2011年1月7日消息，雖然大家對云安全都有些初步了解，但是通過一些具體實例或許才能更深入了解云安全。"云安全（Cloud Security）"計劃是網(wǎng)絡(luò)時代信息安全的體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

　　未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經(jīng)過時。云安全技術(shù)應(yīng)用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實時進行采集、分析以及處理。整個互聯(lián)網(wǎng)就是一個巨大的"殺毒軟件",參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就會更安全。

　　云安全的概念提出后，曾引起了廣泛的爭議，許多人認(rèn)為它是偽命題。但事實勝于雄辯，云安全的發(fā)展像一陣風(fēng)[1],瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛(wèi)士等都推出了云安全解決方案。瑞星基于云安全策略開發(fā)的2009新品，每天攔截數(shù)百萬次木馬攻擊，其中1月8日更是達到了765萬余次。趨勢科技云安全已經(jīng)在建立了5大數(shù)據(jù)中心，幾萬部在線服務(wù)器。據(jù)悉，云安全可以支持平均每天55億條點擊查詢，每天收集分析2.5億個樣本，資料庫次命中率就可以達到99%.借助云安全，趨勢科技現(xiàn)在每天阻斷的病毒感染達1000萬次。

　　云模式：SaaS

　　安全顧慮：單點登錄

　　當(dāng)Lincoln Cannon10個月前被一個擁有1500名員工的醫(yī)療器械公司聘用為網(wǎng)絡(luò)系統(tǒng)主管，他希望幫助銷售部門轉(zhuǎn)換到谷歌應(yīng)用和基于SaaS的訓(xùn)練應(yīng)用eLeap,從而降低開發(fā)成本并提高生產(chǎn)力。

　　不過，需要解決一些顧慮。營銷人員不希望用戶有多次登錄，特別是在增加新員工和員工離職要終止其賬戶的時候。

　　Cannon選用了Symplified的單點登錄，因為它可以與Active Directory進行聯(lián)系并驗證那些試圖登錄云應(yīng)用用戶的證書。谷歌應(yīng)用使用API將用戶鑒別卸載給單點登錄的供應(yīng)商。

　　Cannon認(rèn)為它就像是一個保全。因為要想獲取eLeap訓(xùn)練或是Google應(yīng)用，都需要通過單點登錄供應(yīng)商的驗證。我們通過Symplified 進行對被授權(quán)訪問這些SaaS應(yīng)用的帳戶進行定義，而要關(guān)閉一些AD帳戶時，它會適時對關(guān)閉的帳戶進行阻止，以防這些帳戶訪問SaaS應(yīng)用。

　　Symplified系統(tǒng)可以在SaaS模式中操作，但是該器械公司選擇在其防火墻后部署一個由Symplified 托管的路由。之所以這樣做是因為IT部門不想在云上管理用戶帳戶和密碼。所有這些有關(guān)帳戶和密碼的操作都在防火墻后端進行。

　　云模式：IaaS

　　安全顧慮：數(shù)據(jù)加密

　　紐約的Flushing銀行，CIO Allen Brewer想改成用云進行數(shù)據(jù)備份。選用Zecurion的Zerver后，F(xiàn)lushing銀行現(xiàn)在要將文件通過互聯(lián)網(wǎng)上進行備份。Brewer表示，有些公司以來供應(yīng)商提供加密，而他們則依靠自己。所銀行發(fā)送和保存的數(shù)據(jù)都在供應(yīng)商處被加密。

　　某些基于云的備份存儲供應(yīng)商將裝置安裝在客戶端以適應(yīng)加密，但是Flushing則對這樣的安裝不感興趣。Brewer之所以選擇Zecurion是因為他知道存儲信息的數(shù)據(jù)中心的位置。他表示，自己知道該公司三個數(shù)據(jù)中心之所在，而并非將數(shù)據(jù)發(fā)送到云然后對數(shù)據(jù)位置一無所知。

　　云模式：實地云

　　安全顧慮：虛擬化

　　當(dāng)SnagAJob.com的IT運營總監(jiān)Matt Reidy著手進行公司為期三年的技術(shù)更新是，他的目標(biāo)是將公司現(xiàn)有的75%的虛擬環(huán)境提升到100%虛擬的，私有的安全云計算，并在其部分使用運行VMware和vSphere的戴爾刀片服務(wù)器。

　　Reidy認(rèn)為，RnagAJob作為一個增長迅速具有發(fā)展?jié)摿Φ木W(wǎng)站需要以云模式獲得運營的靈活性。在技術(shù)更新以前，SnagAJob擁有一個多層架構(gòu)，該架構(gòu)的防火墻為Web,應(yīng)用和數(shù)據(jù)層進行物理隔離。而物理防火墻今后將只存在于防入侵檢測和防御裝置之外的周邊產(chǎn)品中。

　　Reidy還解釋稱，在vShpere 版本四出來前，用戶可以將防火墻裝置作為虛擬機運行，但是其性能受到很大局限，因為網(wǎng)絡(luò)流量必須通過這些虛擬機。而現(xiàn)在，vSphere具備一個名為VMsafe的API,可以讓Altor,Checkpoint等防火墻供應(yīng)商把流量檢測轉(zhuǎn)移到VMware核中。

　　Reidy認(rèn)為新版本改善了產(chǎn)品的性能，穩(wěn)定性和安全性。有了Altor虛擬防火墻，他的團隊現(xiàn)在還能觀察流量在虛擬機之間的傳輸，包括協(xié)議和數(shù)據(jù)大小。在虛擬云領(lǐng)域這是一項挑戰(zhàn)，因為傳統(tǒng)的產(chǎn)品是做不到這一點的。而現(xiàn)在，我們可以獲得更多安全性，因為我們可以看到數(shù)據(jù)的傳輸并在此觀察的基礎(chǔ)上編寫規(guī)則。

　　云模式：PaaS

　　安全顧慮：虛擬化，業(yè)務(wù)持續(xù)性，審核

　　在新開的公司里，Kavis選擇讓Amazon托管公司的整個架構(gòu)。在此之前，他與要部署虛擬機的安全進行了商談以明確自己的需求。然后Kavis創(chuàng)建了一個應(yīng)用那些控件的虛擬圖片，并創(chuàng)建了一個抽印程序以便可以隨時復(fù)制并依據(jù)需要安裝一個新的虛擬機。

　　Kevis說："Amazon提供了虛擬圖像軟件，但是其安全性卻不夠。" "如果使用PaaS,那就只有這個問題需要處理，不過如果是使用IaaS,我就可以將安全性能設(shè)置到我希望的級別。"

　　Kavis還需要執(zhí)行系統(tǒng)管理員應(yīng)該執(zhí)行的所有函數(shù)，如打開和關(guān)閉端口，編寫配置，鎖定數(shù)據(jù)庫。而他使用Amazon提供的LAMP堆棧。Kavis非常滿意于Amazon提供的周邊安全，并認(rèn)為其產(chǎn)品達到了很多公司做不到的級別。

　　為了保障業(yè)務(wù)持續(xù)性，Kavis將所有的數(shù)據(jù)都復(fù)制到兩個以上的額外環(huán)境中。除非Amazon多個地域的環(huán)境全部癱瘓，Kavis公司的業(yè)務(wù)才會癱瘓。不過Amazon每個指定域都擁有較高的可靠性，因此所有業(yè)務(wù)在同一時間全部癱瘓的可能性微乎其微。

　　Kavis還要解決的另一個問題是審核。對于符合規(guī)則的數(shù)據(jù)，Kavis計劃使用一個虛擬專有云。這樣供應(yīng)商就會說："你的服務(wù)器被鎖定，如果你需要審核，可以將帶審計員來檢查。我們將以此來完成審計，但是所有的操作都將在公共云上進行。"即便用戶需要就地收錄特定類型的數(shù)據(jù)，從規(guī)模和成本角度出發(fā)，也需要將進程卸載到公共云。