如何看待公有云环境下的安全责任归属

第七届中国云计算大会将在6月3日揭幕，云计算的生态和技术越来越完善，但安全依然是横亘在企业用户面前的重要问题。

大会前夕，我们采访到山石网科技术市场经理任亮，他来谈了下对当前云计算安全的看法以及建议。

1、企业对云的采用越来越多，如何看待由传统IT向云环境过渡过程中的安全挑战？

任亮：两个方面：

一是数据不再完全私有，毕竟云平台是可见的，原则上云平台不会去窃取租户的数据，但是如果云平台本身存在漏洞，黑客或其它租户就可能获得不属于自己的数据。

二是网络安全责任归属的问题，到底是云平台提供，还是租户自主，如果云平台提供，用户还是被攻击了，如何取证和赔偿，如果租户自主，云平台就需要提供便利的接口。

2、请您给向云迁移的用户一些建议，如何做好安全规划？

任亮：安全自主可控是关键，数据安全方面，可以使用云端数据加密方案，网络安全方面，基础通信安全（访问控制、VPN等）可以使用虚拟机形式的安全网关，业务安全（DDoS、WAF等），可以购买一些CDN技术的云安全服务。

3、对目前在中国商用的所有公有云平台中，您对他们所做的安全防护的感受？

任亮：对待安全，目前公有云有两种态度，一种是完全不管，让租户自主，代表是AWS，但它提供了足够便利的接口让租户自己去搞基础通信安全，业务安全就需要租户自己再想办法了；另一种是对租户的基础通信安全和业务安全都提供一些免费或收费的服务，代表是青云和阿里云，虽然给用户的体验是不错，但还是那个问题，如果用户还是被攻击了，如何取证和赔偿是大问题。当然，各家公有云采取什么样的服务模式是有原因的，AWS起源于欧美，跟中国国内的情况不同，中国国内，尤其是国企上公有云，是没有能力自主做安全的，必须由云平台提供，因此散户更喜欢AWS的模式。