云计算安全与可信计算：多维度实战深入分享，大饱耳福

黄晟：私有云防护实践与探索

首先分享的是北京中油瑞飞信息技术有限公司信息安全高级技术总监黄晟。在《企业私有云安全防护实践与探索》主题演讲中，黄晟深入分享了包含威胁分析、防护探讨、落地实践、思考与展望等一系列中国石油私有云安全建设的内容。

北京中油瑞飞信息技术有限公司信息安全高级技术总监 黄晟

在他看来：私有云安全设计有两个原则，一是纵深防御，二是“Design for Failure”防护理念。事实上，CSA和NIST都提出了较为完备的云安全框架，但是在如何实际的云计算环境中全面落实，一直是信息安全从业人员在云计算时代面对的挑战。是“老革命遇到的新问题，我们要做的是如何来解决。”

比如，在基础设施层面，要注意三个方面：

可控范围：作为企业信息安全人员，“管”不到公有云的安全防护机制；
发展趋势：大中型企业逐步接纳私有云作为新的IT基础设施（WalMart、PayPal等）；
应用模式：现有企业信息系统对基础设施的使用模式，决定了现阶段企业私有云将会采用IaaS为主、PaaS为辅的模式。

而从不同角度能看到安全的不同层面。如果从私有云安全规划角度看，有四阶段需要注意： 

边界防护：私有云安全防护的底线；
基础防护：与私有云建设过程中同步开展的阶段；
增强防护：随着云安全技术逐渐成熟，增强完善云安全服务；
云化防护：面向SaaS等更复杂的云计算模式，引入云安全访问代理等新技术，结合业务实现防护。

他还分享了分层控制体系要点、私有云基础防护体系3D模型等诸多技术细节。最终目标是“通过在工程化建设私有云的过程中实施基础安全防护措施，综合采用现有成熟的安全防护手段，面向主流的私有云技术体系，有效应对面向云计算平台底层的主要云安全威胁，为私有云平台的租户系统实现不低于传统物理机模式的安全保障”。

对未来，黄晟认为：基于SDN技术构建“流网络层”，提升“东西向”的隔离颗粒度与强度，以及加强云内流量监控；操作系统加固技术在私有云底层平台的应用，特别是通过安全手段固话底层行为；面向业务操作与业务数据的云安全代理机制等，都将是重点考虑的方向和手段。

陈恺：构建可信赖的云计算平台

微软公司可信赖计算部安全技术政策总监陈恺在题为《构建可信赖的云计算平台》的演讲中，特别提到IT技术，如移动、应用、大数据、云计算等发展带来了安全方面的巨大挑战和机遇。尤其在信任方面，“如何保护数据，谁能访问数据，数据在哪里，如何证明你所承诺的”一直是用户所关注的。为此，微软提供了可信（核心安全、隐私保护、合规及可靠性承诺），开放和灵活（跨平台一致体验、随时随地处理所有数据、可扩展的应用开发、灵活的基础设施）的安全服务。

微软公司可信赖计算部安全技术政策总监 陈恺

正如在Azure平台上，企业可以自由选择Linux系统一样。微软在网络安全方面的承诺是：开发、提供安全的产品和服务；保护客户的数据安全及隐私性；协助客户及合作伙伴保护他们的资产；协助打击网络犯罪。技术方面，微软在数据加密方面，会通过“客户与业务之间传输的数据，数据中心之间传输的数据，存储的数据，用户之间端到端的数据保护”来实现全面保护。

微软可信云是建立在微软运营大规模云服务的经验基础上，已经通过了运营安全保障(OSA)和极多的安全认证。

信息安全标准：ISO 27001（中国），SOC 1 Type 2，SOC 2 Type 2；
国家认证：美国FedRAMP/FISMA；美国CJIS；英国G-Cloud；澳大利亚IRAP；新加坡 MCTS；中国可信云认证；
产业认证：PCI DSS Level，HIPAA/HITECH，Life Sciences GxP。

微软在安全方面有全套的安全保障体系，并已经通过微软可信云（Azure）落地中国。

张晓兵：云安全技术架构分享

2014年国内新增恶意样本3.2亿、钓鱼网站262万、Android病毒326万，65.5%网站存在漏洞，互联网公司公开的安全事故已导致11.3亿用户信息泄露。2015年，网易大面积服务器瘫痪，支付宝光缆事故，携程网出现业务故障，艺龙网遭受DDOS攻击等事件，带来的影响更加深远。不止如此，随着公有云的发展，安全防护的重要性更加明显。比如：qemu kvm CVE‐2015‐3456：5月，潜伏了11年名为“毒液(VENOM)”的高危漏洞被发现，利用此漏洞的攻击者可以在有问题的虚拟机中进行逃逸,并且可以在宿主机中获得代码执行的权限。一旦云平台遭受攻击，将影响更多企业。

360云事业部产品总监 张晓兵

在360云事业部产品总监张晓兵看来，随着互联网+的持续深入，2015年安全情况面临着更大的挑战。为此，360提出了“数据驱动安全”理念，落地产品是QVM人工智能引擎。其基于海量数据挖掘、引入机器智能学习算法，准确识别未知恶意软件，是人工智能技术在计算机安全领域中的一次大规模商业应用。

流程上来看，基准样本平台，数据挖掘，建模，自动测试校验，人工例外处理，反馈，形成闭环。其特征函数推演上亿统计样本，上千万学习样本，上百亿推演样本，1秒云鉴定。

对于几乎所有企业都关注的：“谁在攻击你？为什么攻击？什么时候攻击的？怎么攻击？攻击是否成功？损失了什么？有关联攻击么？还攻击了谁？”360还通过大数据关联技术，以多种图形展现的方式，帮助安全专家对未知威胁进行分析、发现、回溯、跟踪及预警。此外，更提供多租户隔离、集群与公司业务隔离、高防DNS服务、具有五网分发能力的安全CDN服务、防DDoS攻击等构建安全云环境，以及自主研发的鹰眼系统，进行实时扫描防护。

360所提供的提供安全的云平台采用了开放式云架构。能够提供如下服务：

多租户隔离：每个租户的云主机在一个隔离的区域中，不同租户之间无法访问，防止相互攻击，降低安全风险；
业务隔离：集群与公司业务隔离，业务网与管控网分离（租户网络与管理网络分离）；
高防DNS服务，防护DNS型的攻击；
五网分发能力的安全CDN服务，如解决全国运营时的同步访问问题；
安全扫描服务，定期对所有云主机进行安全扫描，及时发现安全漏洞
防DDoS攻击，自动化抵御SYNFLOOD、UDPFLOOD等常见攻击，有效保障用户业务的正常运作。

在如今火热的Docker容器化安全策略方面，360也可以通过鹰眼系统、层叠式安全机制、文件系统级隔离、细颗粒度安全防护等来实现。

张福：面向未来的自适应安全架构

作为国内最早的一批黑客之一，并在九城、盛大、51.Com、昆仑万维负责多年核心业务研发工作，积累了丰富的一线安全处理经验，如今创业的青藤云安全创始人&CEO张福对安全的理解很深刻。在题为《面向未来的自适应安全架构》的演讲中，他先是分享了一个真实的企业安全故事：知名游戏遭到黑客攻击，最终7人联合小组用了2个月的时间通过各类技术手段才发现10%服务器被感染。他认为：安全环境非常严峻，安全已远远落后云计算的发展，无力应对业务需求剧烈变化，更无力面对专业攻击者，企业安全陷入困境。所以企业更加需要：适用于各种基础架构、易于部署、快速响应、容易使用、实时发现未知威胁、持续监控包含、保护核心资产、人员依赖低的云安全服务。所以，安全发展将会想以下三种方向来变化：基于硬件的安全产品空间会更小，基于软件架构的云形态安全产品会发展更快；边界安全策略会变为从内而外的安全体系；应急响应变化到持续响应。

青藤云安全创始人&CEO 张福 

具体来看，就是：

互联网企业安全应该基于业务构建自内而外的安全体系而不是基于边界防护。企业安全体系的核心是对业务系统级的行为识别分析和持续监控。
互联网企业安全应该摆脱对基础设施的绑定，在业务扩张变化时能够做到灵活快速的部署调整，并保持安全策略的一致性。
互联网企业安全操作应该抛弃繁琐的命令，做到高度自动化和智能化，提供安全运人员高度可视化的管理操作界面，从而避免失误操作，提升效率。

这也是青藤云安全构建的自适应安全平台的根本。他认为：自适应安全的创新之处在于，首次将视角转移到防火墙之后的业务系统内部，强调基于业务自内而外构建安全体系，安全防护变成一项持续响应和处理过程。 更重要的是安全监控和实施直接运作于每个业务单元而不是依赖于基础设施或硬件，赋予企业更细粒度和更丰富的持续监控和行为分析能力，企业安全运维人员可以清楚掌控内部系统异常运作和外部攻击行为，真正做到对多形态攻击甚至高级攻击的快速响应恢复，同时自适应任何基础设施和业务变化。

目前，国际一流安全厂商如FireEye都在加强产品的自适应化，以自适应为核心的初创公司illumio在成立的短短两年内就估值获得多轮融资超过1亿美元，并受到美国科技界众多大佬如微软董事长JohnThompson、雅虎创始人杨致远、Salesforce创始人Marc Benioff的青睐，以及知名风投A16Z、Formation 8 和 General Catalyst Partners的追捧。这也正是青藤云未来的发展方向。

陈奋：基于云安全方案解决中小企业安全痛点

战斗在网络攻防第一线，并在安全领域拥有3项个人发明专利的安全狗CEO陈奋带来了他对云安全的深刻认识。在题为《用云服务模式解决中小企业安全痛点》的演讲中，他表示：“安全狗一直是公有云的SaaS安全服务，现在服务超过50万家中小企业，保护全国超过100万台服务器。多年积累下来，我们感觉中小企业面临的配置风险、外部攻击严重等非常严峻。”

安全狗CEO 陈奋

相关中小企业调研情况显示：

80%左右的企业有自己的IT技术人员或运维人员；
95%的中小企业没有专门的安全团队；
这里面90%的IT技术人员或运维人员不太懂得安全相关的知识或实践；
这里面60%的IT技术人员或运维人员知道安全的重要性。

而在安全层面，更加严峻：

90%的中小企业缺乏系统化的安全规划；
在安全方面的投入与整体IT投入占比不到3%（国外接近15%）；
受到外部的安全攻击远大于内部的安全规范；
受到攻击后往往没太重视，从而酿成更加严重的后果。

面临如此的安全现状，陈奋认为：中小企业完全可以通过服务的方式来进行安全防护。比如借力云计算体系，采用SaaS服务模式，通过AMI+SaaS结合的服务模式等。不仅计费方式灵活，而且随开随用，更加便捷。

在亚马逊AWS下的Marketplace中，超过200款安全产品及解决方案，提供AMI（Amazon Machine Image）、SaaS服务、AMI + SaaS等3种服务模式，基于HOST、基于VPC网络等2种保护方式提供安全服务。
阿里云有20款左右的安全产品，提供手动下载安装包进行安装部署和镜像模板等2种服务模式，基于HOST的1种保护方式提供安全服务。

安全狗都在其中提供了系统的安全服务。而根据系统安全基线、网络安全防护、系统安全保护（防黑防入侵）、身份认证、跨混合云以及多个公有云管理等几种典型的云安全服务场景，安全狗还分别提出了几种解决方案，包括：制作安全的镜像模板、安全产商提供的镜像模板、安全社区的力量-Store模式、云计算厂商网络基础设施、基于主机HOST层面、基于VPC（虚拟私有云）等。

不止如此，在安全狗日均拦截超过 20,000,000次攻击的基础上，如用Storm进行日志实时处理，通过Hadoop存储集群实现对攻击数据、进程数据、日志数据、资源数据进行持久化存储的离线分析。对攻击进行大数据分析，实现更好的安全防护。

郑少斌：可信，源自中国电信

中国电信股份有限公司云计算分公司产品部副总经理郑少斌在题为《可信，源自中国电信》的演讲中着重分享了中国电信在安全方面的实践。

中国电信股份有限公司云计算分公司产品部副总经理 郑少斌

中国电信拥有15个五星级及90个四星级数据中心，已形成“4+2”云数据中心，更多建设中的云数据中心；计算能力百万物理核；存储可达EB级别；机房出口带宽超过10TB。无论是党政军、大型企业、中小企业还是内部使用，企业对安全有着极高的安全要求。

中国电信将其分为：基础物理安全层面，通过访问控制，背景审查和安全培训来保证；逻辑安全层面，保证网络层、计算层、存储层、管理层的安全；安全增值服务，虚拟防火墙，支持第三方安全设备接入，安全的连接；安全管控保障，生命周期管理和变更管理来实现。

具体来看：

等保云资源池：中国电信云数据中心；
云服务平台等保：提供云主机服务的底层平台，含服务器、网络、虚拟化等；
云操作系统等保：天翼云操作系统，统一管理云化资源池。

中国电信自主研发的云安全管理系统已经获得EAL3信息技术安全测评证书，通过ISO27001安全认证。中国电信能够从可管、可控、可信等方面提供从安全管理体系、技术体系及安全运营全面保障安全。而针对个性化需求，还将设定不同安全方案。

李雨航：云计算2.0时代的网络空间安全

CSA大中华主席、华为首席网络安全专家李雨航发表《云计算2.0时代的网络空间安全》主题演讲。云计算是时代的变迁，已经从第一代（2005-2015年）：传统数据中心, 虚拟机，Hadoop，传统网络，PC/智能手机终端等过渡到第二代（2015-2025年）绿色数据中心,  容器，Spark，SDN，NFV，IoT设备等。而安全也随之发生很大变化：威胁更多，攻击面更大，目标价值更高，更多安全问题。

CSA大中华主席、华为首席网络安全专家 李雨航

云安全是网络安全(Cyber Security)的子集。伴随云计算发展，云计算客户（包括政府，企业，消费者用户）关注的问题，如保护政府信息主权，企业数字产权，个人隐私权，提高安全保障能力，自主掌控业务数据，以及对应新技术带来的安全挑战，都需要各个维度的合作。

从网络安全顶层框架层面来看，包括国际战略、国家法律、行业标准、管理流程、技术工具、人才培育六大维度，各维度都需要国际、跨界、跨机构、跨部门合作。为此，针对云计算中的软件定义边界、量子安全、物联网安全以及移动应用安全漏洞检测，云安全联盟分别推出CSA SDP、CSA Quantum Safe、IoT Security Controls和CSA MAST服务。

他还透露，即将正式对外发布的华为公有云已经获得CSA STAR认证。

张焕国和李彦：端到端可信云解决方案

武汉大学计算机学院教授，博士生导师张焕国和中国电子学会云计算专委会委员，英特尔中国研发中心数据中心企业部首席系统软件构架师李彦共同分享了一个主题《端到端可信云解决方案》。重点介绍了中国可信计算取得成绩，以及英特尔可信执行技术（TXT）、可信计算池 (TCP)、开源远程认证 (OAT)是如何帮助更多企业实现安全和身份保护的。

武汉大学计算机学院教授，博士生导师 张焕国

张焕国表示：云计算也存在如设备、数据、内容和行文的共性安全，也有如资源的共享所引发的个性安全。目前可信计算已经取得了系列规范、产业化等成绩，如公布了3个可信计算技术标准；TCG公布了TPM2.0和TSS2.0新规范，并将陆续发布其它规范；微软发布了WIN-8，全面支持可信计算等。“我们认为从2013年开始的一段时期内，将形成可信计算的一个小高潮。这一小高潮阶段，以扩展可信计算的应用为主要特征。”

具体来看：基于可信计算构建端到端可信云计算：

使云系统更加可信，可信≈可靠+安全；
基于可信计算构建可信云服务器→可信云基础设施；
基于可信基础软件构建可信云平台→可信云平台；
基于可信计算构建可信云终端→可信云终端；
基于TNC构建云服务器与终端的可信连接→可信云系统；
基于可信云平台与密码提供云数据安全存储→可信云服务；
基于可信云平台与可信软件提供云安全软件服务→可信云服务。

英特尔中国研发中心数据中心企业部首席系统软件构架师 李彦

李彦表示：“英特尔安全事业部提供更多帮助用户解决安全问题的方案。英特尔可信执行技术（TXT）、可信计算池 (TCP)、开源远程认证 (OAT)是如何帮助更多企业实现安全和身份保护。”

对于业内所关注的中国可信云计算社区建设，张焕国表示：自从2012年6月，武汉大学、英特尔、国民技术、华为、中标软件、百敖、道里云，发起成立中国可信云计算社区（China TC Community, CTCC）以来，得到热烈响应。

2013，完成了可信云服务器的开发；
2014，开发可信云终端和可信网络连接；
2015，开发端到端可信云典型应用。

现在有微软公司，人民大学，复旦大学，四川大学，华南师范大学，长城电脑公司，浪潮，北京工业大学，因特信安，江南计算所等都已加入。

在研发方面，2012年，中国生产出世界上第一款TPM2.0芯片；2013年，中标软件的麒麟操作系统支持可信云计算；华为可信FusionCloud解决方案等。2015年，还将开发更多可信云典型应用。

更多内容欢迎查看第七届中国云计算大会直播专题。

本文为ImapBox原创文章，未经允许不得转载，如需转载请联系market#csdn.net(#换成@)