云的安全 VS 云内的安全

摘要：什么是云的安全（Security OF the Cloud）和云内的安全Security IN the Cloud, Oracle Cloud在这两方面有什么特色和优势？

云计算面临的主要安全问题

自从2005年亚马逊推出AWS，标志着云计算正式开始商用，自从有了云计算，人们就开始关心云计算的安全。Gartner最新的研究发现：安全和隐私问题仍然是许多公司采用云服务的两个主要障碍。

云计算的安全问题涉及的范围很广泛，需要面对的问题很多，2008年，Gartner发布了《云计算安全风险评估》报告，主要从供应商的安全能力角度分析了云计算面临的安全风险，列出了云计算技术存在的七大主要安全风险。

风险

描述             

特权用户接入

供应商的管理员处理敏感信息的风险

可审查性

供应商拒绝外部审计和安全认证的风险          

数据位置

数据存储位置未知的隐私风险

数据隔离

共享资源的多租户数据隔离

数据恢复

供应商的数据备份和恢复能力

调查支持

供应商对不恰当或非法行为难以提供取证支持

长期生存性

服务稳定性、持续性及其迁移

 

2009年云安全联盟CSA发布《云计算关键领域安全指南》，主要从攻击者角度归纳了云计算环境可能面临的主要威胁，提出12个关键安全关注域，之后发布了一份云计算安全风险简明报告，将安全指南浓缩为7个最常见、危害程度最大的威胁。

威胁

描述

滥用和恶意使用云计算

利用云服务发送垃圾邮件或传播恶意代码等恶意活动

不安全的接口和API

接口质量和安全没有得到保障以及第三方插件的安全

不怀好意的内部人员

从组织内部发起攻击，如果公司使用了云服务，威胁将会进一步放大

基础设施共享问题

攻击者获取IaaS供应商非隔离的共享基础设施将不受控制的访问

数据丢失或泄漏

云中不断增长的数据交互放大了数据丢失或泄漏的风险

帐户或服务劫持

攻击者获得云服务用户的凭据，导致云服务客户端出现问题

未知的风险

未知的安全漏洞、软件版本、安全实践和代码更改等

 

2 0 0 9 年1 1 月， 欧洲网络与信息安全局(Europeannetwork and information security agency，ENISA)通过实践调查和专家咨询，将云计算环境的风险分为策略组织风险、技术风险和法律风险三大类。

可见，云安全是个很复杂的问题，涉及到很多方面，从最里层最核心的数据安全，到IaaS，PaaS，SaaS服务的安全，到身份管理，访问权限控制，到网络安全，到外层的数据中心本身的物理安全，正如洋葱一样，一层套一层。如下图说示：

 

云安全的职责划分-云的安全和云内的安全

云计算的安全好比一个写字楼里的安全，物业负责整个写字楼的外部安全，如消防，电梯，视频监控，进出写字楼人员的登记等。而写字楼里面各种租户，也就是在写字楼里面办公的各个公司要负责自己的内部安全。如要锁门，钥匙要保管好，可以安装自己的门禁系统，甚至聘请自己的保安人员。有些安全措施是需要物业和公司租户共同负责的，比如公司要约束自己的员工不要把电梯卡或者门卡借给别人。对离职人员，要把电梯卡和门卡收回等。最终，整个办公环境的安全需要物业和公司的共同努力。

同样，云端的安全是由云服务提供商和客户共同负责的。云服务商负责基础设施的威胁防护，而数据的防泄漏，账号安全，密码等是要由用户自己负责的。下面是AWS定义的云上安全职责划分图，也是业界的通用做法。绿色由云服务提供商负责，黄色是云服务提供商和客户共同负责，灰色由用户自己负责。针对IaaS，PaaS，SaaS划分会有很大不同，如下图：

 

 

所以：

云的安全Security OF the Cloud: 主要是底层基础设施和运行环境的安全，相当于一栋写字楼或者一个小区的外围安全。主要是图中的绿色部分加黄色部分

云内的安全Security IN the Cloud：主要是上面应用和数据的安全，相当于写字楼里面的公司自己内部办公场所或者小区住户家里的安全，主要是图中的黄色部分加灰色部分。

Oracle提供的云安全服务有什么特色

Oracle作为企业软件的领头羊，成立40年以来，致力于为客户提供安全可靠的软件和服务。和其他云计算提供商相比，Oracle的云安全服务有以下特色：

安全一直是Oracle的DNA

安全里面最关键最核心的是数据安全，而Oracle做数据库出身的，作为是数据库的领头羊，安全一直是Oracle的DNA，安全是Oracle的第一任务，Oracle云每天处理450多亿笔的交易。Oracle有56000+云计算方面的人才，1600+具有丰富云安全经验的运维人才。Oracle 的身份管理和访问控制云服务IDCS每周管理着超过2700万的用户身份。放在Oracle云中的数据默认是隔离和加密的。

Oracle Cloud Security: 全面覆盖安全的方方面面

如下图说示，Oracle Cloud Security: 全面覆盖安全的方方面面，包括云的安全和云内的安全。从员工的背景调查，到职责分离，权限控制，管理层的监督，到第三方的审计。从加密访问到数据的清理和隐私保护。

从物理是安全保障措施到恶意软件的阻止和安全的强化和监控及安全事件的及时响应和处理。

Oracle有严格全面的云安全指导原则

如下图所示，Oracle有非常严格全面的云安全指导原则，从产品技术到管理流程到员工的背景调查和培训以及物理的网络访问控制。有一整套的体系，流程和最佳实践，提供企业级的安全服务。

在Security in the Cloud领域，Oracle也提供很丰富的产品

作为云服务提供商，除了保证职责范围内的Security of the cloud部分的安全外。在由客户自己负责的在Security in the Cloud方面，Oracle也提供全面丰富的产品，如下图，帮助客户提高云上的安全性。

 

总结

安全问题是很多企业是否上云的重点考虑因素。凡事有个过程，就好比把钱或者贵重物品放在银行比放在家里安全一样。随着技术的发展，把数据和应用放到公有云上也会比放在自己的数据中心安全。

作为企业软件和数据库的领头羊，安全是Oracle的DNA, 从产品技术，流程管理，人员培训，物理的数据中心和网络访问等方面保障安全。不管是云的安全(Security OF the Cloud)，还是云内的安全(Security INthe Cloud)。Oracle Cloud都有丰富的产品线和服务，提供端到端的企业级的云安全。