云計算安全標準是怎樣的

云計算在當下已經(jīng)進入全面落云為雨的階段。隨之而來的云安全問題也一度成為業(yè)界及廣大用戶關心的重點問題。隨著企業(yè)的大規(guī)模上云，云計算技術得到大量的推廣普及和應用，云安全亟待需要相應的標準進行規(guī)范和實施。

近日，由公安部網(wǎng)絡安全保衛(wèi)局指導，公安部第三研究所（國家網(wǎng)絡與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心）主辦的2018網(wǎng)絡安全標準論壇暨云計算安全與通用評估標準培訓會在北京舉行。會議就云安全的相關實施和標準等進行了詳盡的討論。

隨著近年來國家對網(wǎng)絡安全的不斷重視，《網(wǎng)絡安全法》與等級保護2.0等，均對云平臺、云上用戶和云上安全產(chǎn)品提出了相應的管理要求。

在當天的會議上，東軟網(wǎng)絡安全事業(yè)部云安全業(yè)務總監(jiān)崔進也對云安全當下的發(fā)展生態(tài)及東軟安全對云安全的最新技術研究進行了分享。

在會后的采訪中，崔進表示：過去，國家相關法規(guī)政策的要求更多在網(wǎng)絡安全的層面，而當云計算誕生之后，這些方面已不足以覆蓋云安全的保護。等保2.0的推出，納入了許多云計算、大數(shù)據(jù)、AI等方面的新內(nèi)容。針對云計算的安全，也加入了虛擬機、模板等新的概念。在云安全的參考架構(gòu)方面，針對IaaS、PaaS、SaaS等不同的交付模式，對安全廠商、用戶 、云服務提供商等都提出了具體的更加系統(tǒng)的相關要求。

“網(wǎng)絡安全中，最基本理念即‘分治’——分而治之。對于云計算而言也是一樣的。特別是在云計中，安全一定會談到隔離。而等保2.0中關于云計算的相關要求，如關注虛擬機之間的流量、威脅等，也是與‘微隔離’的技術理念相當契合的?！贝捱M說道。

據(jù)崔進介紹，“微隔離”是云計算環(huán)境里非常特殊的、非常重要的一項技術，其符合云計算安全要求，是云安全技術發(fā)展的必然成果和安全手段。 微隔離的技術產(chǎn)品將在應對云安全方面發(fā)揮正要的作用。而在此之前，東軟推出的NetEye云安全系統(tǒng)（NCSS）便是基于微隔離技術為用戶提供全方位的云計算環(huán)境內(nèi)部安全解決方案。

目前，微隔離技術作為云安全的主流技術已經(jīng)被廣大廠商、以及相關用戶所認可。目前，DDoS攻擊仍舊是云安全面臨的主要威脅。此外，漏洞攻擊、APT攻擊等也是針對云安全發(fā)起的常見攻擊方式。面對這些云安全威脅，微隔離技術都會避免這些威脅的發(fā)生。

從市場層面來看，崔進認為，盡管云計算技術目前在各地全面落地，但從整體來看，一些地區(qū)的虛擬化、云計算安全建設，較目前的等保要求仍有很大差距。由此，對于安全廠商而言，云安全領域相關的廠商及技術產(chǎn)品未來將會擁有很大的發(fā)揮空間。

在云安全的合規(guī)性方面，東軟一直參與相關標準的制定，并與其他友商也有相關合作。除了主抓微隔離產(chǎn)品，為云計算帶來安全之外，從另一維度，類似利用云計算帶來安全、很多廠商所推出SaaS服務一樣，東軟也在將云安全技術與傳統(tǒng)防火墻進行結(jié)合、并進行安全威脅情報共享的一系列工作。

在云安全的生態(tài)建設方面，崔進認為，除了政府引導，云平臺與廠商將會是更大的力量，甚至超過安全廠商的力量。對此，東軟安全也與國內(nèi)的阿里、華為等幾大云平臺都有合作。私有云方面，東軟安全也與VMWare展開深入合作，并在OpenStack與相關商業(yè)開源品牌進行對接。

對于云安全市場的發(fā)展趨勢，崔進認為：從政府角度來看，對云計算會越來越重視，因為隨著數(shù)據(jù)量的不斷指數(shù)級增長，云計算將是保存處理大數(shù)據(jù)的主流技術。國家對網(wǎng)絡安全的重視已經(jīng)提上到一個新的高度，云計算安全作為其中重要一部分，甚至事關經(jīng)濟、軍事等國家安全的方方面面。

在當天的會議上，各互聯(lián)網(wǎng)企業(yè)、云安全產(chǎn)品廠商、云服務商及用戶單位等，也就云安全的相關政策和法規(guī)的理解進行了討論，并就有關云計算、通用評估標準的前沿技術和優(yōu)秀案例進行了分享。