传统安全思维，可能是经典，但经典从来是被用来打破的，在云计算环境下更是如此。云计算打破了太多的安全金科玉律，网络边界模糊了，计算资源池化了，基础架构层与应用层之间的关系也被重新定义了，这一切都对安全提出了新挑战。

        关注云安全，每年CSA（云安全联盟高峰论坛）都颇有看点，汇聚了本年度国内安全厂商、用户对云安全最新的思考与实践。就当前的进展看，中国安全人开始以SDN的视角重新定义云计算中的网络安全、数据安全。

网络安全：安全域划分

        谈及网络层云安全，一个话题绕不开：如何划分安全域。传统网络安全域的划分依赖于网络的拓扑边界，而由此产生的安全技术都是对网络边界的安全保护。云计算中网络边界已模糊不清，网络资源被虚拟池化，因此，云计算网络安全解决方案必须另谋出路。

        目前，对云计算虚拟安全域的划分有两种流派：其一，以VMware为代表的虚拟化厂商，将传统安全防护设备虚拟化，与Hypervisor（虚拟化管理）功能整合，通过内部逻辑端口检测内部逻辑端口数据流量，实现虚拟机的安全管理。其二，以思科等主流交换机制造商为代表的厂商，其解决方案是识别虚拟机并将其流量引出，通过物理交换机实现流量监测。

        中国移动研究院信息安全所副所长杨光华认为，第一种方式无需改造交换机，但消耗资源多，不便灵活实施安全策略。交换机与Hypervisor层紧耦合，需采用新型交换机及更高性能的网络设备，但能实施较灵活的虚拟机流量监控策略，可扩展性强。

数据安全：密文处理是关键

        另一个广受关注的话题是： 数据安全。云计算模式使数据所有权与控制权相分离，这经常引发用户的担忧。云计算中数据安全的核心的数据加密。杨光华表示，用户在接受云安全时，经常会问我们三个问题：如何保证云计算服务商不看我们的数据？如何对密文数据进行处理？如何保证数据存储不被篡改？“传统模式下的加密和完整性验证技术无法针对密文文件进行处理，不能满足上述要求，因此，要借助新的数据保护机制。目前，中国移动较关注的数据安全关键技术包括：密文数据处理机制、密文存储数据完整性证明及审计机制、海量密文数据环境下快速检索机制。”

        启明星辰首席战略官潘柱廷以SDN（软件定义网络）的视角解读了云计算的数据安全：SDN解耦了数据、控制及应用平面，创造了一个可编程的网络。“我们正经历着一个IT生态的颠覆性变化过程，时空结构在变化，关注点从系统层向应用服务层和数据资源层攀升，价值在向人和数据靠拢，这些变化都给安全带来了机遇与挑战并存的变化。”

        绿盟科技首席战略官赵粮对此提出建议，用户应该立即动手，重视数据，建立或完善安全数据的运营体系。重视攻防和建模，基于异常和信誉的检测和防护方法重要性凸显。通过持续运营，不断优化数据和各种智能工具。

        目前，IBM等厂商针对数据安全进行了大量的研究，但实事求是地说，仍处于起步阶段。因此，数据安全还需要部分非技术手段进行规避，例如，亚马逊拒绝与美国医药巨头EliLilly公司签订网络安全隐患和服务安全风险赔偿协议；微软也提示用户：您应负责确定我们的安全性是否满足您的需求。由此可见，数据安全仍将是未来云计算面临的核心挑战之一，且从理论，到产品仍有一段很长的路要走。

        注：CSA，云安全联盟，非盈利组织，以在全球范围内提升云安全相关实践作为其使命。目前，有个人会员12000名，企业会员120家，国内安全厂商绿盟科技、启明星辰、华为、瑞星都是其核心会员。