云計算的定義有廣義和狹義之分，很清晰。但是對于什么是云計算安全，業(yè)界卻沒有明確的說法。在了解云計算安全之前，我們先要明確一點，云安全和云計算安全是兩個概念，不能混淆。
我看到過很多安全廠商所提出的云計算解決方案，以此為基礎，我嘗試著對云計算安全給出一個個人說法。我認為，目前，狹義的云計算安全包含三個核心技術方向，分別是訪問控制、數據加密和對虛擬機的安全防護手段。而廣義的云計算安全則包括云服務提供商所采取的各種網絡安全措施，例如防DDoS攻擊技術。
訪問控制：確認用戶身份
已經有云計算服務提供商利用訪問控制來增強云計算的安全性。
PivotLink公司提供基于云的、按使用付費的商業(yè)智能服務。它與Novell合作并對后者的云安全服務進行了beta測試。
PivotLink負責開發(fā)的高級副總裁Bob Kemper說：“我們從插入在客戶的服務中的Novell服務獲得認證功能。目前我們使用身份管理和他們的認證服務來管理安全水平。Novell與所需的企業(yè)系統(tǒng)進行集成來提供對信息的訪問。”
PivotLink的許多客戶是各公司的零售經理。在使用Novell的云安全服務時，這些客戶不必使用運行在企業(yè)內部的Novell軟件，只要使用任意LDAP或Active Directory基礎設施就行。
這種基于云的服務使用基于SAML的認證。與Novell合作進行beta測試的協(xié)議允許客戶可以自動刪除離職的商店經理的賬戶并給新上任的經理自動添加授權使其能夠使用PivotLink的服務。
Kemper說：“我們的客戶表示需要某種形式的管控和審計。則使得他們對把敏感數據上載到云中感到更放心。
Novell云安全業(yè)務部總經理DiptoChakravarty說，Novell與許多軟件服務化、托管提供商進行接觸，了解他們對與Novell在基于云的安全服務方面開展合作的興趣。
有一種設想是，Novell必須起到技術協(xié)議“中立國”的作用，支持SAML1.1、SAML2、WS-Fed、InfoCard和OpenID以及企業(yè)端的Shibboleth。Chakravarty表示，Novell云安全服務是真正的多客戶托管安全解決方案，它可以由SaaS的托管服務商托管，或由Novell的合作伙伴托管。
EMC信息安全事業(yè)部RSA首席技術官Bret Hartma表示，專業(yè)的安全廠商可以滿足云計算服務提供商三個方面的安全需求：
第一方面，保護云服務提供商免受外來攻擊。
第二方面，滿足云計算環(huán)境中不同租戶之間的數據獨立性。在一個云環(huán)境中通常會有兩個以上的租戶，他們之間的數據不能互相干擾。而且在未經授權的情況下，一個用戶不能訪問另外一個用戶的數據。
第三方面，確保云服務提供商自身平臺安全，比如訪問控制、身份認證等基礎性的要求。只有滿足這三方面的需求，企業(yè)才能非常放心地將他們的應用轉移到云平臺上。

加密：保證數據自身安全
企業(yè)通常在網絡的邊界部署安全設備，用來拒絕外部非授權用戶的訪問。然而在虛擬化環(huán)境中，虛擬IT服務不存在物理邊界。于是，企業(yè)必須假設所有傳輸的數據都有潛在的被攔截風險。
沒有了物理控制，就必須依靠其他加固原理來限制對信息的訪問。信息的加密是其中最重要的方法，它可以限制對有用信息的訪問，這種限制甚至超過了對物理系統(tǒng)的保護級別。所以，加密成為了保證云服務安全性的關鍵性部分。
賽門鐵克資深信息安全顧問林育民表示，在保護云端的數據安全方面，賽門鐵克正在研發(fā)新的用戶密鑰管理技術，來保護用戶數據的安全。
趨勢科技執(zhí)行副總裁暨中國區(qū)總經理張偉欽認為，如果企業(yè)把數據放到云服務提供商那里，數據的加密和解密就很重要。密鑰一定要在企業(yè)自己的口袋里，別人只要沒有密鑰，就不能看到數據。需要注意的是，鑰匙一定不要放在IT部門，而且資料的保存者和鑰匙的擁有者一定要分開。

虛擬機防護：傳統(tǒng)安全釋放新活力
在保護云計算環(huán)境的安全方面，一些國外的安全廠商，例如StillSecure和Alert Logic，已經開始提供入侵檢測、入侵防御服務，保護云服務提供商那里的基于虛擬機的服務器。
為醫(yī)院和醫(yī)療保健機構提供病歷管理的Automated Document Solutions(ADS)公司IT主管Mike Crews表示，ADS使用Host.net作為云提供商。當幾個月前Host.net開始與StillSecure合作提供IDS/IPS服務時，ADS訂購了服務，享受這類全天候監(jiān)測的好處。
Crews說：“ADS很難自己部署這類功能，因為StillSecure這樣的安全專家才能做好此類事情。”Crews說到目前為止，StillSecure提供的這項安全服務運行的很好。StillSecure擁有自己的網絡運營中心，這個運營中心監(jiān)測運行在Host.net那里的ADS虛擬機上的情況。服務的費用為每10臺虛擬機每月支付250美元。ADS認為這樣的費用是可以承受的。
另一家云基礎設施提供商——iland公司CTO Justin Giardina說，iland在一年多以前便開始通過安全公司Alert Logic在其數據中心提供IDS/IPS監(jiān)測服務。
iland的每家云客戶通常會得到基于VMware虛擬機的虛擬LAN分段、防火墻保護。另外，客戶還可以選擇讓Alert Logic從自己的網絡運營中心監(jiān)測這些虛擬機。
Alert Logic的監(jiān)測使用基于主機的軟件，該軟件運行在管理程序級。Alert Logic IDS/IPS服務可以被配置為通過觸發(fā)Cisco ASA防火墻(例如檢測到問題)的自動響應來自動保護某個網段。
有不到四分之一的iland客戶使用這個Alert Logic服務。雖然Alert Logic負責對虛擬機的24X7監(jiān)測，并且與客戶建立直接的關系，但是如果發(fā)生安全事件，iland也可能會牽扯進來。
Giardina說：“不是每個人都懂得打補丁的重要性。”他談到了因黑客和惡意軟件造成的服務器安全受到損害，iland有時也收到Alert Logic的通知來回應安全事件。
雖然除了Alert Logic提供的安全服務外，iland當前沒有增加更多第三方安全服務的計劃，但Giardina說，iland正在研究建立基于賽門鐵克軟件的病毒掃描和防護服務的可能性。賽門鐵克的新軟件將利用基于VMware的VMsafe API實現管理程序級的監(jiān)測功能。
雖然沒有在中國進行重點宣傳，但是在保護云計算安全方面，領先的安全廠商都有自己的計劃和產品。
Check Point中國區(qū)總經理劉偉表示，VPN-1 Power VSX 是專門為基礎設施整合而設計的虛擬化安全網關，對協(xié)助企業(yè)加強對云計算等一類虛擬化環(huán)境的安全控制有幫助。對于云服務供應商而言，VSX可以輕而易舉地協(xié)助他們提供新的安全服務，因此是發(fā)掘新收入來源的理想平臺。這些新安全服務包括增值虛擬化內容過濾、VPN、網絡分區(qū)及防火墻服務。
在今年的RSA安全大會上，SonicWALL推出了兩款安全虛擬設備——全球管理系統(tǒng)虛擬設備與ViewPoint虛擬設備。SonicWALL產品管理副總裁PatrickSweeney說：“企業(yè)部署的虛擬設備需要能夠提供關鍵的安全性能并有助于提高工作效率，才能充分發(fā)揮設備優(yōu)化、更低成本、數據中心容量充分利用以及云計算基礎設施的優(yōu)勢。SonicWALL最新推出的產品可幫助大中型企業(yè)在虛擬化環(huán)境中開發(fā)可擴展的安全解決方案。”
趨勢科技在收購Third Brigade后，經過一年多的整合和聯合開發(fā)，推出了面向云計算架構虛擬服務器保護的Deep Security 7.0新產品。據張偉欽介紹，作為一款全新的保護虛擬化服務器的安全解決方案，Deep Security 7.0將云計算環(huán)境中的全部服務器納入保護范圍，包括操作系統(tǒng)、網絡、應用程序等，不論用戶使用的是何種運算環(huán)境、虛擬化平臺或儲存系統(tǒng)，它都能提供優(yōu)異而完整的安全保護。
Deep Security 7.0的主要特色包括：在云端服務器中設置一套防護模式，預防信息的外泄與中斷;降低虛擬環(huán)境和云計算環(huán)境的安全管理成本;協(xié)助實現各種法規(guī)與標準的遵從要求，例如PCI、HIPAA等;為云計算數據中心解決各種黑客攻擊問題，如SQL注入攻擊、跨站攻擊等。

云計算的絆腳石
云計算描繪了一幅美妙的未來圖景。然而，企業(yè)們發(fā)現通向美好愿景的是一條艱辛之路，數據保護和虛擬環(huán)境中的風險管理讓人望而卻步。毋庸置疑，安全問題已經成為了阻礙云計算發(fā)展的最大“絆腳石”。
在2010年RSA大會上，RSA總裁科維洛表示，“有些事情阻礙了云這一愿景的充分實現。簡單地說，那就是安全。據調查，有51%的首席信息官認為安全是云計算最大的顧慮。安全沒有跟上云計算的步伐。”
云安全聯盟所做的調查研究指出，業(yè)在選擇云服務時面臨著惡意攻擊和數據意外丟失的雙重危險。最關鍵的問題是應用程序編程接口(API)開發(fā)工具十分脆弱。研究人員表示，企業(yè)將眾多的其他服務捆綁到一個云計算應用程序上，無形中使得自己暴露出了最薄弱、最易受攻擊的環(huán)節(jié)，其中任意一個服務受到損害，將會導致所有連接的其他應用程序遭到攻擊。
另外，根據獨立研究與產業(yè)分析報告顯示，虛擬化后的企業(yè)數據中心的安全狀況令人擔憂，盡管95% 的數據中心在 2009年都已采用了虛擬化技術，然而生產環(huán)境中的虛擬機器有60%以上比物理主機更缺乏安全防護。更糟糕的是，虛擬化為云計算提供了很好的底層技術平臺，這些被虛擬化的設備和存儲空間，大多已經成為云中的重要成員。
由于云計算是一個開放的環(huán)境，沒有清晰定義的網絡邊界，云端部署的應用程序與操作系統(tǒng)受到攻擊的可能性就會很大，很多計算資源今后都會面臨更多的風險，安全形勢會變得越來越嚴峻。所以，盡管安全廠商已經做出了很大的努力，但還需要讓云計算的安全性變得更好。