谭晓生：安全威胁是云计算产业链中所有人的敌人

6月3日至5日，第七届中国云计算安全大会于北京国家会议中心举行。随着云技术被不断运用在各个领域，其面临的安全风险也日益凸显。360副总裁谭晓生在6月4日举行的全体会议中表示，云计算安全问题更甚以往，甚至已对整个云计算产业链构成了威胁；企业应加强纵深防御，联手出击谋求共赢。

云计算安全成共同阴影

有关数据分析表明，2015年全球云计算市场预计可达1300亿美元，年增长率为20%左右。但谭晓生认为，云计算兴起的背后潜藏着重大的安全隐患：虽然云计算较传统技术更为发达，但传统安全问题却并未解决，而且还诞生了新的攻击面，增加了企业防范难度。

图1：谭晓生指出云计算领域面临重大安全挑战

其中很重要的一点就是云计算系统本身安全性的不足：由于云技术尚未成熟，故系统平台往往存在更多的漏洞。从12年Vupen团队发现的Xen漏洞，到潜伏11年、近日才曝光的“毒液”漏洞，大量的案例都在证明，“年轻”的虚拟化系统、云计算管理平台依然脆弱。

同时云计算的复杂也为安全性验证带来了隐患。在谭晓生看来，云计算组成与P/NP类似，在所有安全问题没有完全暴露出来前，只能做猜测性质的防御手段，就像永远无法证明N与NP恒等一般。

除系统问题，人为操作也成为影响云计算安全的重要因素。由于云端数据丰富且联系紧密，（黑色）数据源的触角能延伸到更深，从而对云计算单点突破的规模效益也会有显著提升。内部人员操作失误或者有心做恶的话，将会引发极为恶劣的影响，一如此前的携程宕机。

企业应能力共享以求共赢

面临着日益严峻的云计算安全情况，360副总裁谭晓生认为，云企业间应联手应对，而非单打独斗或者互相拆台。而谈及具体的防范手段时，谭晓生表示“世上没有攻不破的城墙”，云计算安全应由墙式防御转为塔式防御，以加强防御纵深。

图2：谭晓生希望加大云防御纵深、并谋求云服务企业的合作共赢

谭晓生继续介绍，云计算的纵深防御可以从宿主机OS安全加固、KVM/Xen/VMWare等安全防护与加固、IaaS安全管理系统、行为审计、虚拟机主机安全防护、主动安全扫描、设计攻击陷阱、采用第三方威胁情报服务、专业安全团队全天候运维等十二种方法入手，在多维度设立防范措施。

但如此复杂的云计算能力以及庞大的数据库，已远超一般公司的控制范围。谭晓生表示，因此360成立以“让企业安全用云”为使命的360云事业部，在为用户提供庞大数据之余，还推出了360鹰眼、360磐云等多款安全产品，以弥补其在防御纵深上的不足。

“云服务不是零和博弈，我们云服务企业应当联合起来共同解决云计算安全问题，以追求合作共赢。”谭晓生如是祝愿。

声明：东方联盟网站刊登/转载此文出于传递更多信息之目的，并不意味着赞同其观点或论证其描述。