)境時，更有建設(shè)性的做法是詢問必須采取什么行動才能實現(xiàn)在時間、預算和容許風險的條件下盡可能保證應(yīng)用程序安全的目標。考慮到一個具體的環(huán)境和應(yīng)用，安全從來不是一個或黑或白的簡單問題，而是如何盡可能地將兩種云計算類型所面臨的安全灰色地帶如何照亮的問題。如果沒有意識到上述觀點，對于如何保證一個企業(yè)的基礎(chǔ)設(shè)施建設(shè)盡可能提高效率和節(jié)約成本來說沒有一點好處。

編看編想：云計算火熱中的冷靜

自云計算的概念提出以來，有關(guān)云計算的安全問題一直是被關(guān)注的重點。雖然說最近兩年云計算的產(chǎn)品不斷充斥著整個市場，但是用戶也不應(yīng)該被包裹著云計算外衣的形形色色的產(chǎn)品沖昏了頭。這些產(chǎn)品是真的實現(xiàn)了云計算嗎？其實，在記者看來，云計算還沒有像表面上顯示的已經(jīng)成熟到了產(chǎn)品化的程度。它的安全問題一直還未完美解決。

無論是公有云和私有云，自動化是其最先要實現(xiàn)的目標之一。而現(xiàn)實情況卻是，安全設(shè)備的安裝還得依靠人工的干預。另外，虛擬化帶來的安全問題也只是才剛剛起步，至少目前來看，虛擬環(huán)境中的安全與傳統(tǒng)物理環(huán)境中的安全措施相比，還有很大一截需要追趕。所以，想要遷移至云計算環(huán)境中的用戶，請擦亮自己的眼睛，詳細了解用戶與云計算供應(yīng)商所要承擔的安全責任，因為安全的云計算環(huán)境是需要用戶與供應(yīng)商共同來維護的。