如何评估你的云计算风险承受能力

关于云计算的一个常见问题是：使用公共云是否安全？对于理解云计算安全而言，这是个很好的问题，但在回答这个问题之前，你需要对风险的可接受程度有一个清晰的认识。你能够承受多少风险取决于你对安全需求的评估，还取决于你对信息资产（数据、应用程序和流程）价值的评估。我们只有了解了这些，才可以做出明智的决定，决定哪种部署模式以及哪种服务交付模式适合我们的需求和风险承受能力。

完整的风险评估是个复杂的过程，超出了本书的范畴。本节提出了这方面的高层次处理方式，目的是针对一般问题给出合理指南，例如，上面列出的有关使用公共云是否安全的问题。有兴趣的读者可以参考一些有关这个主题的优秀参考材料。

在我们采用公共模式或混合模式之前，重点是要先确定信息资产，因为这至少在某种程度上对信息将存放在哪里（位置/司法管辖），以及如何进行保护等相关控制措施产生了影响。下图描绘了这些关系，并反映出：相比其他组合，对于内部托管和运营的私有云，机构控制是增加的。

图 机械控制根据模式而变化

不要忘记信息资产的范围并不局限于信息或数据。我们的应用程序和流程往往像信息一样，属于敏感或专有的。事实上，在许多领域，包括情报界和金融界，所使用的算法或程序也常常是机构专有的，而且是高度机密的。这些资产的暴露会对机构造成巨大的损失。

1.评估风险

第1章中提到了信息安全风险（风险管理）的概念，接下来在此基础上进行简单的风险分析。首先，提出下面的问题：

• 威胁分类 你的信息资产会发生什么？
• 威胁影响这有多么严重？
• 威胁频率多久发生一次？
• 不确定因素对于回答这三个问题你有多大的把握？

风险的中心问题是不确定性，用术语可能性表达。但我们真正想知道的是如何处置它（对策或缓解风险）。那么，当你分析和应对风险时，可以进一步询问以下几个问题：

• 缓解 为了降低风险你可以做什么？
• 缓解成本风险缓解会引起什么？
• 缓解成本/收益缓解是否符合成本效益？

当然，相比私有云和混合云，这三个问题对于公共云而言有些夸大。在公共云中，你得到你所付费的服务，上面这三个问题由云提供商负责回答。类似的，相对于平台即服务（PaaS），这些问题同样与软件即服务（SaaS）关系不大，但与基础设施即服务（IaaS）相关度较高。

2.信息资产与风险

上面讲述了风险的中心问题是不确定性，如果将这个原则应用到问题当中，就会得出以下结论：我们必须更多地检查信息资产。确定信息资产很令人困惑，尤其是对于那些一次创建便可以经常复制的数字化系统。一般机构很少能够对信息进行足够地控制，即确保：如果我们控制了一份给定的拷贝，便可以确保没有其他的拷贝。从保护数据的角度来看（就像茫茫大海中的一张破网，无法保护数据），这可能是最糟糕的了。但机构在管理其信息资产方面还有许多其他问题。

那么，当我们着眼于将信息资产迁移到云中，并想设法确定信息资产时，我们应该能流利地回答出从信息类别和分类方面，一直精细到数据库或单个文件内某特定比特的具体含义方面的所有相关问题。然而，就连信息分类方面我们也经常存在问题。如果我们的计算系统具有信息标记功能，情况就不会太糟，但往往差强人意。计算机系统的信息标记功能基于这样的现实过程：个人有了解信息的需要，并且对信息有一定的理解。在现实世界中，这些会根据信息保密等级条文以及额外的处理注意事项有组织地进行控制（例如只允许X计划）。但在计算机世界中，适当的控制通常不足以阻止数据复制以及有意或者无意的信息泄露。

记住安全三元组（保密性、完整性和可用性），按照发生下列情况的后果来看，我们可以围绕信息资产提出一系列针对性的问题：

• 信息资产暴露了？
• 信息资产被外部实体修改了？
• 信息资产被操纵？
• 信息资产变得不可用？

如果这些问题引起了对不可接受风险的顾虑，我们可以通过以下方式处理：限制私有云中对风险敏感相关的处理（避免引入新的风险），以及使用公共云处理非风险敏感的数据。使用私有云并不能消除对于适当控制的需要。

在这方面，可以参考以下得出的结论：

• 将非敏感数据外包到公共云，将敏感数据保留在内部系统中。通过这些方式的混合，我们可以在不承担新风险的条件下获得一些成本优势。
• 在一些场合使用私有云不会对你的信息资产造成新的风险，但同样的场合使用混合云或公共云模式则可能会造成新的风险。
• 将传统的IT模式转换到私有云模式进行内部处理，可能会降低风险。

在使信息资产的重要性与部署模式及服务模式相一致方面，有很多合理的解释，然而这些才只是开始。接下来的几节会从各种运营安全方面来了解问题。

3.隐私与保密性顾虑

除了上面讨论的信息资产风险之外，我们所处理、存储或转换的数据可能还需要满足监管和合规性要求。这时，我们对云部署模式的选择（私有云、混合云或公共云部署）需要确保提供商能完全满足监管要求。否则我们会面临违背隐私、监管或其他法律要求的风险，这种责任通常会落在租户或用户身上。当涉及隐私、商业以及国家信息安全时，信息安全保障的重要性不言而喻。

在非云计算环境中常常发生的侵犯隐私事件，使我们对任何系统（基于云的或传统的）中存储、处理或转换此类敏感信息时都有所顾虑。在2010年，数家基于云的服务发生了多起云隐私信息泄露事件，包括Facebook、Twitter和Google。

事实上，对云模式的隐私顾虑由来已久。作为有法律隐私责任的租户，如何处理隐私信息不会因为使用了云而有任何不同。在确保数据在存储、传输、处理过程中都满足相同标准以前，不要选择任何云提供商，这正如你不会将此类信息存储到缺乏足够控制的服务器上一样。但这并不意味着你在策略上能够十分合理地避免使用任何外部提供商（包括云提供商）为你管理数据。还有一点需要注意，你不要认为电脑桌上的计算机会比公共云中的计算机更加安全，相反在安全性方面要更加脆弱，除非你对台式机采用了不寻常的防护技术和预防程序。但是安全和治理是两个独立的方面，作为全面调研的一部分，除了提供商的安全实践和准则，你还需要完全了解提供商的隐私治理情况。

正如个人信息受隐私法律的约束，各类业务信息和国家安全信息也受监管和法律的约束。国家安全信息和流程有一套成熟的法律、监管和指南予以支撑，这些都来自于公共法律，并通过各个部门或官方负责机构贯彻下去。虽然云是个相对较新的模式，但是对其可用性指南的研究考察还是应该深入下去，从而杜绝在公共云中存放任何机密信息。对于那些不处理敏感或机密数据的政府职能也存在风险。一言以蔽之，当你在探讨使用公共云的可能性时，实际上存在着从国家政府到地方司法管辖的许多独立而又有所差别的条文。一方面，考虑到政府的规模、层级数量与司法管辖权，似乎政府自身可以运营一系列单独使用的社区云，从而获得帮助并避免了与公共云共处所引发的问题。另一方面，如果政府使用公共云，那政府服务必须完全符合租户利益，并满足所有可用的监管和法律要求。租户有可能实施附加的安全控制以满足监管或法律要求，即便其底层的公共IaaS（基础设施即服务）或PaaS（平台即服务）无法完全满足那些同样的要求。然而，必须了解的是，租户可以添加的附加控制的范围是有限的，而且无法消除一些公共云服务所留下的缺口。

4.数据所有权与场所顾虑

除了隐私和保密性，在信息资产所有权方面也存在更多的顾虑。问题在于，将信息资产移动到任何外部系统时，有可能会侵犯信息资产的所有权。数据所有权与承担数据监管责任，这两者之间有着本质的区别。虽然合法的数据所有权仍保留在原先的数据所有者那里，但有关公共云的一个潜在担忧是：云提供商可能需要同时担任这两种角色。当法律执行实体向云提供商出示司法令并要求访问租户的信息资产时，这就是个最好的例子。

与所有权相关的其他顾虑包括：数据存放在哪里，以及数据会穿越怎样的司法管辖范围。Internet为那些好管闲事、没有道德的人提供了巨大的机会，使他们可以不正当地获得其他人的秘密。为了应对这些，《欧盟数据保护指令》规定了欧盟（Europe Union，EU）的隐私和个人数据可以或不可以在哪些国家进行传输或存储。这对欧盟成员国的计算方面产生了重大影响。

从云计算的角度，这个指令可能改变了公共云提供商以及SPI（SaaS、PaaS、IaaS）服务提供商实施服务的方式。从司法管辖权角度对数据进行限制，减少数据在司法管辖范围外传输、处理或存储而造成的损害，这种模式完全合理。云服务的所有租户或最终用户还应当注意一个潜在的问题：公共云或SPI服务可能将数据或应用程序置于租户所在地且不属于有法律义务的法律管辖区域。

5.审计与取证

审计是在安全领域过度使用的术语，通常是指那些在评估安全策略、程序、实践以及技术控制的正确性和完备性时所进行的活动。评估控制和程序是否满足所有安全运营方面的要求很有必要，包括合规、保护、检测和取证。对于云计算，这样的审计对于租户和客户来说很有意义，而且它表达了对云提供商在确保安全方面所做努力的一种信任。

作为信息资产的所有者，租户必须对提供商进行充分调研。由于客户的调研常常与提供商的业务模式不相称，因此提供商必须在安全策略、治理以及程序方面提供透明度，从而使租户处于更加有利的位置，进而做出明智的选择。

在收集可用于起诉的法律证据方面，有几个与责任和限制相关的问题可能会对租户和提供商产生影响。当提供商和租户都有收集数据的责任时，要想了解证据链中谁做了什么以及是怎样做的，往往非常困难。因为，一方是数据在法律上的拥有者，而另一方是监管者。

根据访问某些SPI服务的内在特点可知：以权威的方式表达和理解有关攻击或渗透的蛛丝马迹往往是非常困难的。首先，让租户获得对提供商记录的访问可能会侵害其他租户的隐私。第二，如果系统的时钟不一致，那么两份日志中的事件就可能无法进行关联分析，甚至很难证明租户在公共云中收集和存储的证据数据是没有被篡改的。但是可以明确的是，这种状况为云提供商提供了一系列的良好机会，并使云提供商可以通过提供先进的服务使自己的表现更加突出。我们将在第4章进一步讨论它，此外还会探讨云中的安全监控。

6.新兴的威胁

一些很老旧的程序有时会被挖掘出很多年都没有发现的漏洞。换句话说，我们应该时常提醒自己：以前认为是安全的系统，在我们意识到它存在漏洞之前，可能早就被黑客发现了漏洞。此外，一些技术以及构成云计算的很多软件组件都还很新，还没有得到资深安全专家的高度信任。某些组件的搭建仅仅可以描述为在软件和协议的框架上一层接一层地搭建。这些部分或整体是否安全？答案是不一定。组件间的复杂度和交互是产生漏洞的两个方面。还需要提到的是，一些技术还在由供应商以及开源社区不断进行着重构和改变，因此，我们所越发依赖的技术体系实际上是不稳定的。

7.这样就安全了吗

虽然云是新兴事物，但对云中信息保护进行有效控制的推动力却是一直存在的。总体来看，当前对于云的安全解决方案可能比在传统基础设施中物理设备安全防护的解决方案少，在云中实例化虚拟安全应用程序的成本更低，技术也更新颖。但是，我们也应当记住：安全对于虚拟化而言并不陌生，因为虚拟化安全防护有着始于大型主机时代的悠久历史。新的特性在于云计算的按需高度动态性。

公平来说，现阶段多数公共云应用都处于早期阶段，我们还很难确定任何数据或流程是否违背了法律或合规性要求。美国联邦政府开始了一项名为FedRAMP（Federal Risk and Authorization Management Program，联邦风险和授权管理体系）的工作，目的是确保云实例的整个流程适合单独部门应用。

两个积极推动云中数据保护和安全控制发展的机构是云安全联盟（Cloud Security Alliance）和云计算互操作性组织（Cloud ComputingInteroperability Group）。还有一个组织是Jericho论坛，它从不同的角度提出了问题：当边界消失情况已经发生，紧接着大量服务都要穿越边界基础设施，因而基本实现方式都是通过在防火墙上建立访问关键服务的隧道。大多数认证中存在的一个问题是：这些认证大多都集中于设施和流程层面，而不是集中于无边界的、面向服务的层面。另外，我们已经投入使用的许多系统上运行着虚拟化的服务器。如果这些服务器与安全需求冲突，我们就面临着实际的问题。

作者的观点是，云计算的绝大部分安全问题既不是云计算模式特有的，也不是难以解决的。而且，正如本书中多次谈到的，云计算模式本身就为实现更好的安全性方面提供了绝佳机会。然而，我们也需要认识模式中的差异，并且不能对云模式的安全性掉以轻心。

------------------------------------

本文节选自《云计算安全：架构、战略、标准与运营》，英文原书名：Securing the Cloud: Cloud Computer: Security Techniques and Tactics。

本书从架构到运营（所有环节），从战略到标准，从部署方式（公共云、私有云、社区云、混合云）到服务模式（SaaS、PaaS、IaaS），本书全方位地阐述了构建安全的云计算和云服务的方法与最佳实践，为各种常见的云计算问题提供了解决方案。

全书一共10章：第1章介绍了云计算的一些核心概念和云安全的基础知识；第2章讲解了云计算的架构、部署方式、服务模式和现实世界的云应用场景；第3章讨论了云计算应该考虑的安全问题、法律风险和监管，以及风险评估方法；第4章重点讲解了在设计云计算架构时应该考虑的安全问题；第5章讲解了如何保证云数据的安全；第6章讲解了云计算安全防护的关键战略和最佳实践；第7章和第8章介绍了构建私有云和选择外部云服务提供商的安全标准；第9章讲解了云安全评估的方法和工具；第10章主要探讨了在运营过程中应该注意的安全问题及其解决方案。

豆瓣收藏：http://book.douban.com/subject/20426595/

PDF样章下载：http://vdisk.weibo.com/s/i4bmU