由于云計算特性和已有的IT模式有很大差異，自從云計算誕生之后，在安全方面受到極大非議，安全問題是企業(yè)內(nèi)部引入云計算的最大顧慮。不可否認(rèn)在安全方面，云計算確實面臨許多挑戰(zhàn)，但是云計算的一些優(yōu)秀的特性將不僅能夠有效應(yīng)對這些挑戰(zhàn)，而且也將會比已有模式更安全。

簡介

挑戰(zhàn)：信任邊界變化，更多利益相關(guān)方，公有云暴露在互聯(lián)網(wǎng)上，虛擬化技術(shù)引入，數(shù)據(jù)存放的討論。

公有云是暴露給所有互聯(lián)網(wǎng)用戶的，這一點無疑是企業(yè)安全者最擔(dān)心的問題，通常大家都認(rèn)為“放在自己家里更安全”。

現(xiàn)有安全系統(tǒng)不足：成本高，復(fù)雜度也很高，內(nèi)部盜竊等。很多企業(yè)都不會配備自己專門的安全團隊，采用第三方的運維解決方案滿足安全方面得需求，大部分企業(yè)內(nèi)部核心數(shù)據(jù)丟失是內(nèi)部人員所為。

云計算優(yōu)勢：管理、信譽和容災(zāi)方面都有很大的優(yōu)勢。一般都是國內(nèi)外知名的廠商，而且有專業(yè)的管理和技術(shù)團隊保障我們正常的業(yè)務(wù)。

安全架構(gòu)

在安全方面云計算不僅需要應(yīng)對已有傳統(tǒng)IT挑戰(zhàn)，還需要應(yīng)對云計算特定的挑戰(zhàn)。下面我們一起來看一下云計算的安全架構(gòu)。

云客戶端：客戶端一般和用戶體驗相關(guān)，確保用戶在安全和穩(wěn)定的情況下使用云應(yīng)用，需要很多方面得增強，主要采用防火墻、殺毒軟件、補丁和沙盒機制等使客戶端免受侵害。并通過云端檢測和計算能力進(jìn)行快速的安全解析，且進(jìn)行相應(yīng)的處理。

云端：是云計算核心，安全通信、用戶管理、數(shù)據(jù)管理、應(yīng)用保護(hù)、系統(tǒng)和網(wǎng)絡(luò)等整體監(jiān)管以及合規(guī)性等等。

第三方機構(gòu)：一般具備很好的公信力，且在安全領(lǐng)域具備豐富的經(jīng)驗和技術(shù)，可以提供認(rèn)證和安全級別評估，使用戶有信息將數(shù)據(jù)存儲在云端和使用云服務(wù)。并且可以進(jìn)行監(jiān)管，確保在安全范圍內(nèi)運行，提供用戶的信任度。

Salesforce的安全機制

從云端的模塊角度說明安全性，用戶管理方面采用禁止cookie存儲用戶信息和會話信息，支持集成認(rèn)證和基于SAML協(xié)議來在多個相關(guān)web服務(wù)之間傳遞認(rèn)證和授權(quán)信息的方式。在數(shù)據(jù)管理方面對數(shù)據(jù)進(jìn)行有效的隔離和加密等方式確保數(shù)據(jù)安全，在網(wǎng)絡(luò)方面使用SPI、防御主機、雙因素認(rèn)證和全程加密機制確保網(wǎng)絡(luò)傳輸安全等等。

AWS的安全機制

在用戶管理角度AWS使用多種手段保障用戶安全，使用安全token，這個token不僅用戶SSH協(xié)議登錄，也用戶API的調(diào)用，提供多因素認(rèn)證和密鑰循環(huán)機制保障用戶賬號和訪問控制。數(shù)據(jù)安全放面采用兩層ACL控制機制，并使用HMAC-SHA1簽名認(rèn)證，所有通信都是會用SSL協(xié)議等等。

云計算為什么安全？

安全管理：專業(yè)的安全管理團隊，保障云計算中心的同構(gòu)型和專業(yè)性，有效的保證安全管理。

高可用性：普通的企業(yè)數(shù)據(jù)中心在高可用方面得投入肯定不如云計算中心，所以在保障核心應(yīng)用角度很難和云計算相比。

數(shù)據(jù)安全：避免內(nèi)部人員對數(shù)據(jù)危害，采用快照、備份和容災(zāi)等手段來保護(hù)數(shù)據(jù)的安全。

舉一個不是很恰當(dāng)?shù)睦?，大多?shù)人選擇把錢存在銀行，而不是自己修建金庫，其實就是這個道理，從成本、技術(shù)和安全角度來說，云計算能夠給我們低成本、高安全的保障。

釋放價值，分享知識和經(jīng)驗，解讀IT前沿和技術(shù)。幫助他人，提升自己。更多交流請關(guān)注微信公眾號itboxes（IT智囊）。