浅谈云安全和传统安全

现在企业都希望可以通过云的能力，来提升自己的业务能力，artner 预测：到 2025 年，将有 85％的企业和组织采用云优先原则，云计算已经成为企业和组织 IT 战略的一部分，企业对于上云已经不陌生。

云时代的到来，催生了云安全，作为云计算行业的专业术语，云安全引起了大家的广泛关注和重视，那么到底云安全与传统安全有什么区别呢？

什么是云安全

　　云安全是我国企业创造的概念，在国际云计算领域独树一帜。云安全是指保护基于云的应用程序、数据和虚拟基础架构的完整性的做法。 该术语适用于所有云部署模型（公共云、私有云、混合云、多云）以及所有类型的基于云的服务和按需解决方案（IaaS、PaaS、SaaS）。 一般而言，对于基于云的服务，云提供商负责保护底层基础架构，而客户则负责保护云中的应用程序和数据。

云安全和传统安全的区别

安全边界模糊化

　　云计算通过引入虚拟化技术，将物理资源池化，按需分配给用户，这里涉及到计算虚拟化、网络虚拟化、存储虚拟化。云服务商为用户提供虚拟化实体，对用户而言，以租用的形式使用的虚拟主机、网络和存储，传统的网络边界不可见。在云计算中，传统的安全问题仍然存在，诸如拒绝服务攻击、中间人攻击、网络嗅探、端口扫描、SQL 注入和跨站脚本攻击等。在传统信息系统中，通过在边界部署可实现安全的防护。但在云环境中，用户的资源通常是跨主机甚至是跨数据中心的部署，边界不再清晰，由物理主机之间的虚拟网络设备构成，传统的物理防御边界被打破，用户的安全边界模糊，因此需要针对云环境的复杂结构，进一步发展传统意义上的边界防御手段来适应云计算的安全性。

数据安全要求更高

　　云环境中的责任主体更加复杂，云服务商为租户提供云服务，不可避免会接触到用户数据，因此云服务商内部窃密是一个很重大的安全隐患。事实上，内部窃密可分为内部工作人员无意泄露内部特权信息或者有意和外部敌手勾结窃取内部敏感信息两种。在云计算环境下，内部人员还包括云服务商的内部人员，也包括为云服务商提供第三方服务的厂商的内部人员，这也增加了内部威胁的复杂性。因此需要采用更严格的权限访问控制来限制不同级别内部用户的数据访问权限。

责任共担模型

在传统模式下，信息系统通常遵照谁主管谁负责、谁运行谁负责的原则，信息安全责任相对清晰。在云计算模式下，云计算平台的管理和运行主体（云服务提供方）与云端信息系统及数据的责任主体（云租户）不同，这里有一个目前通用的责任共担模型。也即是说云提供商负责云基础设施的安全性，而用户则负责上层的应用和数据的安全。

新环境中的错误配置

云环境向对大部分用户来说是新鲜的，需要大量的新的人员、新知识和新的工具来适应。虽然公有云服务提供商通常会提供工具来帮助客户管理云配置，但客户的错误配置“仍然是最普遍的云安全漏洞。”业内的常说的一句话，1%的错误配置会让 99%的安全防护工作失去意义。因此需要采取更加合理持续性配置管理工具，和安全性检测手段，并且要把这些动作和企业云上资源的管理工具相结合，以减低配置错误带来的潜在风险。

合规性要求升级

合规性是目前阻碍众多公司使用云服务的主要原因之一。价格低廉、计算灵活，可根据需求创建、拆开、重配置、扩张和收缩，这些都是其吸引人的特点，但是它是否包括了必要的监管要求？尤其是在很多企业场景中，各种政府或者机构会提出很多规范要求，这些就是合规性要求。对于用户来说在全新的云环境中，云上的资源内容是否可以满足所有的合规要求，就成为了一个关注要点。

关于 HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和 K8S 容器云安全检测。

访问项目地址了解试用：

https://github.com/HummerRisk/HummerRisk