【正文】 云深不知處——2016企業(yè)上云安全策略指南2016年1月互聯(lián)網(wǎng)實驗室觀點 價值與安全是企業(yè)做出上云決策的兩個支點。面對上云決策，企業(yè)需要在價值需求與安全需求之間形成最適合于企業(yè)自身發(fā)展戰(zhàn)略、業(yè)務特性的決策天平。在對價值支點的判斷上，云是大勢所趨已經(jīng)深入人心。企業(yè)可以通過對內(nèi)部IT成本的核算和業(yè)務發(fā)展情況等內(nèi)部信息對上云的價值做出有效評估。企業(yè)如果能將云的諸多優(yōu)點引入生產(chǎn)、運營、服務環(huán)節(jié)之中，就能夠在創(chuàng)造新的商業(yè)模式、持續(xù)創(chuàng)新、降低成本等方面釋放巨大的價值潛能。例如：有了云，用戶不再需要購買、建立、安裝并運行昂貴的計算機硬件，而通過無處不在的可用有線或無線網(wǎng)絡，就可簡便的獲取計算機資源，正如獲取其他公共資源一樣；云還具備彈性，用戶可以快速并且經(jīng)濟的增加或者減少云服務；云共享的計算機資源可以提供客觀的經(jīng)濟效益，并且可以減少成本、加快創(chuàng)新；云提供的服務已經(jīng)存在，可以在需要時按需分配，按需擴容；用戶可以快速并且經(jīng)濟地計算自身云服務的吞吐量，并據(jù)此進行相應調(diào)整。而在對安全支點的判斷上，無法排解的安全憂慮導致企業(yè)上云遲疑甚至可能引發(fā)決策反復。企業(yè)在將轉(zhuǎn)移IT解決方案到云計算的同時，由于企業(yè)客戶基礎(chǔ)設施和應用程序的外部化使得企業(yè)的完全控制權(quán)發(fā)生變化，安全保障的不透明性和不可控性使得上云企業(yè)對云服務有效存儲和安全共享等方面存在一定的安全風險顧慮。在調(diào)研中我們發(fā)現(xiàn)，企業(yè)對于上云后的數(shù)據(jù)安全的擔憂基本上覆蓋了云端數(shù)據(jù)安全的整個生命鏈條：例如數(shù)據(jù)傳輸和存儲是否安全；數(shù)據(jù)訪問控制權(quán)限是否可控；數(shù)據(jù)是否會被入侵、被攻擊；漏洞或系統(tǒng)不穩(wěn)定是否造成企業(yè)用戶的業(yè)務中斷、數(shù)據(jù)被盜、被篡改？這些現(xiàn)實情況使得中國企業(yè)上云之路呈現(xiàn)出漫長曲折的形態(tài)。以基于價值與安全感知的企業(yè)云決策象限來謀求破題之道。在項目初期，我們對有上云需求的企業(yè)進行初步接觸時發(fā)現(xiàn)，企業(yè)或者無限期地延緩上云行動；或者在上云后出現(xiàn)決策反復；或者認為云有優(yōu)點，但也有不確定風險，需要謹慎上云；甚至或者即使經(jīng)在用云，仍對安全抱有較大不信任。因此，我們在報告當中以企業(yè)對云價值的釋放是否清晰，企業(yè)對安全的感知、需求是否明確為維度描繪了如下企業(yè)云決策象限。安全需求的模糊性會加重決策天平的不穩(wěn)定性，企業(yè)所面臨的難以權(quán)衡取舍的決策困境需要破解。面對安全問題，企業(yè)要基于對外部信息結(jié)合自身IT能力和需求進行判斷，這無疑是難度更大的，尤其是難以形成量化結(jié)論。難以言喻的IT功能外部產(chǎn)生的失控感又大大加重了上云決策中安全需求的主觀法碼。我們將基于區(qū)分企業(yè)對云的安全感知狀態(tài)來撥開企業(yè)云安全感知迷霧。企業(yè)對云的安全感知狀態(tài)大致可以區(qū)分為兩類，無論是哪一種狀態(tài)，都會成為企業(yè)做出客觀、理性的云決策的阻礙因素。第一，企業(yè)存在安全認知盲區(qū)會降低在做出決策時對云服務商安全能力的審視敏感性。企業(yè)是否具備了客觀審視云的風險特征的足夠信息支撐？企業(yè)是否有充足的云安全認知能夠在成本考量的基礎(chǔ)上最大程度防御安全風險，又能夠在一旦安全事故發(fā)生后的如何最大化的降低損失？如果企業(yè)知曉的安全信息不夠全面，就會降低對云服務商安全能力的審視敏感性，影響業(yè)務在云中的實際運行安全。第二，控制權(quán)遷移引發(fā)的不安全感可能錯估上云時機。多家研究機構(gòu)的統(tǒng)計調(diào)研數(shù)據(jù)均證實企業(yè)對云服務安全的擔憂是全球范圍內(nèi)面臨的上云障礙。如果企業(yè)在帶有不安全感的心理狀態(tài)下來審視云服務商，有可能因為主觀的不信任而影響了客觀、理性的對上云之路，以及云合作伙伴基于安全視角的審視與決策，就會錯估享受云效益的時機。云安全問題的破題需要映射到云服務商的安全實踐表現(xiàn)，我們建立云安全能力指標體系協(xié)助企業(yè)做出最佳決策。我們提出企業(yè)進行云安全審視的兩條基本原則，第一，企業(yè)尋找領(lǐng)先的云，思考企業(yè)與云的最佳結(jié)合狀態(tài)；第二，企業(yè)清晰地了解云服務商的安全機制與安全責任。依托于上述兩個基本原則，本報告從泛安全的信任基礎(chǔ)、物理資源基礎(chǔ)設施的安全部署能力、內(nèi)部人員的管理流程、應急響應能力、數(shù)據(jù)安全保護能力、合規(guī)性表現(xiàn)六個方面構(gòu)建了19個細化指標的云安全能力指標體系，對云服務商的安全實踐進行比較。本報告通過云服務商安全能力指標體系的構(gòu)建，幫助企業(yè)構(gòu)建充足的關(guān)于云服務商安全能力的研判信息，通過對比云服務商來了解上云需關(guān)注的安全環(huán)節(jié)，即可對上云安全做到心中有數(shù)，應對有術(shù)。從而在上云決策中，提升基于安全視角的理性、客觀性，優(yōu)化的最佳決策。目錄互聯(lián)網(wǎng)實驗室觀點 2目錄 5研究方法：基于公開信息的比較研究 7一、構(gòu)建云安全能力指標體系 9 撥開企業(yè)云安全感知迷霧 9 提出企業(yè)進行云安全審視的基本原則 10 云安全能力指標體系構(gòu)建 11二、泛安全的信任指標設計與對比 14 市場表現(xiàn)補償控制權(quán)喪失感，企業(yè)考察云服務商“家底” 14 計算能力不可見，國內(nèi)通用比較標準有待明確 16 安全理念折射出安全能力，承諾與實踐匹配方式尚不成熟 16 規(guī)制第三方合作安全伙伴的能力，提升多選擇服務的安全性 16 對比結(jié)果 17三、物理基礎(chǔ)設施部署指標設計與對比 25 25 25 28四、內(nèi)部人員管理指標設計與對比 30 30 30 32五、事故響應指標設計與對比 34 34，有助于業(yè)務更快的恢復 34 34 37六、數(shù)據(jù)安全保護指標設計與對比 39，促使客戶依賴高標準安全控制手段 39 40 43七、合規(guī)性表現(xiàn)指標設計與對比 45 云服務商的合規(guī)性認證是給客戶企業(yè)安全保障的定心丸 45 合規(guī)性指標主要分為安全認證、透明審計和法律遵從 45 國內(nèi)外云服務行業(yè)合規(guī)性認證存在差異，國外優(yōu)勢明顯 49 對比結(jié)果 50結(jié)論 60后記：共筑云安全更佳狀態(tài)需要各方參與 63常見問題 65云服務商信息來源說明 67致謝 69研究方法：基于公開信息的比較研究對信息的有效理解能夠提升決策的自信。本次研究同樣面臨對信息的理解困境，研究設計是基于破解面臨的多源、不一致和不對稱等困境而形成的。我們認為本次項目首要目標是構(gòu)建中國企業(yè)對云安全的評價認知和指標體系，在這問題下，我們需要解決——什么是安全？以及哪些信息能夠支撐安全感受？并最終通過可以獲得的信息建立一個解答模式。首先，利用權(quán)威報告建立對云安全的基礎(chǔ)認知和分析框架。在研究中我們參考了權(quán)威機構(gòu)發(fā)布的對云計算企業(yè)評估報告，已經(jīng)針對云安全領(lǐng)域的比較體系。其中較為重要的包括：美國高技術(shù)市場研究公司Forrester云安全指標體系，技術(shù)咨詢研究機構(gòu)Gartner對云安全市場的分析報告，歐洲網(wǎng)絡與信息安全局（ENISA）關(guān)于云計算的研究報告中對于云風險情景的描述等?；谝陨腺Y料，我們初步建立了對云安全的基本概念和評價體系，以便于在后續(xù)研究中形成一個具有較強一致性的比較邏輯和對話平臺。其次，通過調(diào)查中國企業(yè)發(fā)現(xiàn)本土需求與經(jīng)典理論之間的差異。我們希望通過對中國企業(yè)IT部門高管、技術(shù)負責人調(diào)查，了解中國企業(yè)對上云決策理解，對云安全的態(tài)度。在獲得這些信息之外，我們還了解到部分企業(yè)存在與常見云理論不同的感性認知，在此基礎(chǔ)上我們對初期比較框架做了調(diào)整和細化。本次調(diào)查為了保證調(diào)查展現(xiàn)出的觀點的多樣性，樣本企業(yè)即包括互聯(lián)網(wǎng)金融、移動應用開發(fā)、IT系統(tǒng)開發(fā)等IT產(chǎn)業(yè)，也包括城市基礎(chǔ)設施建設運營、加工設備制造、電子儀器制造等傳統(tǒng)行業(yè)。在上云情況上，這些企業(yè)或已經(jīng)上云，或明確表現(xiàn)出上云的意愿，訪問對象主要為企業(yè)CTO、CIO或技術(shù)總監(jiān)等相關(guān)職位。再次，通過訪問中國云安全專家修正和提升比較框架。就資料和調(diào)查中存在的問題，我們對國內(nèi)高校、研究機構(gòu)中信息化、信息安全、云計算等領(lǐng)域?qū)＜?，以及其他在該領(lǐng)域長期從事一線工作的專業(yè)人士該進行了專題訪問。專家基于所在專業(yè)領(lǐng)域，對中國云計算發(fā)展狀況及特殊性，企業(yè)上云安全的整體性困惑和解決方法等問題做出了解答。最后，使用公開信息進行以安全為核心的比較實踐。針對最終形成的指標體系，研究團隊通過公開渠道獲取具有統(tǒng)一標準的信息進行比較操作。這些信息渠道包括：1. 云服務商企業(yè)自行發(fā)布的白皮書；2. 云服務商企業(yè)自身對外公開的業(yè)務動態(tài)新聞；3. 權(quán)威機構(gòu)發(fā)布的研究報告；4. 對部分不明確信息，我們通過企業(yè)公開的客服電話進行了詢問確認。使用公開信息源主要考慮到本次研究行為建立一個能夠為上云企業(yè)提供參考的比較方法，因此在整體研究方法上都充分考慮了信息的可獲得性。一、構(gòu)建云安全能力指標體系上云路途的一個阻礙是企業(yè)對云安全的擔憂，與企業(yè)的近距離地交流訪談中，我們發(fā)現(xiàn)這種擔憂因人而異，對企業(yè)邁入云端的影響程度也不一樣，存在不同的安全感知狀態(tài)。有的企業(yè)認為：云有優(yōu)點，但也有不確定風險，謹慎上云；有的企業(yè)認為云很好，云即代表安全；也有企業(yè)認為云的安全沒有切實可行的效果衡量。無論是哪種狀態(tài)，拋開企業(yè)的行業(yè)類型、組織規(guī)模、技術(shù)實力這些客觀事實，企業(yè)對云安全的感知狀態(tài)可以按照描述為以下幾點：企業(yè)對云安全有偏差的認知；不知何解的疑問；由于對云的認識還不夠全面存在沒有想到的安全問題等。由于這種因人而異的安全感知的差異性，我們將本報告首先站在企業(yè)的角度來剖析幾種企業(yè)對云安全的感知狀態(tài)，再構(gòu)建起云安全能力體系，對比主要云服務提供商（云服務商）安全實踐現(xiàn)狀的基礎(chǔ)上，將各家云服務商的關(guān)鍵安全能力解釋轉(zhuǎn)化為企業(yè)、公眾可理解的信息，以期幫助企業(yè)構(gòu)建相對系統(tǒng)、全面的云安全知識體系。 撥開企業(yè)云安全感知迷霧企業(yè)對云的安全感知狀態(tài)大致可以區(qū)分為兩類，存在安全感知盲區(qū)和由于控制權(quán)的遷移引發(fā)的不安全感，無論是哪一種狀態(tài)，都會成為企業(yè)做出客觀、理性的云決策的阻礙因素。 安全感知盲區(qū)會降低在決策時對云服務商安全能力的審視敏感性第一種情況，由于云自身的資源池化等特征會釋放出相對于傳統(tǒng)IT部署活動的新風險，例如云規(guī)?；馁Y源集中在產(chǎn)生效益的同時，也會因目標更大而遭受黑客的攻擊，從而給企業(yè)自身帶來風險。企業(yè)是否具備了客觀審視云的風險特征的足夠信息支撐？第二種情況，由于沒有絕對的安全狀態(tài)，安全風險不能百分百杜絕，企業(yè)在部署安全防護時，還需要同時考慮成本這一現(xiàn)實問題。最佳安全保障體系需要既能夠在企業(yè)成本考量的基礎(chǔ)上最大程度防御安全風險，又能夠在一旦安全事故發(fā)生后如何最大化的降低損失。企業(yè)的云安全狀態(tài)不能完全寄托于云服務提供商，如果企業(yè)不能夠充分了解云服務商在數(shù)據(jù)安全、服務可靠性、內(nèi)部人員管理、訪問控制與授權(quán)等一系列方面的安全能力部署信息，將會影響在成本考量之下的安全保障體系部署，一旦安全事故發(fā)生后，企業(yè)自身也不能依據(jù)充分的信息快速調(diào)撥云服務商的安全解決方案做出及時預案。如果企業(yè)知曉的安全信息不夠全面，就會降低對云服務商安全能力的審視敏感性，影響業(yè)務在云中的實際運行安全。 控制權(quán)遷移引發(fā)的不安全感可能錯估上云時機組織不愿意采用云服務，缺乏安全感是其中的一個，甚至對某些企業(yè)來說安全甚至是上云的頭號障礙。隨著開發(fā)驗證測試，數(shù)據(jù)存儲備份容災，關(guān)鍵業(yè)務應用，數(shù)據(jù)中心等一系列的企業(yè)IT活動階段性地上云，原來在企業(yè)完全掌控的IT部署活動由云服務商承擔了一部分的職能。例如基礎(chǔ)設施和應用程序的外部化，會給企業(yè)自身帶來的控制權(quán)轉(zhuǎn)移而引發(fā)的風險擔憂。企業(yè)對云服務商提供的安全保障能力本身，以及是否在合規(guī)性、數(shù)據(jù)保護、控制內(nèi)外部惡意攻擊等方面具備足夠透明性的顧慮也會油然而生。我們要承認的是，不安全感本身是一種帶有主觀性的心理活動。如果企業(yè)在帶有不安全感的心理狀態(tài)下來審視云服務商，有可能因為主觀的不信任而影響了客觀、理性的對上云之路，以及云合作伙伴基于安全視角的審視與決策，就會錯估享受云效益的時機。 提出企業(yè)進行云安全審視的基本原則第一，尋找領(lǐng)先的云，思考企業(yè)與云的最佳關(guān)系狀態(tài)。在簡單地剖析了企業(yè)上云之路的安全心理狀態(tài)之后，我們認為，面對企業(yè)的不安全感的心理，如果要突破這個心理防線，企業(yè)需要理解沒有絕對的安全狀態(tài)，企業(yè)應通過充分了解領(lǐng)先的云的工作機理與先進的工作機制，了解云的計算能力與市場實力，梳理企業(yè)自身與云服務商之間以何種最佳關(guān)系狀態(tài)而相處，例如什么可以依托給云，云服務商以什么安全理念為企業(yè)而服務？ 無此，則安全無從談起。第二，清晰地了解云服務商如何分擔上云后的安全職能。如同了解地震的規(guī)律，人類就能在更安全地在地球表面居住；了解氣候變暖的威脅，人類就能預防兩極冰山融化帶來的災難，企業(yè)對于云服務商能夠?qū)_安全風險的安全服務、工具、技術(shù)和保障機制的認知越全面越強大，就能夠更好地幫助企業(yè)構(gòu)筑安全防線，因為這是防御安全風險/及時響應安全事故的最直接戰(zhàn)場。 云安全能力指標體系構(gòu)建依托于上述兩個基本原則，參考CSA發(fā)布的《云計算關(guān)鍵領(lǐng)域安全指南》、歐洲網(wǎng)絡與信息安全局（ENISA）發(fā)布的云服務保障標準研究等一系列云安全標準文件，結(jié)合企業(yè)上云擔憂，以便于企業(yè)在第一時間全局性地審視云服務商的安全能力，本報告從泛安全的信任基礎(chǔ)、物理基礎(chǔ)設施部署、內(nèi)部人員管理、應急響應、數(shù)據(jù)安全保護、合規(guī)性表現(xiàn)六個方面構(gòu)建了19個細化指標體系。本報告通過搭建云安全能力指標體系，重點依托各云服務商公開披露的安全實踐信息，對比各廠商在各個指標層面的表現(xiàn)。我們希望通過本報告為企業(yè)云決策者、云實施部署者構(gòu)建安全知識體系，增強從安全維度上審視未來要選定的云服務商合作伙伴的判斷力。目前國內(nèi)云計算市場參與逐鹿的企業(yè)屬性呈現(xiàn)多元化特點，不僅有傳統(tǒng)的IT公司、電信運營商、還有大型互聯(lián)網(wǎng)平臺企業(yè)、創(chuàng)業(yè)公司，且提供云產(chǎn)品的理念與形態(tài)也仍處于演變進化的過程中。本次研究對象的選擇在考慮市場表現(xiàn)的之外，希望覆蓋不同企業(yè)類型、業(yè)務形態(tài)的云服務商的云安全實踐展現(xiàn)。本次研究對象選取國內(nèi)五家提供公有云服務的國內(nèi)外廠商——亞馬遜AWS、微軟Azure、阿里云、騰訊云、天翼云。圖表 1云服務商安全能力指標體系云服務商安全能力對比一級指標云服務商安全能力對比二級指標泛安全的信任基礎(chǔ)市場表現(xiàn)計算資源供應能力安全理念搭建第三方合作安全伙伴的能力物理基礎(chǔ)設施部署數(shù)據(jù)中心部署數(shù)據(jù)中心標準遵從內(nèi)部人員管理人員管理流程設計招聘與培訓監(jiān)控備案、終止手段事故響應事故處理團隊提供的信息工具、相關(guān)標準和方法事故賠償機制