《云深不知处企业上云安全策略指南》.docx

1、云深不知处企业上云安全策略指南云深不知处2016企业上云安全策略指南2016年1月互联网实验室观点 价值与安全是企业做出上云决策的两个支点。面对上云决策，企业需要在价值需求与安全需求之间形成最适合于企业自身发展战略、业务特性的决策天平。在对价值支点的判断上，云是大势所趋已经深入人心。企业可以通过对内部IT成本的核算和业务发展情况等内部信息对上云的价值做出有效评估。企业如果能将云的诸多优点引入生产、运营、服务环节之中，就能够在创造新的商业模式、持续创新、降低成本等方面释放巨大的价值潜能。例如：有了云，用户不再需要购买、建立、安装并运行昂贵的计算机硬件，而通过无处不在的可用有线或无线网络，就可简便

2、的获取计算机资源，正如获取其他公共资源一样；云还具备弹性，用户可以快速并且经济的增加或者减少云服务；云共享的计算机资源可以提供客观的经济效益，并且可以减少成本、加快创新；云提供的服务已经存在，可以在需要时按需分配，按需扩容；用户可以快速并且经济地计算自身云服务的吞吐量，并据此进行相应调整。而在对安全支点的判断上，无法排解的安全忧虑导致企业上云迟疑甚至可能引发决策反复。企业在将转移IT解决方案到云计算的同时，由于企业客户基础设施和应用程序的外部化使得企业的完全控制权发生变化，安全保障的不透明性和不可控性使得上云企业对云服务有效存储和安全共享等方面存在一定的安全风险顾虑。在调研中我们发现，企业对于

3、上云后的数据安全的担忧基本上覆盖了云端数据安全的整个生命链条：例如数据传输和存储是否安全；数据访问控制权限是否可控；数据是否会被入侵、被攻击；漏洞或系统不稳定是否造成企业用户的业务中断、数据被盗、被篡改？这些现实情况使得中国企业上云之路呈现出漫长曲折的形态。以基于价值与安全感知的企业云决策象限来谋求破题之道。在项目初期，我们对有上云需求的企业进行初步接触时发现，企业或者无限期地延缓上云行动；或者在上云后出现决策反复；或者认为云有优点，但也有不确定风险，需要谨慎上云；甚至或者即使经在用云，仍对安全抱有较大不信任。因此，我们在报告当中以企业对云价值的释放是否清晰，企业对安全的感知、需求是否明确为维

4、度描绘了如下企业云决策象限。安全需求的模糊性会加重决策天平的不稳定性，企业所面临的难以权衡取舍的决策困境需要破解。面对安全问题，企业要基于对外部信息结合自身IT能力和需求进行判断，这无疑是难度更大的，尤其是难以形成量化结论。难以言喻的IT功能外部产生的失控感又大大加重了上云决策中安全需求的主观法码。我们将基于区分企业对云的安全感知状态来拨开企业云安全感知迷雾。企业对云的安全感知状态大致可以区分为两类，无论是哪一种状态，都会成为企业做出客观、理性的云决策的阻碍因素。第一，企业存在安全认知盲区会降低在做出决策时对云服务商安全能力的审视敏感性。企业是否具备了客观审视云的风险特征的足够信息支撑？企业是

5、否有充足的云安全认知能够在成本考量的基础上最大程度防御安全风险，又能够在一旦安全事故发生后的如何最大化的降低损失？如果企业知晓的安全信息不够全面，就会降低对云服务商安全能力的审视敏感性，影响业务在云中的实际运行安全。第二，控制权迁移引发的不安全感可能错估上云时机。多家研究机构的统计调研数据均证实企业对云服务安全的担忧是全球范围内面临的上云障碍。如果企业在带有不安全感的心理状态下来审视云服务商，有可能因为主观的不信任而影响了客观、理性的对上云之路，以及云合作伙伴基于安全视角的审视与决策，就会错估享受云效益的时机。云安全问题的破题需要映射到云服务商的安全实践表现，我们建立云安全能力指标体系协助企业

6、做出最佳决策。我们提出企业进行云安全审视的两条基本原则，第一，企业寻找领先的云，思考企业与云的最佳结合状态；第二，企业清晰地了解云服务商的安全机制与安全责任。依托于上述两个基本原则，本报告从泛安全的信任基础、物理资源基础设施的安全部署能力、内部人员的管理流程、应急响应能力、数据安全保护能力、合规性表现六个方面构建了19个细化指标的云安全能力指标体系，对云服务商的安全实践进行比较。本报告通过云服务商安全能力指标体系的构建，帮助企业构建充足的关于云服务商安全能力的研判信息，通过对比云服务商来了解上云需关注的安全环节，即可对上云安全做到心中有数，应对有术。从而在上云决策中，提升基于安全视角的理性、客

7、观性，优化的最佳决策。研究方法：基于公开信息的比较研究对信息的有效理解能够提升决策的自信。本次研究同样面临对信息的理解困境，研究设计是基于破解面临的多源、不一致和不对称等困境而形成的。我们认为本次项目首要目标是构建中国企业对云安全的评价认知和指标体系，在这问题下，我们需要解决什么是安全？以及哪些信息能够支撑安全感受？并最终通过可以获得的信息建立一个解答模式。首先，利用权威报告建立对云安全的基础认知和分析框架。在研究中我们参考了权威机构发布的对云计算企业评估报告，已经针对云安全领域的比较体系。其中较为重要的包括：美国高技术市场研究公司Forrester云安全指标体系，技术咨询研究机构Gartne

8、r对云安全市场的分析报告，欧洲网络与信息安全局（ENISA）关于云计算的研究报告中对于云风险情景的描述等。基于以上资料，我们初步建立了对云安全的基本概念和评价体系，以便于在后续研究中形成一个具有较强一致性的比较逻辑和对话平台。其次，通过调查中国企业发现本土需求与经典理论之间的差异。我们希望通过对中国企业IT部门高管、技术负责人调查，了解中国企业对上云决策理解，对云安全的态度。在获得这些信息之外，我们还了解到部分企业存在与常见云理论不同的感性认知，在此基础上我们对初期比较框架做了调整和细化。本次调查为了保证调查展现出的观点的多样性，样本企业即包括互联网金融、移动应用开发、IT系统开发等IT产业，

9、也包括城市基础设施建设运营、加工设备制造、电子仪器制造等传统行业。在上云情况上，这些企业或已经上云，或明确表现出上云的意愿，访问对象主要为企业CTO、CIO或技术总监等相关职位。再次，通过访问中国云安全专家修正和提升比较框架。就资料和调查中存在的问题，我们对国内高校、研究机构中信息化、信息安全、云计算等领域专家，以及其他在该领域长期从事一线工作的专业人士该进行了专题访问。专家基于所在专业领域，对中国云计算发展状况及特殊性，企业上云安全的整体性困惑和解决方法等问题做出了解答。最后，使用公开信息进行以安全为核心的比较实践。针对最终形成的指标体系，研究团队通过公开渠道获取具有统一标准的信息进行比较操

10、作。这些信息渠道包括：1.云服务商企业自行发布的白皮书；2.云服务商企业自身对外公开的业务动态新闻；3.权威机构发布的研究报告；4.对部分不明确信息，我们通过企业公开的客服电话进行了询问确认。使用公开信息源主要考虑到本次研究行为建立一个能够为上云企业提供参考的比较方法，因此在整体研究方法上都充分考虑了信息的可获得性。一、构建云安全能力指标体系上云路途的一个阻碍是企业对云安全的担忧，与企业的近距离地交流访谈中，我们发现这种担忧因人而异，对企业迈入云端的影响程度也不一样，存在不同的安全感知状态。有的企业认为：云有优点，但也有不确定风险，谨慎上云；有的企业认为云很好，云即代表安全；也有企业认为云的安

11、全没有切实可行的效果衡量。无论是哪种状态，抛开企业的行业类型、组织规模、技术实力这些客观事实，企业对云安全的感知状态可以按照描述为以下几点：企业对云安全有偏差的认知；不知何解的疑问；由于对云的认识还不够全面存在没有想到的安全问题等。由于这种因人而异的安全感知的差异性，我们将本报告首先站在企业的角度来剖析几种企业对云安全的感知状态，再构建起云安全能力体系，对比主要云服务提供商（云服务商）安全实践现状的基础上，将各家云服务商的关键安全能力解释转化为企业、公众可理解的信息，以期帮助企业构建相对系统、全面的云安全知识体系。1.1 拨开企业云安全感知迷雾企业对云的安全感知状态大致可以区分为两类，存在安全

12、感知盲区和由于控制权的迁移引发的不安全感，无论是哪一种状态，都会成为企业做出客观、理性的云决策的阻碍因素。1.1.1 安全感知盲区会降低在决策时对云服务商安全能力的审视敏感性第一种情况，由于云自身的资源池化等特征会释放出相对于传统IT部署活动的新风险，例如云规模化的资源集中在产生效益的同时，也会因目标更大而遭受黑客的攻击，从而给企业自身带来风险。企业是否具备了客观审视云的风险特征的足够信息支撑？第二种情况，由于没有绝对的安全状态，安全风险不能百分百杜绝，企业在部署安全防护时，还需要同时考虑成本这一现实问题。最佳安全保障体系需要既能够在企业成本考量的基础上最大程度防御安全风险，又能够在一旦安全事

13、故发生后如何最大化的降低损失。企业的云安全状态不能完全寄托于云服务提供商，如果企业不能够充分了解云服务商在数据安全、服务可靠性、内部人员管理、访问控制与授权等一系列方面的安全能力部署信息，将会影响在成本考量之下的安全保障体系部署，一旦安全事故发生后，企业自身也不能依据充分的信息快速调拨云服务商的安全解决方案做出及时预案。如果企业知晓的安全信息不够全面，就会降低对云服务商安全能力的审视敏感性，影响业务在云中的实际运行安全。1.1.2 控制权迁移引发的不安全感可能错估上云时机组织不愿意采用云服务，缺乏安全感是其中的一个，甚至对某些企业来说安全甚至是上云的头号障碍。随着开发验证测试，数据存储备份容灾

14、，关键业务应用，数据中心等一系列的企业IT活动阶段性地上云，原来在企业完全掌控的IT部署活动由云服务商承担了一部分的职能。例如基础设施和应用程序的外部化，会给企业自身带来的控制权转移而引发的风险担忧。企业对云服务商提供的安全保障能力本身，以及是否在合规性、数据保护、控制内外部恶意攻击等方面具备足够透明性的顾虑也会油然而生。我们要承认的是，不安全感本身是一种带有主观性的心理活动。如果企业在带有不安全感的心理状态下来审视云服务商，有可能因为主观的不信任而影响了客观、理性的对上云之路，以及云合作伙伴基于安全视角的审视与决策，就会错估享受云效益的时机。1.2 提出企业进行云安全审视的基本原则第一，寻找

15、领先的云，思考企业与云的最佳关系状态。在简单地剖析了企业上云之路的安全心理状态之后，我们认为，面对企业的不安全感的心理，如果要突破这个心理防线，企业需要理解没有绝对的安全状态，企业应通过充分了解领先的云的工作机理与先进的工作机制，了解云的计算能力与市场实力，梳理企业自身与云服务商之间以何种最佳关系状态而相处，例如什么可以依托给云，云服务商以什么安全理念为企业而服务？ 无此，则安全无从谈起。第二，清晰地了解云服务商如何分担上云后的安全职能。如同了解地震的规律，人类就能在更安全地在地球表面居住；了解气候变暖的威胁，人类就能预防两极冰山融化带来的灾难，企业对于云服务商能够对冲安全风险的安全服务、工具

16、、技术和保障机制的认知越全面越强大，就能够更好地帮助企业构筑安全防线，因为这是防御安全风险/及时响应安全事故的最直接战场。1.3 云安全能力指标体系构建依托于上述两个基本原则，参考CSA发布的云计算关键领域安全指南、欧洲网络与信息安全局（ENISA）发布的云服务保障标准研究等一系列云安全标准文件，结合企业上云担忧，以便于企业在第一时间全局性地审视云服务商的安全能力，本报告从泛安全的信任基础、物理基础设施部署、内部人员管理、应急响应、数据安全保护、合规性表现六个方面构建了19个细化指标体系。本报告通过搭建云安全能力指标体系，重点依托各云服务商公开披露的安全实践信息，对比各厂商在各个指标层面的表现

17、。我们希望通过本报告为企业云决策者、云实施部署者构建安全知识体系，增强从安全维度上审视未来要选定的云服务商合作伙伴的判断力。目前国内云计算市场参与逐鹿的企业属性呈现多元化特点，不仅有传统的IT公司、电信运营商、还有大型互联网平台企业、创业公司，且提供云产品的理念与形态也仍处于演变进化的过程中。本次研究对象的选择在考虑市场表现的之外，希望覆盖不同企业类型、业务形态的云服务商的云安全实践展现。本次研究对象选取国内五家提供公有云服务的国内外厂商亚马逊AWS、微软Azure、阿里云、腾讯云、天翼云。图表 1云服务商安全能力指标体系云服务商安全能力对比一级指标云服务商安全能力对比二级指标泛安全的信任基础

18、市场表现计算资源供应能力安全理念搭建第三方合作安全伙伴的能力物理基础设施部署数据中心部署数据中心标准遵从内部人员管理人员管理流程设计招聘与培训监控备案、终止手段事故响应事故处理团队提供的信息工具、相关标准和方法事故赔偿机制日志服务数据安全保护认证、访问权限管理机制涉及数据所有权和处理权行为的数据保护机制外部网络威胁防御能力合规性表现合规认证的覆盖度云服务商标准审计透明度云服务商法律政策的遵从制图：互联网实验室，2015年12月1. 泛安全的信任基础。客户可通过此洞察云服务商的领导力来获取对云服务商的信任基础，包括市场表现、计算资源供应、对于安全生态系统的领导力、是否能够通过安全理念便于客户感知

19、云服务商与客户之间处于何种关系状态。2. 物理基础设施部署。云计算基础设施远离云用户所在地，这是引发市场对云服务担忧的重要原因之一。物理安全是保障云服务的第一道防线，客户通过数据中心部署机制、数据中心建设遵从标准的了解，来获取对云服务商保障业务连续性的信任。3. 内部人员的管理。内部恶意攻击所造成的危害后果往往严重地多，云的架构决定了这种高风险角色的存在，企业需要了解云服务商是如何管理内部人员，防止内部恶意攻击或者操作不当等问题带来的云风险。4.事故响应。即使最周详的计划、实施并执行了相关的预防性安全措施，也无法完全避免信息资产遭到攻击。因此当企业转向云以后，面临一个核心问题就是：怎样才能有效

20、处理关于云的安全事故。5. 数据安全保护。数据资产的上云尤要引起关注，企业需要从数据生命周期与数据操作行为进行耦合关联的角度考察云服务商对数据采取的保护措施。6.合规性表现。企业上云之后，由于一部分服务由云服务商来承担，则企业需要确保能够观察到直接控制之外的合规性管理责任和工作，确保云服务商能够满足企业的安全性和操作需要。特别对于一定规模以下的组织而言，“云”还是治理和合规的辅助技术，可通过内嵌合规认证的服务套件，使一定规模以下的组织可以与规模更大，资源优势更明显的企业达成同等级别的合规。二、泛安全的信任指标设计与对比对云服务商是否可靠的考察是上云历程的关键基础性步骤。通过调查，我们提出可用性

21、是企业上云的前置性审核因素用户初步评估云服务商提供的服务能够满足企业业务的功能性需求，它往往并不是关注重点，因为通常仅有一个是或者否的结论就能够迅速排除不符合的云服务商。同时很多客户认为稳定性是决策过程中需要详细考察的环节。“稳定性是前提，稳定性达不到传统架构不会考虑上云。”某塑机企业CIO。持续时间下的功能可获得性是企业对IT部门的基本需求，而在上云背景下，这一需求被更加强化了。部分被调查的企业客户甚至将功能的稳定可靠视为云安全考察的重要内容。作为外包合作模式，上云企业难以如对待内部IT部门一样进行详细资源审查，这是不安全感的一个主要来源。因此我们在细化稳定涉及的感知指标的基础上对国内主流云

22、服务商进行评估，包括市场表现、计算资源供应、对于安全生态系统的领导力、是否能够通过安全理念便于客户感知云服务商与客户之间处于何种关系状态。2.1 市场表现补偿控制权丧失感，企业考察云服务商“家底”企业对云服务商稳定性的考察首先是从“家底”而非技术层面展开。由于部分技术指标不可见和实施过程中的不确定性，国内企业在考察云服务商的时候往往会从企业财务状况因素入手。在对有上云意向的企业调查中，我们发现企业的考察具有一定的主观性和不完整性，因此提取具有普遍性的指标，并通过公开的信息构建一个对在中国市场提供服务的主流云服务商“家底”的比较维度。由于国内外云计算市场发展状况的存在巨大差异，我们将对部分指标进

23、行分开比较。云市场规模是上云企业考察的重点指标。某互联网金融平台CIO认为“规模是第一要素，毕竟与稳定服务相关。覆盖行业、用户数量、盈利能力会对选择供应商有影响。”Gartner认为，如果企业用户选定了某家云计算服务商，最理想的状态是：这家服务商能够一直平稳发展，而不会出现破产或被大型公司收购现象。其理由很简单：如果云计算服务商破产或被他人收购，企业客户既有服务将被中断或变得不稳定。并建议，在选择云计算服务商之前，应把长期发展风险因素考虑在内。云计算企业的经营不稳定是一种现实风险。在2013年信贷资料服务机构Graydon UK和市场研究公司Gartner都对云计算企业的经营状况发出了风险警告

24、。Gartner称，在未来两年里，云服务的应用者将面临严重的风险，因为他们的服务提供商很可能被收购或者被迫退出这项业务。十分之一的云服务提供商将由于收购、破产等各种原因消失。目前市场上云服务商分化在逐步拉大，根据Synergy方面公布的结果，目前四大云服务商(包括微软、IBM、谷歌与Amazon)总计收得54%营收比例。上云企业将云计算所在集团公司在其他领域的成功作为评估云计算“家底”主要指标是一个常见的误解。目前主流云计算多为互联网公司、电信运营商、设备厂商的新业务领域，公司在其他领域成功是云计算业务开展的初期优势，但这并不意味着其云计算业务的必然成功。例如，2015年惠普和戴尔相继放弃了其

25、部分云计算项目，显示了在云计算这一新兴商业领域对“成功”企业仍然是一个挑战，因此对云服务商实力的评估应该更有针对性。我们建议上云企业在评估“家底”时尽量针对集团企业的云业务板块进行独立评估。对于上云企业来说，选择云市场排名在前的公司也是一种非常重要的安全策略。市场表现主要体现在云市场上的规模、盈利能力等因素。云计算企业的经营稳定性是上云企业面临的现实风险。有针对性的考察云计算企业的财务状况有助于企业做出科学性的决策。市场规模和盈利能力不仅仅意味着企业能够长期稳定的提供服务，同是也意味着云服务商在该业务中积累案例不断完善。2.2 计算能力不可见，国内通用比较标准有待明确云计算技术本身具有很高的稳

26、定性。对于上云企业来说，云应该是一个可靠无间断的平台。一般云服务商都具备计算资源的动态延展性，也不会由于计算能力不足造成崩溃。这是由云计算的技术特征本身决定的，有时与云服务商关系不大。而在进一步评估云服务商的计算资源供应能力计算资源、存储资源、网络资源的供应能力的时候则面临信息的不透明性。由于这是涉及对外部公司资质的考察，因此我们需要引入一些间接的指标来进行评估。计算资源供应受多种因素制约，其中一些指标是上云企业无法直观感受到的。国外咨询机构使用“市场计算资源使用量”这一概念进行横向比较，被认为是比较直观和有效的指标。目前本土云服务商尚未被纳入到这一指标体系中，因此国内上云企业往往寻求行业性成

27、功个案进行参考决策。此外网络环境也是影响云服务商服务稳定性的重要因素。2.3 安全理念折射出安全能力，承诺与实践匹配方式尚不成熟云计算放大了IT的挑战，云服务商与用户之间的安全权责关系更加重要。目前，以国外主流云服务商为代表的安全责任共担模式和国内主流云服务商为代表的托管模式是我国市场上的两种主要的权责模式。模式应该对安全负责。业界一直存在对这两种模式的讨论，不同的用户也对这两种模式有各异的理解。无论是哪一种模式，在当前云服务的发展阶段，只要能够满足云安全的需求，存在即合理。云服务商和用户之间的权责划分和责任分配是否存在一个最优的结合点，也是所有云服务商正在积极探索的方向。但是，从长期发展的趋

28、势和业内专业人士的评判，可以认为安全责任共担模式更符合云服务未来的发展。云服务商的安全理念形成了不同的协议规则。整体来看，国内云服务商的安全原则仍处于建立过程中，客户与云服务商之间的最佳关系可能是需要多方博弈形成。2.4 规制第三方合作安全伙伴的能力，提升多选择服务的安全性云计算的合作伙伴能力云服务商接纳并整合基于云服务的中间商从而发展成为具有一致标准的伙伴关系也是亚马逊AWS率先提出并被行业普遍接纳的概念。在Gartner的一项研究显示，在完全接受公共云计算服务的企业中，亚马逊AWS能满足其中71%企业的需求。这在很大程度是依靠合作伙伴完成的。如何在使用第三方合作伙伴丰富服务的同时保障安全也

29、是需要考量的重要问题。云服务商无法提供面面俱到的服务，而涉及到具体业务，上云客户又存在各种定制型服务的需求。第三方合作伙伴模式是当前云服务商普遍采用的业务模式，云计算环境下三方的关系无疑更加紧密了，这也增加了一些不确定因素。云服务商如何选择和管理第三方也成为上云企业需要关注的一个重要考察因素。在对上云企业的泛安全感知提前出指标并进行赋值时，我们发现当前国内主流云服务商很难在一个维度上进行比较。这是由于国内提供成熟云计算服务的厂商，在云业务整体实力方面本土云服务商与国际云服务商存在量级上的差距，且国际云服务商在成功案例量和服务规则成熟度等方面也具有显著优势。国际云服务商在将成熟业务模式和合同规则

30、引入中国的过程中面临特殊本地化需求的挑战，而扎根于中国市场成长起来的本土云服务商则获得了相对优势。在这一比较过程中，我们尽量选择公开的信息资料，包括上市公司财报、服务白皮书等，此外使用国际咨询机构评估结论提供参考信息。而这种方式难免会形成数据口径的不一致的问题，为此我们尽量充分界定数据的意义。使用这一研究方式主要是考虑到上云企业在这部分指标上的信息可获得性。2.5 对比结果1. 市场表现上亚马逊AWS具有全球市场优势，阿里云具有区域优势据Cartner 2015年初发布的技术发展趋势报告显示，2014 年全球云计算服务市场规模达1528 亿美元，增长率达17.9%，其中公有云开支将达700亿美

31、元。作为laaS（基础设施即服务）的提出者，亚马逊在这一市场具有领跑优势。根据Synergy研究集团（Synergy Research Group）于2015年 2 月份公布的数据，亚马逊AWS 在公有云基础性服务方面的表现创下了 5 年新高，在 2014 年 Q4 中，其全球市场份额增长了 30%，营收的年同比增长也达到了 51%。市场份额排名 24 名的微软、IBM 及 Google 也在营收方面增长明显，年同比增幅分别达到 96%，48% 和 81%。图表 2 2014年内第4季度云基础设施服务市场份额和增长率2015年10月，Forrester 发布了中国区2015年第三季度的企业公有

32、云服务Wave报告中国公有云市场正在加速发展，今年的中国公有云市场规模预计为18亿美元，到2020年中国公有云市场规模预计将达到38亿美元。根据 IDC 的数据，阿里云在2014年上半年的全国 IaaS 领域市场份额为 22.8%，位居首位。微软 Azure 和 亚马逊AWS 则分别位居第四和第五位。 由于存在巨大的客观差异性，中国本土云计算企业并不适合在绝对数字上与进入中国的全球性云计算企业进行比较。亚马逊AWS在全球范围内具有云计算行业领导者优势，而在国内阿里云则依靠本土化需求的差异性获得了相对优势。亚马逊AWS：2015年亚马逊首次披露了 亚马逊AWS（Amazon Web Service，亚马逊云服务）的部分财务状况：2014年 净收入 46.4 亿美元，较 2013年 上涨 49%。2015年 一季度净收入 15.7 亿美元，二季度收入18.2 亿美元。CEO Bezos 在一份声明中表示，“亚马逊