云安全相关技术介绍

主要内容：

•从发展的脉络分析，“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类；

•介绍5大类24种云安全相关技术及其客户收益和使用建议，并从技术成熟度和市场成熟度两方面进行了评估；

•分析企业使用云服务的场景，指出了国内云安全技术和市场的现状和差异及其原因；

并对未来的发展进行了推测和预判；

•集中介绍云安全相关的各种法规、标准和认证

概述

随着云计算逐渐成为主流，云安全也获得了越来越多的关注，传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是，与有清晰定义的“云计算”（NIST SP 800-145和ISO/IEC 17788）不同，业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

从发展的脉络分析，“云安全”相关的技术可以分两类：一类为使用云计算服务提供防护，即使用云服务时的安全（security for using the cloud），也称云计算安全（Cloud Computing Security）,一般都是新的产品品类；另一类源于传统的安全托管（hosting）服务，即以云服务方式提供安全（security provided from the cloud），也称安全即服务（Security-as-a-Service, SECaaS），通常都有对应的传统安全软件或设备产品。

云安全技术分类

“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分，即以云服务方式为使用云计算服务提供防护。

云计算安全

基于云计算的服务模式、部署模式和参与角色等三个维度，美国国家标准技术研究院（NIST）云计算安全工作组在2013年5月发布的《云计算安全参考架构（草案）》给出了云计算安全参考架构（NCC-SRA，NIST Cloud Computing Security Reference Architecture）。

NIST云计算安全参考架构的三个构成维度：

•云计算的三种服务模式：IaaS、PaaS、SaaS

•云计算的四种部署模式：公有、私有、混合、社区

•云计算的五种角色：提供者、消费者、代理者、承运者、审计者

NIST云计算安全参考架构

作为云服务的使用者，企业需要关注的以下几个子项的安全：

•管理对云的使用

•配置：调配各种云资源，满足业务和合规要求

•可移植性和兼容性：确保企业数据和应用在必要时安全地迁移到其他云系统生态

•商务支持：与云服务提供商的各种商务合作和协调

•组织支持：确保企业内部的策略和流程支持对云资源的管理和使用•云生态系统统筹

•支持云服务提供商对计算资源的调度和管理

•功能层

•包括网络、服务器、存储、操作系统、环境设置、应用功能等，不同服务模式下企业能够控制的范围不同

使用不同模式的云服务（IaaS、PaaS或SaaS）时，企业对资源的控制范围不同，有不同的安全责任边界，因此需要明确自己的责任边界，适当部署对应的安全措施。根据国家标准 GB/T 31167-2014《信息安全技术-云计算服务安全指南》规定，企业用户的控制范围主要在于虚拟化计算资源、软件平台和应用软件。

GB/T 31167-2014服务模式与控制范围的关系

具体的责任分配可参考微软《云计算中的共担责任》中的说明，如下图。

不同云服务模式的共担责任

安全即服务

传统上，有些企业会选择安全代管服务（Managed Security Service，MSS），将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商（Managed Security Service Provider，MSSP），以减轻企业IT和安全部门在信息安全方面的压力。随着技术和网络的发展，部分专业安全厂商开始采取类似的策略，不再向客户出售独立的安全软件和设备，而是

直接通过网络为企业提供相应的安全托管服务（hosted security service）：企业只需要负责配置和管理自身的安全策略和规则等工作，而不用涉及软硬件的安装和升级维护等。

在云计算技术逐渐成熟以后，安全托管服务即由厂商通过云服务平台提供；同时，也出现了一些直接通过云服务提供的其他安全技术和产品，统称安全即服务。按照云安全联盟（CSA，Cloud Security Alliance）发布的《云计算关键领域安全指南》（第四版，2017年7月）中介绍，SECaaS共有12类：

•身份，授权和访问管理服务

•云访问安全代理

•Web安全

•Email安全

•安全评估

•Web应用防火墙

•入侵检测/防御

•安全信息和事件管理（SIEM）

•加密和密钥管理

•业务连续性和灾难恢复（BC/DR）

•安全管理

•分布式拒绝服务保护

与传统安全产品相比，SECaaS产品有诸多优势：

•快速部署，即买即用。企业不需要采购软件和硬件，在获得相应安全服务的授权后，经过简单配置即可使用。

•自动升级，免于维护。云端服务永远处于最新状态，企业不需要配备人员对安全设备和软件进行版本升级和日常维护。

•按需采购，灵活扩张。企业可以按当前的使用人数采购必须的安全功能，并根据需求变动随时增加或减少。

•支持移动，访问便捷。以云服务方式提供后，安全功能可以覆盖移动用户，扩大受保护的边界。

根据企业对云计算服务的使用情况，云安全相关的主要场景可分为5大类，这里分别介绍比较有代表性的技术：

•云计算安全

1.租用虚拟硬件资源（IaaS）,提供对外业务或内部应用

2.使用云服务（PaaS或SaaS）构建内部应用

3.私有云

•安全即服务

4.集成云服务解决业务和应用中的安全挑战

5.使用云服务替代传统安全设备和方案

云计算安全

1.租用虚拟硬件资源（IaaS）

租用云服务器等虚拟硬件资源是云计算服务的最基本模式，也是企业需要承担最多安全责任的模式。除了确认云上业务应用本身的安全性，企业在规划租用虚拟硬件资源时，应该从三个方面分别考察相关安全技术和产品：虚拟硬件基础设施、应用底层架构和对外业务保障。这里将分别介绍11种主要技术的相关情况：