云時(shí)代的安全解讀：云安全≠云計(jì)算安全

什么是云計(jì)算？

要說起云計(jì)算，至今業(yè)界都沒有一個(gè)非常標(biāo)準(zhǔn)的定義。每個(gè)企業(yè)都有自己定義的云計(jì)算。主要有兩類，一個(gè)是跑在Map/Reduce框架下的計(jì)算平臺(tái)，以此為代表的有hadoop，還有一些海量存儲(chǔ)的，比如google的 bigtable等。另一類就是虛擬機(jī)平臺(tái)，以此為代表是Amazon、VMware。

云計(jì)算的另一個(gè)特征應(yīng)該就是有“數(shù)據(jù)中心”，用土話來(lái)說就是要有一個(gè)超大規(guī)模的機(jī)房，規(guī)模沒上去，也不叫云計(jì)算。所以用個(gè)三到四臺(tái)服務(wù)器搭了hadoop，這個(gè)也不能叫云計(jì)算。

至今為止，很多人都搞不明白虛擬機(jī)類的云計(jì)算平臺(tái)比起那些賣虛擬空間的有啥區(qū)別，說句老實(shí)話，我也沒搞清楚。即便是后臺(tái)調(diào)度有些區(qū)別，我認(rèn)為也是有限的，不具有突破性�？赡茏畲蟮膮^(qū)別在于，“云”的價(jià)格會(huì)便宜點(diǎn)，不過這不是我們這些安全工程師所關(guān)心的。

戳穿云計(jì)算安全

嘗試著講明白了什么是“云”，那現(xiàn)在就來(lái)戳穿一下所謂的“云計(jì)算安全”。先講講所謂的“云安全”，現(xiàn)在很多安全廠商，都跟風(fēng)把自己的產(chǎn)品叫云安全。什么是云安全?就是建個(gè)機(jī)房，然后有桌面產(chǎn)品的就把產(chǎn)品上抓到的木馬樣本發(fā)回中心機(jī)房，有IDC流量監(jiān)控的就把數(shù)據(jù)抓了發(fā)回中心機(jī)房，這個(gè)就叫做“云安全”。

這不是若干年前就有的嗎?很多軟件雖然沒說，但早就這么做了。原來(lái)這就是“云安全”，一個(gè)我們用了很多年的東西，現(xiàn)在終于可以光明正大的說出來(lái)了!更可怕的時(shí)候，在沒有所謂云安全的時(shí)候，我們的隱私還是自己的，有了云安全，個(gè)人電腦里的數(shù)據(jù)、文件會(huì)自動(dòng)發(fā)給廠商，你不擔(dān)心嗎?

所以“云安全”這個(gè)東西，和“云計(jì)算安全”完全是兩碼事，跟云計(jì)算也不搭邊。當(dāng)然，你要硬說你建了數(shù)據(jù)中心，也用了hadoop，所以你的云安全是真的，那我也無(wú)話可說了。

" 云計(jì)算安全"這個(gè)概念，在我看來(lái)，和以前有一個(gè)概念很像。什么呢?“電子商務(wù)”。我大學(xué)是學(xué)這個(gè)專業(yè)的，我讀了個(gè)在職研究生，也是讀這個(gè)方向。但我至今沒搞明白學(xué)了什么，至今無(wú)法講清楚電子商務(wù)的概念。記得當(dāng)初畢業(yè)的時(shí)候，我們專業(yè)的所有人都很迷茫，不知道這個(gè)專業(yè)能干嗎，沒人知道。

當(dāng)沒有人能夠講清楚一個(gè)大家都在用的概念時(shí)，那么，肯定是有問題的。這并不是一個(gè)只有愛因斯坦才懂相對(duì)論的時(shí)代，這是一個(gè)賣冰棍的大媽都知道云計(jì)算的時(shí)代!

什么是電子商務(wù)？在中國(guó)，是淘寶，是阿里巴巴，在美國(guó)，是ebay，是amazon。

今天的所有概念，都在隨著實(shí)踐的改變而改變。所以今天沒有人能講清楚什么是“云計(jì)算安全”，是很正常的一件事情。我們看一張MAP：

什么是云計(jì)算安全？這就是云計(jì)算安全。

從這張圖上的第一個(gè)直觀印象就是，所有的安全方法、安全產(chǎn)品，都沒有改變。我們以前是怎么做安全的，在云計(jì)算時(shí)代，還是怎么做。

我們要做代碼review，要做防火墻，要做WAF，要做XXX，這些都沒有變。

既然你什么都沒變，那你在折騰個(gè)什么勁？因?yàn)榻裉臁霸朴?jì)算”被炒的太火了，很少有人能說清楚什么叫云計(jì)算，更沒有人可以說清楚什么叫“云計(jì)算安全”。但是你不這么說，好像就會(huì)落伍了，就會(huì)被鄙視了。陋習(xí)!

從字面上看，給云計(jì)算做安全，就叫云計(jì)算安全。從某種意義上來(lái)說，“云計(jì)算安全”是另外一種屠龍術(shù)，掛羊頭賣狗肉。如果有人要開個(gè)班，培訓(xùn)“云計(jì)算安全”，那一定是騙人的。因?yàn)槲医裉煲姷降娜魏嗡�謂“云計(jì)算安全”，無(wú)論國(guó)內(nèi)的還是國(guó)外的，都不具有突破性，不需要專門開辟一個(gè)領(lǐng)域，叫做“云計(jì)算安全”，我們也不需要任何的神壇。

但是云是需要安全的，云需要什么樣的安全？我們不妨叫做：“云計(jì)算的安全”。從宏觀層面來(lái)說，和傳統(tǒng)安全沒什么變化，還是網(wǎng)絡(luò)策略，代碼實(shí)現(xiàn)安全，數(shù)據(jù)保護(hù)等等。

真要說云時(shí)代安全的特征，我認(rèn)為有兩個(gè)，一個(gè)是在云中需要執(zhí)行用戶代碼的時(shí)候，比較注重虛擬機(jī)技術(shù)以及各類sandbox技術(shù)，另一個(gè)就是用戶數(shù)據(jù)的保護(hù)。不過這些技術(shù)，都沒有突破傳統(tǒng)安全技術(shù)的范疇。局部有創(chuàng)新，總體沒改變。

會(huì)有些變化的領(lǐng)域，應(yīng)該是“基于云計(jì)算的服務(wù)安全”，上層應(yīng)用會(huì)帶來(lái)各種各樣的多變性。比如賣虛擬空間，比如云的終端放在手機(jī)上，再比如一些基于云的SAAS服務(wù)，都會(huì)帶來(lái)非常獨(dú)特的功能，所以基于云服務(wù)的安全怎么做，才是真正需要?jiǎng)?chuàng)新和定制化的地方。