为什么连小马哥都在担心云安全

近日，马化腾在2016年腾讯“云+未来”峰会发表演讲，他认为现在互联网+的基础设施的第一要素就是云，云已经不仅仅是过去那个数据中心托管数据这样的简单概念，它包含到互联网+、信息能源的发展趋势，传统公司以前谈触网现在已经变成触云。

同时，马化腾也坦言，最担心云安全问题。

(小马哥原文引用)但是，我现在最忧虑的一个问题还是云的安全问题。其实很多企业在拥抱互联网，拥抱云的过程中，也有很多不法分子，有很多坏人，他甚至比你们动作更快，他更早的利用互联网，利用云，所以有很多诈骗，包括我们现在遇到很多在移动互联网、在微信里面，看到很多人利用互联网和云的能力，来进行诈骗、，这种情况愈演愈烈。在我们这个平台上，我们不管是不行的。所以我们在近期也在花很大的力气来打击。我相信，这个成果对我们未来的云安全是非常有用的，因为我们把每一个用户的信用长期是记录下来的，这对未来我们整个云端所有的生态合作伙伴，他使用和接入这些用户的时候，他就有一个更安全的基础，否则这个云是不设防的，对企业是非常危险的。

为什么云不安全？

严格来说，虚拟化并不是一项新技术，早在云主机之前，IDC们就开始把实体服务器划分成为VPS（Virtual Private Server）卖给客户。而与云主机不同的是，VPS虚拟出来的CPU、内存、磁盘等资源是来自一台服务器，而云主机的资源则是从资源池中虚拟出来的，资源池也就是N台服务器组成的计算集群。

然而正是虚拟化惹的祸，虚化模糊了安全的边界，云主机的资源都是虚拟出来的，你购买的云主机甚至在数据中心里都不会有个固定的机位号，那么你又如何把硬件安全设备放入数据中心，再接入你的云主机呢？换句话说，如果业务从实体服务器环境迁移到云环境，安全硬件已经无法生效了。

在硬件服务器时代，我们的安全防护比较简单，只需在服务器外围架设硬件防火墙、IDS、IPS这种外围设备即可。用我们小白的话说，硬件也就是把软件装到了盒子里，那为什么安全厂商要费事多一道工序，更喜欢出硬件？安全硬件有天生的优势，比如可以降低服务器端的资源损耗，对抗流量攻击更有效等，但安全厂商更喜欢推硬件的原因，恐怕还是出于 “能看得到的硬件比软件更值钱”的固定思维。

这恐怕也是小马哥的担心所在，当用户还在使用实体服务器的时候，可以很容易的找到安全设备，比如防火墙、waf、utm、堡垒机、扫描器、日志审计等，可以说从风险识别到安全防御再到攻击回溯，你都能找到合适的硬件安全产品，但到了云环境，你能选择的安全产品屈指可数，这恐怕也是很多用户还不肯把业务迁移到云环境的重要原因。

市场总是被需求所驱动，面对云安全，用户是否真的没的选？NO，云安全市场正在崛起：

代表品牌：阿里云盾、360网站卫士、加速乐、百度云加速、牛盾等。

云waf其实是CDN技术和流量过滤技术的结合，是在CDN的节点上部署流量过滤器，了解CDN技术的同学应该不难了解云waf的原理。

优点：总的来说简单、好用，只需要把你的网址解析到云waf提供的域名即可，并且基于CDN技术，还可以加快网站的访问速度。只要云waf提供商的带宽足够，对抗DDOS等流量攻击效果非常理想。

缺点：云waf是服务器的外围安全设备，一旦被穿过，达到主机层，就没有防御效果了，比如上传一个加密的webshell，或者你的服务器上已经存在了恶意代码，这时候云waf是帮不了你的。

代表品牌：云锁

云SAAS也就是部署在服务器上的安全软件，属于底层安全技术，需要用到内核安全技术，简单的说就是通过扩充操作系统安全相关的内核代码，加强操作系统对抗恶意代码和黑客攻击的能力，比如修复系统漏洞、防止病毒木马执行、防止提权等；同时通过规则或者web中间件过滤插件，可以有效过滤SQL注入等网络攻击。

云锁和安全狗都属于云SAAS，用户量都在300万左右，不过技术路线不太一样。云锁采用服务器端agent+远程控制台的方式，更强调安全产品的轻量化运行；安全狗则是将服务端分为服务器安全狗和网站安全狗两端，更强调用户的使用场景。

优点：云SAAS安全防护的涵盖面更广，能有效防御从“流量发起-应用请求-本地资源调用”的全过程，也就是说相当于软件waf+主机安全加固的合集，当waf的网络层被穿过后还有主机层的防御。Garnter最新提出的“自适应安全”，其实就是以云锁、安全狗这类的SAAS为基础，持续对企业业务系统进行学习并识别业务的风险点，通过防御模块减少风险面，在检测到未知威胁和业务资产变更时，能自动调整安全策略。

缺点：云SAAS的缺点显而易见，那就是对操作系统的局限，不管是云锁还是安全狗都必须部署在服务器上，都只支持windows 和linux两大操作系统，对于aix、solaris等小机，云锁和安全狗都是不支持的。其实这也是为什么云SAAS那么少的原因，以linux为例，分为centos、Ubuntu、redhat、中标麒麟等等，centos又有centos4、5、6、7，每个大版本下又有cento4.1这样的小版本，总的加起来可能有数百个，换句话说，云SAAS每出一个版本都需要在几百个操作系统里面做兼容性测试。。。这种“深坑”，恐怕也只有少数对安全很有专研精神的公司会去趟。

在笔者看来，把安全硬件还原成适合云环境的软件，每个安全厂商都很容易做到，只是看是否愿意放弃原来的市场而已。目前国内还没有看见，在国外amazon上可以看到一些硬件防火墙重新虚拟成服务形式提供给客户使用，至于优缺点就和防火墙一样，没什么好说的。

小马哥不用担心，我们面对云安全并不是束手无策，目前只要选择云waf+云saas，即可获得不错的安全防御。