云提供商亟须解决用户安全问题

　　Rajat Bhargava是Still Secure的创始人，董事长兼首席执行官，Still Secure是一家网络安全软件提供商。

　　在当前IT行业的运行情况已经陷入了一个怪圈，即言必称“云计算”。无论数据中心的客户正是否已经部署了云计算，可以说每一家技术供应商都在声称其提供云服务。

　　甚至一些主流媒体也在大肆炒作云计算将成为“引领下一代的新技术”。当然，既然有如此众多的人都在谈论云计算，也就意味着关于云计算的定义有着许多不同的说法。这甚至导致了可怕的混乱，使得一些企业的IT决策决策者失去了洞察力和方向感，因为他们无法很好的评估云计算是否真的适合其所在企业的业务。

　　这不禁让我产生了质疑：如果云计算的定义都还不明确，又怎会有各种程度的透明度，更普遍的协议，以及围绕着云的各种安全协议?上述这些是不是才是真的阻碍了云计算大规模采用的问题呢?

　　云的定义

　　一个非常简单和广泛的定义：云应该是任何解决方案，包括提供计算的IaaS(基础设施即服务)、提供平台的PaaS(平台即服务)或提供应用基础设施的SaaS(软件即服务)这些解决方案根据您使用的模型在有效的付费基础上可以轻松地扩展。一般来说，云的解决方案不是位于客户的处所，但事实并非总是如此。有时它可能仅仅意味着一种环境，让客户无需物理设备。由于这一定义，我们认为，云有三个主要类别：

　　基础设施云或IaaS——分为公共云或私有云，多租户解决方案，可以为您提供计算和存储能力。IaaS供应商的例子包括亚马逊、Rackspace公司和Softlayer。

　　平台云或PaaS——同样也包括公共云平台或私有云平台，多租户解决方案，可以为您提供平台功能，如数据库或网站/博客。PaaS解决方案供应商的例子包括database.com或WordPress。

　　软件作为服务(SaaS)应用程序——应用程序异地托管并通过互联网访问。最常见的例子是Salesforce.com，但也有许多其他供应商。

　　为了定义云的概念，让我们来看看数据中心管理人员和云服务供应商在云服务范畴最为关注的是什么吧：毫无疑问是安全问题。在公共云计算领域，销售计算能力的基础设施供应商和存储设备供应商已经敏锐地意识到，他们的运营必须是安全的。而那些IaaS提供商已经花费了大量时间，以确保嵌入到自己的平台的应用程序是安全的。

　　从阻止外部流量的周边安全，以确保每一台虚拟机创建的加固，提供加密的数据存储，这些供应商正在实现云安全。这种解决方案跨越所有的供应商和顾客的宏观性质。云提供商的个人客户一般不能自定义安全阈值。

　　当然，在安全方面，云计算的优势同时也是其致命的弱点;任何人都可以只支付少量的钱享受快速的计算、存储和带宽。那些黑客也可能在使用同一台物理设备，这样你和云服务提供商的首要安全则可能正面临着威胁。

　　基于承租人的云安全

　　解决基于承租人的云安全问题，对于保护您的个人云基础设施是至关重要的。如上所述，一个基础设施供应商的目标是，以确保为承租人(或客户)提供安全的平台选项。基于承租人的云安全模型是其具有吸引力的显而易见的原因。它允许每家企业根据自己企业的需要定制安全，更何况它具有成本优势，能更有效和轻松地帮助企业寻求扩大扩展。

　　对于大多数组织来说，云服务提供商的基础安全是不够的。基础设施的租户应具有独特的应用和不同层次的机密数据。每个租户都要能够建立起一套安全解决方案，旨在解决他们关切的问题。

　　例如，一些云的用户可能需要遵守PCI法规，而其他用户可能不会过于担心这方面的问题，因为他们使用的是刚刚开发和测试的基础设施。上述例子中的第一类企业需要诸如防火墙、IDPS(InternetDirectPrintServices)、日志管理、Web应用程序防火墙和文件整合监控等等服务。第二类企业可能只是需要选择防火墙和VPN。每种云客户需要很容易的根据自己需要的服务水平，选择打开和关闭这些服务。这种安全模型，对于确保云的成功是至关重要的。

　　我们相信，将会有三种实现基于承租人的云安全模型。我接下来将为您详细介绍可能涉及的各类解决方案。应该指出的是，具有前瞻性思维的企业可能已经在不止一处使用了建立分层的方法来保护自己的云基础设施。

　　基于代理的解决方案——企业将能够为他们的云实例部署一个代理，以提供各种安全服务。这一类的服务，将是一个基于主机的防火墙、杀毒软件、VPN、日志/文件监控。这些代理商也可以帮助检查配置和操作系统的设置及应用。

　　基于网关的解决方案——企业可以采取的另一种方式是在其个人的云基础设施放置一个“网关的虚拟机”。一个好的虚拟路径可以有好几个虚拟实例，在这种情况下，所有流量将通过网关安全虚拟实例。这样，防火墙、IDPS、WAF以及其他流量检测服务是至关重要的。

　　基于设备的解决方案——网关的变化将使得流量通过一个单独的设备，可能无法达到虚拟的基础设施。云客户流量的虚拟实例，将通过安全设备的清理。这种方式的好处是在需要的情况下增加处理能力(如SSL解密)或设置一个网关的虚拟实例成本太高而不适于应用程序。也有可能是具体的解决方案可能不会作为一个虚拟实例，但可以作为一个多租户应用程序。

　　基于承租人的云安全问题将成为数据中心和云服务提供商亟待解决的一个重要问题。只有这些具有前瞻性思维的提供商解决了这些的安全问题，才能保证云客户会有更多的选择。