姚凱：歐喜投資（中國）有限公司IT總監(jiān)。在長期的企業(yè)信息化過程中，先后成功上線了Oracle OnDemand、Salesforce，Office365，并實施了基于阿里云和AWS雙機熱備的系統(tǒng)。

以下是姚凱在ITValue企業(yè)信息安全微信課上的分享，經(jīng)ITValue整理后發(fā)布。

今天我的分享主要從三個方面來討論：第一、公有云是不是會更安全，第二、我使用公有云的一些體會以及對一些問題的建議，第三、公有云使用中涉及到的法律和審計方面的問題。

1
公有云是不是更安全？

在選擇公有云產(chǎn)品時，很多供應(yīng)商表示，基于公有云產(chǎn)品會對企業(yè)的用戶會更安全。

在回答“公有云是不是更安全”之前，先要明確一個前提，什么是安全？通常，業(yè)內(nèi)對于安全，是從三個維度來考核的，即俗稱的CIA。

“C”是指的機密性，信息只有被授權(quán)的人才能訪問。

“I”是指的完整性，數(shù)據(jù)從產(chǎn)生那一刻開始就是不被篡改的，所有的修改都要經(jīng)過合法的授權(quán)。

“A”是可用性，當(dāng)需要訪問我的數(shù)據(jù)的時候，都是可以訪問的。

公有云服務(wù)會涉及到很多方面的關(guān)系，比傳統(tǒng)的IT的管理要復(fù)雜得多。

IT自行維護自己的系統(tǒng)，每個工廠會有一個機房，這時候所有的責(zé)任全部是由企業(yè)承擔(dān)。企業(yè)后來會把一部分?jǐn)?shù)據(jù)放在托管的數(shù)據(jù)中心，這時候就存在著企業(yè)和數(shù)據(jù)中心這樣的雙方關(guān)系。

公有云平臺的關(guān)系會更復(fù)雜，企業(yè)使用的IaaS平臺又會去租用一些托管的數(shù)據(jù)中心；如果有些企業(yè)使用SaaS平臺，SaaS平臺又會使用IaaS公有云，存在多方的服務(wù)關(guān)系。

涉及多方關(guān)系，安全就面臨多一些的挑戰(zhàn)。通常，云平臺有一定的優(yōu)勢：提供24小時的物理安全，提供一些防病毒，防惡意軟件的保護，還會有一些DDoS的防御，數(shù)據(jù)集群，等等；同時，擁有更加專業(yè)的人員。集中在這樣幾個方面：

第一、大量的可以使用的資源，在短時間就可以被準(zhǔn)備好。

第二、通常有以T級的量級來準(zhǔn)備的帶寬池，充分考慮了冗余和CDN。

第三，很多云平臺使用的都是T4級的機房，提供雙路的電源冗余，2N+1的冗余，保障99.98%以上的可用性。除非是一些特大型企業(yè)或者是金融機構(gòu)，一般很難有這樣的投資。

這有一個真實的案例。美國有一家專門為醫(yī)療供應(yīng)商提供服務(wù)的公司，租用了一家SaaS公司的網(wǎng)頁服務(wù)。很不幸，他們遭到DDOS攻擊。整個攻擊方使用了遍布全球的約十萬臺機器，發(fā)動了8600萬個攻擊，在攻擊的時候流量達到每秒20G。一般的企業(yè)如果面對這樣的攻擊，幾個小時之內(nèi)就會癱瘓掉，但是云平臺避免了這個問題。

這家公司在發(fā)現(xiàn)DDOS攻擊之后，他們在短時間里調(diào)用了18臺HA防火墻，部署了40臺的網(wǎng)頁服務(wù)器集群，使用了亞馬遜冗余的DNS平臺，抵抗攻擊達到36個小時，最后攻擊方不得不放棄了這次攻擊，而整個防御的成本只有1500美元。

從這個角度來看，云平臺會比企業(yè)自建的IT服務(wù)更安全。但是所有的使用云服務(wù)的客戶都會擔(dān)心，長時間的停機或者非計劃的停機。而國內(nèi)外的很多云服務(wù)供應(yīng)商的記錄，其實并不令人滿意。

2016年4月16號，微軟Azure在中國北部的機房出現(xiàn)了故障，由于負(fù)載均衡程序的問題，導(dǎo)致整個服務(wù)從11：45到15：10分停機。AWS在悉尼的服務(wù)6月4號出現(xiàn)問題，一直到6月6日上午才解決，停機長達36個小時。2015年6月21號，阿里云香港的機房從9：30分的服務(wù)一直暫停了12個小時。更為夸張的是，Verizon在2015年的1月10號和11號，安排了脫機40小時的系統(tǒng)維護。

從上述問題可以發(fā)現(xiàn)，云供應(yīng)商的可用性，在很多時候并不能得到有效的保障，原因大致有三個。

第一，對系統(tǒng)進行升級時，并沒有得到嚴(yán)格的遵守整個測試和變更管理的流程。

第二，通用的云平臺不能準(zhǔn)確掌握客戶的系統(tǒng)狀態(tài)。企業(yè)可以在非工作時間安排維護；云平臺的不同客戶，因為種種原因找不到這樣的時間，當(dāng)出現(xiàn)問題的時候，并不能判斷優(yōu)先級。

第三，對整個的平臺的災(zāi)備并沒有經(jīng)過認(rèn)真演練。在日常的運維過程中，專業(yè)人員很少在第一線進行服務(wù)，一般來說，只有在問題升級到一定程度，專業(yè)人員才能介入，這就導(dǎo)致了專業(yè)人員是用來解決問題而不是前期來預(yù)防問題的。

另一方面涉及安全的問題是數(shù)據(jù)的安全性。

云平臺的數(shù)據(jù)的所有者，肯定是企業(yè)的用戶或者是最終使用者。但在整個的運維過程中，云平臺上運行的進程，能夠監(jiān)控用戶的文件系統(tǒng)、進出的流量。某種意義上，云平臺可以還原用戶的所有信息，這會對用戶信息的機密性帶來很大的挑戰(zhàn)。監(jiān)控包括哪些內(nèi)容，很少看到有云服務(wù)供應(yīng)商有說明。

從這兩個方面來看，公有云是不是更安全，不能夠簡單“一刀切”來進行判斷。企業(yè)必須根據(jù)自身的情況，以及信息的機密性、所使用的服務(wù)商情況，來做具體的考量。

2
公有云使用的體會與建議

1. 企業(yè)要區(qū)分公有云的使用場景。如果僅僅是對企業(yè)內(nèi)部使用，不存在移動辦公等網(wǎng)絡(luò)使用場景，企業(yè)和公有云的供應(yīng)商之間建立起一條VPN或其他專有的數(shù)據(jù)連接，保證整個數(shù)據(jù)鏈路的保密性。

SaaS平臺存在用戶名和密碼的問題。企業(yè)內(nèi)部的員工有自己獨立的域用戶域帳戶的同時，每使用一個SAAS的軟件就會有一套獨立的用戶名和密碼。這樣導(dǎo)致了IT在做用戶維護時存在很大的問題，有的時候IT沒有辦法知道用戶究竟在使用哪些軟件；用戶離職后，不能及時維護。

因此，如果在有選擇的前提下，我們應(yīng)該優(yōu)先考慮支持ADFS單點登陸協(xié)議的軟件。不得不去使用基于Internet公網(wǎng)的應(yīng)用時，密碼問題會更具有挑戰(zhàn)性。
雙因素認(rèn)證是一個好選擇，有密碼的同時，還有某種不可復(fù)制的東西做保證，比方電話的串號，或者自身的某些特性（指紋等）。用戶在后臺使用賬號，在前臺通過雙因素的形式來進行登陸。

在登陸時，進行在用戶認(rèn)證之后，哈希值會傳送到后臺，并且加上對應(yīng)的時間戳。密碼的重置最好不使用手機，因為已經(jīng)證明風(fēng)險很高。

2. 另一個重要的問題是數(shù)據(jù)生命周期的管理。即從數(shù)據(jù)的創(chuàng)建、數(shù)據(jù)的保存、備份和銷毀的全過程的管理。

對于一個系統(tǒng)來說，漏洞永遠存在。因此，最好對整個公有云平臺上的數(shù)據(jù)都進行加密，至少對關(guān)鍵的、涉及到隱私的數(shù)據(jù)來進行加密，對重要的數(shù)據(jù)進行匿名化管理。

比如，在后臺存儲的客戶的名稱、地址、聯(lián)系方式、聯(lián)系人等資料全部都是一個加密的，但是CRM系統(tǒng)中和這個客戶相關(guān)聯(lián)的一些數(shù)據(jù)可以是明文的。這個時候即使遭到拖庫，所看到的只是對A客戶有什么樣的銷售機會，但是A究竟對應(yīng)誰，信息是隱藏的。只有通過指定的客戶端訪問時，A的具體信息才會得到解密。

3. 關(guān)于災(zāi)備，通常來說，災(zāi)備有三種不同的方式。一是在同一個云平臺的不同區(qū)里面互為備份，二是在不同的云平臺的不同區(qū)互為備份，三是在某個云平臺和自身企業(yè)內(nèi)部的數(shù)據(jù)中心互為備份。

災(zāi)備要考慮以下因素：災(zāi)備云平臺可能的費用、災(zāi)備云平臺上的數(shù)據(jù)每天的增量情況、不同的云平臺之間數(shù)據(jù)的流入流出的流量的費用。

企業(yè)需要根據(jù)自身的情況去評估不同的災(zāi)備方案，但是所有的災(zāi)備方案必須每年至少一次進行演練，保證整個災(zāi)備方案是可行的。

3
公有云涉及到的法律和審計

因為時間關(guān)系，我重點談兩個問題。

第一個是對于服務(wù)終端的相關(guān)的責(zé)任。

在國內(nèi)，我所看到的一些合同的約定基本是，云平臺不承擔(dān)因為他的服務(wù)中斷而導(dǎo)致你的業(yè)務(wù)損失所帶來的間接損失。

但是云服務(wù)所造成的服務(wù)中斷的損失，在不同國家的法律規(guī)定上會有一些差別。因此在選擇云服務(wù)的時候，如果說中國的合同約定并不是很令人滿意，還可以去看看新加坡、澳洲或美國的規(guī)定怎么樣，挑選更為滿意的服務(wù)條款。

下面云服務(wù)的審計方面的一些要求。

企業(yè)自己運維的IT，每年審計公司都要對IT進行審計，保證整個系統(tǒng)是可控的。企業(yè)使用云服務(wù)，審計公司的服務(wù)是有所缺失的。雖然說一些供應(yīng)商會提供ISO27001的認(rèn)證，但在審計上仍然是有風(fēng)險的。

對此，美國會計師協(xié)會提供了一個標(biāo)準(zhǔn)叫SSAE16，前身是SSAS70，該審計標(biāo)準(zhǔn)涵蓋了所有的托管數(shù)據(jù)中心、應(yīng)用程序服務(wù)供應(yīng)商ASP、軟件服務(wù)供應(yīng)商SaaS。

SSAE16可以用于判定，服務(wù)供應(yīng)商對于控制的描述是否公正、設(shè)計是否有效。控制從某一個時間開始生效并且從某一個時間開始有效運行，分為三個等級，SOC1、SOC2和3，SOC1更偏重于財務(wù)的控制，SOC2和3的范圍會更廣，包括安全、可用、完整、保密、隱私等等。在選擇服務(wù)供應(yīng)商時，可以要求他們每年提供一份這樣的審計報告。