浅谈云计算安全性能分析方案

　　2011年1月7日消息，虽然大家对云安全都有些初步了解，但是通过一些具体实例或许才能更深入了解云安全。"云安全（Cloud Security）"计划是网络时代信息安全的体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

　　未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马，在这样的情况下，采用的特征库判别法显然已经过时。云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的"杀毒软件",参与者越多，每个参与者就越安全，整个互联网就会更安全。

　　云安全的概念提出后，曾引起了广泛的争议，许多人认为它是伪命题。但事实胜于雄辩，云安全的发展像一阵风[1],瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士等都推出了云安全解决方案。瑞星基于云安全策略开发的2009新品，每天拦截数百万次木马攻击，其中1月8日更是达到了765万余次。趋势科技云安全已经在建立了5大数据中心，几万部在线服务器。据悉，云安全可以支持平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库次命中率就可以达到99%.借助云安全，趋势科技现在每天阻断的病毒感染达1000万次。

　　云模式：SaaS

　　安全顾虑：单点登录

　　当Lincoln Cannon10个月前被一个拥有1500名员工的医疗器械公司聘用为网络系统主管，他希望帮助销售部门转换到谷歌应用和基于SaaS的训练应用eLeap,从而降低开发成本并提高生产力。

　　不过，需要解决一些顾虑。营销人员不希望用户有多次登录，特别是在增加新员工和员工离职要终止其账户的时候。

　　Cannon选用了Symplified的单点登录，因为它可以与Active Directory进行联系并验证那些试图登录云应用用户的证书。谷歌应用使用API将用户鉴别卸载给单点登录的供应商。

　　Cannon认为它就像是一个保全。因为要想获取eLeap训练或是Google应用，都需要通过单点登录供应商的验证。我们通过Symplified 进行对被授权访问这些SaaS应用的帐户进行定义，而要关闭一些AD帐户时，它会适时对关闭的帐户进行阻止，以防这些帐户访问SaaS应用。

　　Symplified系统可以在SaaS模式中操作，但是该器械公司选择在其防火墙后部署一个由Symplified 托管的路由。之所以这样做是因为IT部门不想在云上管理用户帐户和密码。所有这些有关帐户和密码的操作都在防火墙后端进行。

　　云模式：IaaS

　　安全顾虑：数据加密

　　纽约的Flushing银行，CIO Allen Brewer想改成用云进行数据备份。选用Zecurion的Zerver后，Flushing银行现在要将文件通过互联网上进行备份。Brewer表示，有些公司以来供应商提供加密，而他们则依靠自己。所银行发送和保存的数据都在供应商处被加密。

　　某些基于云的备份存储供应商将装置安装在客户端以适应加密，但是Flushing则对这样的安装不感兴趣。Brewer之所以选择Zecurion是因为他知道存储信息的数据中心的位置。他表示，自己知道该公司三个数据中心之所在，而并非将数据发送到云然后对数据位置一无所知。

　　云模式：实地云

　　安全顾虑：虚拟化

　　当SnagAJob.com的IT运营总监Matt Reidy着手进行公司为期三年的技术更新是，他的目标是将公司现有的75%的虚拟环境提升到100%虚拟的，私有的安全云计算，并在其部分使用运行VMware和vSphere的戴尔刀片服务器。

　　Reidy认为，RnagAJob作为一个增长迅速具有发展潜力的网站需要以云模式获得运营的灵活性。在技术更新以前，SnagAJob拥有一个多层架构，该架构的防火墙为Web,应用和数据层进行物理隔离。而物理防火墙今后将只存在于防入侵检测和防御装置之外的周边产品中。

　　Reidy还解释称，在vShpere 版本四出来前，用户可以将防火墙装置作为虚拟机运行，但是其性能受到很大局限，因为网络流量必须通过这些虚拟机。而现在，vSphere具备一个名为VMsafe的API,可以让Altor,Checkpoint等防火墙供应商把流量检测转移到VMware核中。

　　Reidy认为新版本改善了产品的性能，稳定性和安全性。有了Altor虚拟防火墙，他的团队现在还能观察流量在虚拟机之间的传输，包括协议和数据大小。在虚拟云领域这是一项挑战，因为传统的产品是做不到这一点的。而现在，我们可以获得更多安全性，因为我们可以看到数据的传输并在此观察的基础上编写规则。

　　云模式：PaaS

　　安全顾虑：虚拟化，业务持续性，审核

　　在新开的公司里，Kavis选择让Amazon托管公司的整个架构。在此之前，他与要部署虚拟机的安全进行了商谈以明确自己的需求。然后Kavis创建了一个应用那些控件的虚拟图片，并创建了一个抽印程序以便可以随时复制并依据需要安装一个新的虚拟机。

　　Kevis说："Amazon提供了虚拟图像软件，但是其安全性却不够。" "如果使用PaaS,那就只有这个问题需要处理，不过如果是使用IaaS,我就可以将安全性能设置到我希望的级别。"

　　Kavis还需要执行系统管理员应该执行的所有函数，如打开和关闭端口，编写配置，锁定数据库。而他使用Amazon提供的LAMP堆栈。Kavis非常满意于Amazon提供的周边安全，并认为其产品达到了很多公司做不到的级别。

　　为了保障业务持续性，Kavis将所有的数据都复制到两个以上的额外环境中。除非Amazon多个地域的环境全部瘫痪，Kavis公司的业务才会瘫痪。不过Amazon每个指定域都拥有较高的可靠性，因此所有业务在同一时间全部瘫痪的可能性微乎其微。

　　Kavis还要解决的另一个问题是审核。对于符合规则的数据，Kavis计划使用一个虚拟专有云。这样供应商就会说："你的服务器被锁定，如果你需要审核，可以将带审计员来检查。我们将以此来完成审计，但是所有的操作都将在公共云上进行。"即便用户需要就地收录特定类型的数据，从规模和成本角度出发，也需要将进程卸载到公共云。