关于云安全概念

这两年，随着云计算的盛行，关于“云安全”的各种声音也愈发多了起来，但是，市场上存在着各种各样的理念与说词，往往让人无所适从，到底什么是“云安全”？有什么样的云安全问题？哪些是对我有用的云安全？我可能需要关注哪些方面的云安全话题？我觉得很有必要把这个概念首先澄清一下，也试图把市场上多种多样的云安全问题进行一个简单的梳理。

纵观市场上林林总总的“云安全”概念，其实无外乎分成如下三种类型：

• 使用云计算的安全（security about using cloud computing)
• 利用云计算提供的安全服务(security from cloud computing OR Security as a service)
• 保护云计算自身的安全(security for/in cloud computing)

上述三个方面的安全问题都是各自领域里面相对独立的问题，实际上是依照不同的提供者，使用者，受益者的不同而不同，同时，需要关注的内容与角度也大相径庭，下面是几种类型的简单对比：

	提供者	使用者	受益者	核心关注内容
使用云计算的安全	云提供商，使用者	享受云服务的使用者	享受云服务的使用者	数据的安全，稳定性，可靠性
利用云计算提供的安全服务	云提供商	享受云安全服务的使用者	享受云服务的使用者，云提供商	隐私保护，服务有效性
保护云计算自身的安全	云提供商	云提供商	云提供商	云计算中心安全健壮性，防破坏

其实目前市场上关于前面两种的云安全问题讨论的最多，但是关于第三种安全问题却寥寥，一方面原因可能是企业构建的私有云的安全建设本来就需要保密，另外一方面是哪些公有云提供商由于种种原因不愿意透露给公众得知，而同时，关于这方面的实践也可能还不足，但是，这方面的问题却是很多希望构建自己的私有云或者公有云的建设者所最头疼的问题。

关于使用云计算的安全问题，在Google或者Baidu里面随便搜索就可以得到相关信息，如何选择公有云？公有云使用中如何保障隐私？公有云使用中数据是否需要加密？访问通道是否需要加密？如何通过SLA来保障自身利益？而关于云计算安全业界鼎鼎有名的CSA（Cloud Security Alliance）提供的Guide也大部分是站在云计算使用者的角度而提供的Guideline。

而利用云计算而提供的安全服务的云安全理念更是甚嚣尘上，甚至对于很多人而言甚至代替了“云安全”这个概念。尤其是在防病毒领域与终端安全领域，这个概念被大家吵得更是令人无语，君不见你用中文去搜索引擎里面搜索“云安全”，你看到的恐怕就没有其它方面的内容了，一个个防病毒与终端防护的厂商会占据你所有的眼球。你再看看百度百科，那就是赤裸裸的直接把关于云计算其它方面的安全问题直接滤掉，同时也声称这是“中国创造”的产品了。我觉得商业宣传本无所厚非，但是还是不要过分以偏概全的好。

整个云计算与云安全领域，我们抛开大量的商业宣传的迷雾，你就会发觉整个行业其实就如一个出生的婴儿，还很稚嫩，成长的过程中还需要面临大量的挑战，当然，这个过程中也会随着婴儿的成长而带来无数的机会，很多人看好这个领域，也有无数人投入到这个领域，最近一段时间，花了不少的精力在这个领域，也会逐步写下一些心得，希望能够抛砖引玉，与业界有识之士探讨！