云计算发展惹质疑 安全厂商竞逐“云安全”

　　攻击升温

　　事实上，自云计算诞生以来，云服务的安全问题就伴随其左右，并成为其走向规模商用的最大掣肘。早在2010年5月，埃森哲与中国电子学会共同发布的一份名为《中国云计算发展的务实之路》的报告指出，“安全问题是全球对云计算最大的质疑。而这种担忧在中国尤为突出，以至于首席信息官们如履薄冰，特别是面对公有云服务时。”

　　阿里巴巴集团安全部资深专家魏兴国表示，当前云计算面临着非常恶劣的网络环境。报告显示，在国外的主流云服务提供商中，他们的云主机很大比例都是被入侵过的云主机，而且很多用户对入侵完全不知情。

　　魏兴国说，事实上，阿里云遭遇攻击的频率也非常之高。就DDoS攻击来说，每周就有2000次左右的攻击，而且每次攻击流量都很高;密码破解类的攻击则每周发生上亿次。

　　就在6月18日，阿里云安全在微博上透露，当天阿里云用户遭受多次超大流量DDoS攻击，攻击峰值接近300Gbps，此次被攻击的阿里云用户多属于电商行业。

　　尽管通过流量清洗等技术手段成功化解了攻击，但是可以看到，未来云服务遭受攻击次数将逐步上升，可能一天之内就会发生多次攻击。

　　“针对云服务的攻击将会越来越多。而且DDoS和APT攻击将成为主要的攻击手段。”IDC安全领域分析师王培接受记者采访时表示。

　　安全狗给出的分析报告显示，针对云服务器的攻击类型主要包括三种。一是针对云服务器上应用系统的攻击，这类攻击也是在所有攻击中占比最高的;二是针对云服务器远程登录密码的暴力破解攻击;三是针对云服务器的DDoS攻击。

　　2014年，全球范围内的云服务出现了大量的DDOS攻击事件。12月中旬，某大型互联网服务商的云平台上一家知名游戏公司遭受DDoS攻击，攻击峰值流量超过450Gbps。

　　与此同时，《2014中国互联网安全报告》指出，除了DDoS攻击之外，钓鱼站点逐渐向云平台迁移。云服务申请和使用方便、成本低廉、安全审核不严，且云平台同时承载多种不同类型的业务，传统基于IP地址的追踪处置手段难以适用，日益成为钓鱼网站栖息的“温床”。

　　《2014中国互联网安全报告》针对2014年处置的银行类钓鱼网站分析，按所承载的钓鱼网站数据排序，排名前十的IP地址有4个属于云服务提供商。报告认为，云平台的逐步普及，将加大数据泄露和网络攻击风险，防护措施和管理机制有待完善。云计算技术的发展推动数据的集中化，在大数据时代，海量数据既是企业和用户的核心资产，也成为网络攻击瞄准的目标。以窃取数据为主要目的的攻击事件将越来越多，云平台自身的网络安全防护特别是对海量数据安全的防护将面临挑战。

　　值得一提的是，云安全事件频发和企业云平台缺乏安全审核和管理机制也有着很大的关系。专家指出，目前大多数云服务商的安全审核机制并不完善，用户租用后作何用途，云服务商并不清楚知晓，也未作严格审核或周期性检查，因此出现黑客在云平台部署钓鱼网站、传播恶意代码或发动攻击的情况，如不及时加强管理，未来这种现象将继续增多。

　　师夷长技以制夷

　　从云计算诞生那天起，安全厂商就开始投入到云相关安全产品的研发中去。而最早提出“云安全”概念的是趋势科技，2008年5月，趋势科技在美国正式推出了云安全技术。

　　由于安全是内生问题，将云安全作为一个单独的事物对待，在当时曾经引起了广泛的争议。这个现象在百度百科上也可以查阅到：云安全的概念提出后，曾引起了广泛的争议，许多人认为它是伪命题。

　　事实胜于雄辩，云安全的发展像一阵风，瑞星、趋势、卡巴斯基、McAfee、赛门铁克、江民科技、金山、360安全卫士等都推出了云安全解决方案。

　　这些以纯软件为主的安全厂商倾向于借助互联网的力量和云本身的优势来保护云的安全。他们对于云安全的策略构想是使用者越多，每个使用者就越安全，因为如此庞大的用户群，足以覆盖互联网的每个角落，只要某个网站被挂马或某个新木马病毒出现，就会立刻被截获。

　　同时，利用“云安全”体系，杀毒软件能够更快地收集病毒样本，更快地对病毒进行处理，并能在网络威胁到达用户电脑前就对其进行阻止，反病毒的效率大大提升，而且将更为智能化，带来更完善的用户体验，最终目的可让互联网时代的用户都能得到更快、更全面的安全保护。

　　而传统的硬件安全厂商则开始推动安全产品的云化，虚拟防火墙就是安全产品云化或是虚拟化的代表产品。例如，以前防火墙和入侵监测等安全设备都是以盒子的形式和服务器一起共同放到一个机架上，云化之后，这些产品就以虚拟机的形式存在。