专业！深入分析——高大上的“云安全”

来源：WISEC码码密

编辑：润廷/神MA研究所 ：ShenMaLab

各位亲爱的看官大家好啊,依旧是我，小MA哥。

别看小MA哥平日里一副调侃幽默的风格，今天就给大家来点专业的！

首先想问一下，各位对于“云”概念了解多少呢？基于云计算基础之上的云安全又是什么呢？接下来请听小MA哥对此的深入分析。

01

云安全标准

要想了解云安全真正的含义，首先要了解云计算本身。根据NIST定义，云计算按照服务模式分为IaaS、PaaS和SaaS，按照部署模式分为私有云、公有云、社区云和混合云，按照用户角色分为消费者、供应商、代理商、运营商和审计方。

然而，实际的云安全建设往往错综复杂，把握几个关键的观点，有助于大家更了解云安全。

用户和使用的云服务商不同，安全的责任也不同。从用户角度来说，安全责任变轻了：以前从建设机房到部署应用的安全全部由用户自己承担，现在云服务提供商要承担相关的安全职责。

将业务从传统IDC迁移到云的一个重大挑战是：要遵守众多的合规和审核的约束。合规可定义为对企业义务（企业社会责任、适用法律，道德指南）的感知和遵循。

总体上，组织要保证合规性和完成审核，需要评估自身合规状态，借此感知和履行企业义务（社会责任、道德标准、法律责任等）；评估风险、不合规代价以及合规成本，从而评估是否采取适当或必要的纠错性措施。

信息安全领域不存在无懈可击的防御，无论是周详的计划还是周全的预防性措施，都无法完全避免信息资产遭到攻击。正因如此，致力于减少组织受攻击损失程度的事件响应，成为了信息安全管理的重要基石。

云计算不需要一个新的事件响应框架，只需将原有的响应程序、处理机制和工具与云计算相关的环境对应起来。与此同时，组织也要意识到，云计算的某些特征会影响事件响应的效果。

首先，云计算属于按需自服务；第二，云服务的资源池化可能会导致 事件响应过程复杂化；第三、在多租户场景下，如果没有关于隐私信息的处理和资源池化的云服务方式，收集和分析事故的非直接数据和原始数据可能造成对隐私问题的担忧。

另一方面，云计算也给事件响应带来了新的机会。目前的情况并不太乐观，国内云计算厂商对于事故响应的手段极其有限，大部分是通过人工服务的情况进行解决，责任无法定位，造成的损失也无法衡量，导致用户和云服务提供商之间的不信任感。

02

云安全挑战

为了安全地使用公有云、私有云、混合云等丰富多样的数字化服务，越来越多的企业需要满足不断增多的各种安全要求。

安全管理人员关注公有云的相关安全问题。缺乏持续性的合规和风险的评估以及安全过程，使得一些敏感的场景无法迁移到公有云。

对于企业而言，使用多租户的云服务并不会直接导致安全问题，还得看云厂商采取哪些安全措施。只不过，市场对云厂商的评估和持续监控还没有形成最佳实践。

03

云安全机遇

根据麦肯锡咨询机构的预计，云技术至2020年全球每年创造的价值在3.72亿美金。如果企业不重视云安全建设导致风险和损失，最终可能减少使用云技术。这种“数字反弹”的局面影响会非常严重，可能导致1.4万亿市场的萎缩。

根据Gartner预测，2017年基于云的安全服务市场规模将达到41亿美金，云安全的发展将受益于云计算市场的快速增长。

反观国内云计算市场，经过十年发展，目前已经“赛程过半”，上半场以中小长尾和互联网产业为主要目标客户，以公有云为主要交付形态，洗牌基本完成。下半场将以数字化转型为核心诉求，以传统纵向行业、大型企业为主要目标客户，以混合云为主要交付形态。

总而言之，小MA哥就云安全归纳出以下几点：

1、国内大环境而言，网络安全领域得到了实质性的重视和发展。国家强调在任何技术领域必须提倡自主可控，这意味着国内安全厂商的机会大大增加。

2、虽然我国网络信息技术和网络安全保障取得了不小成绩，但同世界先进水平相比还有很大差距。我们要填补国内安全市场的空白，跟国际接轨，追赶世界最高安全

(文章素材来自FreeBuf.COM，图片来自网络)