企業(yè)與誰一起面對(duì)云安全挑戰(zhàn)？

　　云計(jì)算作為一項(xiàng)新型IT服務(wù)模式已經(jīng)改變了IT消費(fèi)形態(tài)。對(duì)小微企業(yè)來說，當(dāng)企業(yè)主想開始一項(xiàng)新業(yè)務(wù)時(shí)，往往希望通過靈活可擴(kuò)展的方式進(jìn)行管理。相對(duì)于把產(chǎn)品推向市場、投資研發(fā)以及保障資金流而言，成立IT部門顯得并沒有那么重要。由于小微企業(yè)自身內(nèi)部沒有IT基礎(chǔ)設(shè)施，因此大多選擇公有云服務(wù)提供商來供應(yīng)IT服務(wù)，從而成為了公有云服務(wù)應(yīng)用的先鋒。對(duì)于小微企業(yè)的IT管理者來說，公有云服務(wù)的安全性看起來是可以接受的，甚至比他們內(nèi)部的IT安全做的更好。

　　但公有云中模糊的信任邊界，使云安全成為了大型企業(yè)CIO應(yīng)用云計(jì)算的首要顧慮。這種顧慮源自許多公有云服務(wù)提供商并沒有明確表達(dá)信任邊界（例如哪些安全由云計(jì)算服務(wù)提供商提供，哪些安全仍然需要由用戶提供），這些新的信任邊界也沒有在SLA中得到補(bǔ)充說明。公有云服務(wù)提供商由于對(duì)安全管理流程的治理與實(shí)施方面難以提供足夠的透明度，以及確保云計(jì)算中的數(shù)據(jù)得到妥善保護(hù)，只能把共享責(zé)任安全模型中本該自己承擔(dān)的安全責(zé)任丟回給用戶自行處理。

　　在這種局面下，相對(duì)于將安全運(yùn)行責(zé)任轉(zhuǎn)移給公有云服務(wù)提供商而帶來對(duì)于其SLA及支持企業(yè)內(nèi)部安全管理流程特定功能的依賴，大型企業(yè)則更傾向于搭建一個(gè)安全穩(wěn)定的私有云平臺(tái)。企業(yè)自建私有云，意味著企業(yè)需要面對(duì)各種信息安全威脅：賬號(hào)泄露、API安全問題、內(nèi)部員工的惡意破壞、非法用戶對(duì)數(shù)據(jù)庫的訪問、授權(quán)用戶的超權(quán)訪問、數(shù)據(jù)泄露、正常網(wǎng)絡(luò)服務(wù)被劫持、黑客網(wǎng)絡(luò)入侵等一系列安全問題。

　　成熟企業(yè)IT部門通常會(huì)使用標(biāo)準(zhǔn)的安全管理框架來應(yīng)對(duì)安全問題，如ISO/IEC 27000以及信息技術(shù)基礎(chǔ)設(shè)施庫ITIL服務(wù)管理框架。這些行業(yè)標(biāo)準(zhǔn)的管理框架為治理方案的計(jì)劃與實(shí)施提供指導(dǎo)，以及實(shí)現(xiàn)信息資產(chǎn)保護(hù)的可持續(xù)管理過程。基于這些框架，企業(yè)內(nèi)部私有云平臺(tái)需要關(guān)注的安全管理領(lǐng)域如下：

• 可用性管理（ITIL）
• 訪問控制（ISO/IEC 27002, ITIL）
• 漏洞管理（ISO/IEC 27002）
• 補(bǔ)丁管理（ITIL）
• 配置管理（ITIL）
• 事件響應(yīng)（ISO/IEC 27002）
• 系統(tǒng)使用及訪問監(jiān)測(cè)（ISO/IEC 27002）

　　在每個(gè)需要關(guān)注的安全管理領(lǐng)域，都需要企業(yè)IT部門投入相當(dāng)?shù)木�力來承�?dān)安全風(fēng)險(xiǎn)和挑戰(zhàn)。這個(gè)過程中，云平臺(tái)廠商對(duì)此的支持程度，將會(huì)對(duì)企業(yè)IT安全管理的透明度及可控度產(chǎn)生直接影響。這時(shí)，選擇運(yùn)營經(jīng)驗(yàn)豐富、安全體系完善的云平臺(tái)服務(wù)商就顯得格外重要。品高云BingoCloud作為國內(nèi)首個(gè)自主研發(fā)的商用IaaS平臺(tái)，已陪伴國內(nèi)數(shù)十家大型企業(yè)的IT云平臺(tái)不斷成長，并在此過程中攜手企業(yè)成功應(yīng)對(duì)云平臺(tái)的各種安全挑戰(zhàn)。BingoCloud在豐富自身云平臺(tái)安全功能的同時(shí)，也不斷增強(qiáng)云平臺(tái)對(duì)于企業(yè)內(nèi)部IT整體安全框架的支持能力。不僅為用戶提供安全穩(wěn)定的基礎(chǔ)架構(gòu)云平臺(tái)，也為企業(yè)用戶整體的IT安全流程建設(shè)提供更好的支撐，絕不讓用戶獨(dú)自面對(duì)云平臺(tái)的安全挑戰(zhàn)。

　　可用性管理

　　隨著云平臺(tái)在企業(yè)內(nèi)部的廣泛應(yīng)用，企業(yè)會(huì)把更多關(guān)鍵業(yè)務(wù)應(yīng)用部署在云平臺(tái)，這就會(huì)越來越依賴于云服務(wù)的持續(xù)可用性。BingoCloud提供的云監(jiān)控服務(wù)（CloudWatch），為用戶提供了實(shí)時(shí)查看云中各類服務(wù)資源如 EC2 實(shí)例、EBS 存儲(chǔ)卷、ELB 負(fù)載均衡器的運(yùn)行情況的方法，并且提供了多種監(jiān)控指標(biāo)供用戶使用，用戶還可以針對(duì)指標(biāo)設(shè)置“閾值”。當(dāng)超過“閾值”時(shí)會(huì)觸發(fā)“警報(bào)機(jī)制”，報(bào)警機(jī)制不但支持常見的郵件通知，還可以調(diào)用自動(dòng)伸縮服務(wù)（Auto Scaling）動(dòng)態(tài)增長/減少某類應(yīng)用服務(wù)器數(shù)量，從而靈活應(yīng)對(duì)應(yīng)用的突發(fā)訪問量，實(shí)現(xiàn)BingoCloud中的應(yīng)用負(fù)載高可用。

　　訪問控制

　　為保障企業(yè)訪問控制的有效性，BingoCloud提供網(wǎng)絡(luò)訪問控制和用戶訪問控制的二維訪問控制。網(wǎng)絡(luò)訪問控制表現(xiàn)為云平臺(tái)防火墻策略，這個(gè)策略在云平臺(tái)的出入口處執(zhí)行基于主機(jī)的訪問控制，并對(duì)云平臺(tái)內(nèi)部的實(shí)例進(jìn)行邏輯分組。支持基于標(biāo)準(zhǔn)TCP/IP參數(shù)的策略實(shí)現(xiàn)，包括源IP、源端口、目的IP及目的端口等。除此之外，BingoCloud中的用戶訪問控制也會(huì)起到關(guān)鍵作用，它是將用戶身份與云服務(wù)資源綁定在一起的重要手段，并實(shí)現(xiàn)了細(xì)粒度訪問控制、用戶審計(jì)、合規(guī)性支持以及數(shù)據(jù)保護(hù)等重要業(yè)務(wù)需求。通過強(qiáng)身份認(rèn)證、單點(diǎn)登錄（SSO）、特權(quán)管理以及云計(jì)算資源日志記錄和監(jiān)測(cè)，保護(hù)云計(jì)算中信息的保密性和完整性。

　　安全漏洞、補(bǔ)丁及配置的管理

　　不安全的應(yīng)用程序、不安全的操作系統(tǒng)、不安全的網(wǎng)絡(luò)配置等脆弱點(diǎn)，都會(huì)給黑客遠(yuǎn)程侵入企業(yè)私有云平臺(tái)提供機(jī)會(huì)，令企業(yè)IT部門不堪其擾。為避免給黑客提供可侵入的漏洞，保證系統(tǒng)高效、安全地運(yùn)行，BingoCloud將底層操作系統(tǒng)定制剪裁，減少不必要的進(jìn)程和服務(wù)，在滿足云平臺(tái)所需的最小功能需求的情況下，使系統(tǒng)占用資源最小、穩(wěn)定性更高。除了保障云平臺(tái)自身安全性，BingoCloud也為其IaaS/PaaS用戶提供安全標(biāo)準(zhǔn)化鏡像，根據(jù)不同場景的安全需求強(qiáng)化虛擬機(jī)鏡像并使其標(biāo)準(zhǔn)化，用戶可以放心地直接使用獲得安全實(shí)例。對(duì)于操作系統(tǒng)、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫和Web服務(wù)器等不同業(yè)務(wù)資源，BingoCloud則根據(jù)最小特權(quán)和業(yè)內(nèi)公認(rèn)的最佳實(shí)踐進(jìn)行安裝和配置。

　　入侵檢測(cè)和事件響應(yīng)

　　入侵和事件管理在企業(yè)信息安全管理域內(nèi)是管理和降低風(fēng)險(xiǎn)的關(guān)鍵職能。傳統(tǒng)安全中的入侵檢測(cè)系統(tǒng)由于云平臺(tái)的網(wǎng)絡(luò)虛擬化特性，無法檢測(cè)到虛擬環(huán)境內(nèi)的網(wǎng)絡(luò)通信。為保障企業(yè)對(duì)于內(nèi)部IT架構(gòu)的全面監(jiān)測(cè)，支持傳統(tǒng)安全工具的引入，BingoCloud的網(wǎng)絡(luò)虛擬化系統(tǒng)應(yīng)用軟件定義網(wǎng)絡(luò)（SDN）技術(shù)，通過Openflow協(xié)議可以實(shí)現(xiàn)虛擬機(jī)網(wǎng)絡(luò)流量的重定向，提供將虛擬網(wǎng)絡(luò)流量引入第三方安全虛擬網(wǎng)關(guān)的能力，實(shí)現(xiàn)虛擬化環(huán)境內(nèi)NIDS的部署，以監(jiān)測(cè)云平臺(tái)內(nèi)部的安全事件。安全事件的響應(yīng)不能靠單一的安全設(shè)備，需要調(diào)動(dòng)整個(gè)數(shù)據(jù)中心的IT能力。為滿足CERT對(duì)于安全事件采集的數(shù)據(jù)需求，BingoCloud管理中心收集云平臺(tái)各組件的系統(tǒng)日志、安全日志、性能日志等，并提供外部接口支持日志導(dǎo)出第三方安全管理分析工具，為企業(yè)安全事件響應(yīng)和追蹤提供依據(jù)。

　　大型企業(yè)內(nèi)部的私有云平臺(tái)使用戶可以高度掌控及監(jiān)管私有云基礎(chǔ)設(shè)施的物理安全和邏輯安全，為企業(yè)安全管理提供高度的可控性和透明度，更容易實(shí)現(xiàn)整體的安全標(biāo)準(zhǔn)、策略及合規(guī)。但同時(shí)這也將安全管理和安全維護(hù)的責(zé)任劃歸到企業(yè)自身內(nèi)部IT部門。品高在為企業(yè)建設(shè)私有云平臺(tái)時(shí)，不僅為企業(yè)用戶提供了一個(gè)功能強(qiáng)大且商用成熟的云平臺(tái)產(chǎn)品BingoCloud，而且為企業(yè)IT部門提供豐富的云平臺(tái)安全功能保障以及安全運(yùn)行實(shí)踐，以滿足企業(yè)云平臺(tái)的安全管理需求。除此之外，BingoCloud提供廣泛的第三方支持能力可以引入傳統(tǒng)安全手段，以融合企業(yè)現(xiàn)有IT管理框架。因此從這個(gè)角度上說，優(yōu)秀的云平臺(tái)廠商并不僅僅是云產(chǎn)品的制造者和銷售者，而是陪伴企業(yè)云成長，共同面對(duì)挑戰(zhàn)的親密伙伴。