主要内容：•从发展的脉络分析，“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类；•介绍5大类24种云安全相关技术及其客户收益和使用建议，并从技术成熟度和市场成熟度两方面进行了评估；•分析企业使用云服务的场景，指出了国内云安全技术和市场的现状和差异及其原因；并对未来的发展进行了推测和预判；•集中介绍云安全相关的各种法规、标准和认证概述随着云计算逐渐成为主流，云安全也获得了越来越多的关注，传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。

但是，与有清晰定义的“云计算”（NIST SP 800-145和ISO/IEC 17788）不同，业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

从发展的脉络分析，“云安全”相关的技术可以分两类：一类为使用云计算服务提供防护，即使用云服务时的安全（security for using the cloud），也称云计算安全（Cloud Computing Security）,一般都是新的产品品类；另一类源于传统的安全托管（hosting）服务，即以云服务方式提供安全（security provided from the cloud），也称安全即服务（Security-as-a-Service, SECaaS），通常都有对应的传统安全软件或设备产品。

云安全技术分类“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分，即以云服务方式为使用云计算服务提供防护。

云计算安全基于云计算的服务模式、部署模式和参与角色等三个维度，美国国家标准技术研究院（NIST）云计算安全工作组在2013年5月发布的《云计算安全参考架构（草案）》给出了云计算安全参考架构（NCC-SRA，NIST Cloud Computing Security Reference Architecture）。

NIST云计算安全参考架构的三个构成维度：•云计算的三种服务模式：IaaS、PaaS、SaaS•云计算的四种部署模式：公有、私有、混合、社区•云计算的五种角色：提供者、消费者、代理者、承运者、审计者NIST云计算安全参考架构作为云服务的使用者，企业需要关注的以下几个子项的安全：•管理对云的使用•配置：调配各种云资源，满足业务和合规要求•可移植性和兼容性：确保企业数据和应用在必要时安全地迁移到其他云系统生态•商务支持：与云服务提供商的各种商务合作和协调•组织支持：确保企业内部的策略和流程支持对云资源的管理和使用•云生态系统统筹•支持云服务提供商对计算资源的调度和管理•功能层•包括网络、服务器、存储、操作系统、环境设置、应用功能等，不同服务模式下企业能够控制的范围不同使用不同模式的云服务（IaaS、PaaS或SaaS）时，企业对资源的控制范围不同，有不同的安全责任边界，因此需要明确自己的责任边界，适当部署对应的安全措施。

根据国家标准 GB/T 31167-2014《信息安全技术-云计算服务安全指南》规定，企业用户的控制范围主要在于虚拟化计算资源、软件平台和应用软件。

GB/T 31167-2014服务模式与控制范围的关系具体的责任分配可参考微软《云计算中的共担责任》中的说明，如下图。

不同云服务模式的共担责任安全即服务传统上，有些企业会选择安全代管服务（Managed Security Service，MSS），将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商（Managed Security Service Provider，MSSP），以减轻企业IT和安全部门在信息安全方面的压力。

随着技术和网络的发展，部分专业安全厂商开始采取类似的策略，不再向客户出售独立的安全软件和设备，而是直接通过网络为企业提供相应的安全托管服务（hosted security service）：企业只需要负责配置和管理自身的安全策略和规则等工作，而不用涉及软硬件的安装和升级维护等。

在云计算技术逐渐成熟以后，安全托管服务即由厂商通过云服务平台提供；同时，也出现了一些直接通过云服务提供的其他安全技术和产品，统称安全即服务。

按照云安全联盟（CSA，Cloud Security Alliance）发布的《云计算关键领域安全指南》（第四版，2017年7月）中介绍，SECaaS共有12类：•身份，授权和访问管理服务•云访问安全代理•Web安全•Email安全•安全评估•Web应用防火墙•入侵检测/防御•安全信息和事件管理（SIEM）•加密和密钥管理•业务连续性和灾难恢复（BC/DR）•安全管理•分布式拒绝服务保护与传统安全产品相比，SECaaS产品有诸多优势：•快速部署，即买即用。

企业不需要采购软件和硬件，在获得相应安全服务的授权后，经过简单配置即可使用。

•自动升级，免于维护。

云端服务永远处于最新状态，企业不需要配备人员对安全设备和软件进行版本升级和日常维护。

•按需采购，灵活扩张。

企业可以按当前的使用人数采购必须的安全功能，并根据需求变动随时增加或减少。

•支持移动，访问便捷。

以云服务方式提供后，安全功能可以覆盖移动用户，扩大受保护的边界。

根据企业对云计算服务的使用情况，云安全相关的主要场景可分为5大类，这里分别介绍比较有代表性的技术：•云计算安全1.租用虚拟硬件资源（IaaS）,提供对外业务或内部应用2.使用云服务（PaaS或SaaS）构建内部应用3.私有云•安全即服务4.集成云服务解决业务和应用中的安全挑战5.使用云服务替代传统安全设备和方案云计算安全1.租用虚拟硬件资源（IaaS）租用云服务器等虚拟硬件资源是云计算服务的最基本模式，也是企业需要承担最多安全责任的模式。

除了确认云上业务应用本身的安全性，企业在规划租用虚拟硬件资源时，应该从三个方面分别考察相关安全技术和产品：虚拟硬件基础设施、应用底层架构和对外业务保障。

这里将分别介绍11种主要技术的相关情况：•虚拟硬件基础设施企业选择租用云服务器等虚拟硬件基础设施时，首先需要关注CSP能够提供哪些安全相关功能和如何利用这些安全功能构建可靠的云上硬件环境，为企业的云上业务和数据提供基础性的安全保障。

安全组（Security Group）技术介绍：安全组定义了一组网络访问规则，可视为虚拟防火墙，是实现云服务器间网络隔离的基本手段。

云服务器加入一个安全组后，该安全组的所有网络访问规则都将应用于该云服务器；如果一个云服务器加入了多个安全组，应用于该服务器的网络访问规则将是各安全组的合集；同一安全组内的云服务器之间能够互相通信。

客户收益：在基础网络的设定下，CSP从统一的资源池中为客户提供云服务器，安全组能够帮助客户实现以单个云服务器为基础的网络隔离，并划分安全域。

需要特别注意的是，如果使用基础网络设定，不同租户的云安全服务器在默认情况下是网络互通的。

使用建议：安全组应用于所有云服务器。

企业在使用云服务器时应仔细规划安全组的设置和信任关系，以确保在满足业务互通需求的同时实现有效隔离。

虚拟私有云（Virtual Private Cloud，VPC）技术介绍：VPC是指CSP在公有资源池中为客户划分出的私有网络区域。

与企业内部的物理网络类似，VPC在提供公网地址（IP）作为访问接口的同时，内部可自定义私有IP地址段，并可继续为VPC内部的云服务器建立安全组。

客户收益：使用VPC时，企业在云上的网络架构与传统的物理网络基本一致，且同一租户的不同VPC之间也不能直接通信。

企业也可以将内部或IDC的物理网络与VPC通过专线、VPN 或GRE等直接连接以构建混合云业务。

使用建议：VPC能为企业的云上资源提供网络隔离，防止其他租户嗅探或攻击；同时，由于设定的固定网段等限制，也将影响网络架构的弹性扩展。

企业需要妥善规划和管理网络，设置路由策略和访问控制规则，并根据业务需求及时作出调整。

微隔离（Microsegmentation）技术介绍：微隔离技术将网络划分成多个小的功能分区，对各功能区设置细致的访问控制策略，并可以根据需要通过软件随时进行调整。

微隔离的实现主要基于网络（VLAN、VPN、SDN／NFV）或平台（如hypervisor、操作系统、容器等）的固有特性，或者通过防火墙等第三方设备以及主机客户端实现。

客户收益：微隔离技术在网络分段和隔离的基础上增加虚拟化和自动化，实现了按应用和功能的业务逻辑对网络访问进行控制。

由于网络访问规则与业务逻辑一致，攻击者能获得的攻击面较小，也难以利用系统漏洞进行渗透；同时，即使黑客突破防御边界，由于不同应用的业务逻辑不同，对一个区域的成功渗透也很难用作攻击其他区域或应用的跳板，黑客在内网渗透的难度将明显提高。

使用建议：建议企业了解相关技术和产品的发展，保持关注。

如果部署使用，微隔离形成的分区应具有类似的功能，在业务流程上尽可能一致；跨分区的网络通信必须符合策略设置，且被记录；安全事件发生后，可疑分区将被迅速隔离。

另外，除了应该仔细规划各分区的组成和跨分区通信规则，还应该注意避免过度分区影响正常业务。

软件定义边界（Software-Defined Perimeter ，SDP）技术介绍：SDP架构也称“黑云”，使企业对外隐藏内部的网络和应用，并使用策略控制对内部网络的接入和内部应用的访问，主要由SDP控制器和SDP主机组成。

SDP控制器分析连接请求以及发起方和接收方的各种信息，基于设定的策略判断是否接受或发起连接；SDP主机控制数据通路，收集连接的相关信息，并根据SDP控制器的判断接受或发起连接。

客户收益：随着各种云服务和移动设备的广泛使用，传统上用于划定安全区的网络边界越来越难以清晰定义；同时，黑客获得传统安全区内设备的控制权也变得容易和常见。

通过严格控制对内部网络的接入和应用访问，SDP帮助企业有效隐藏信息并缩小攻击面。

使用建议：随着用户来源和应用部署方式越来越多样，SDP的作用和好处将更为突出，企业的IT和安全人员应保持关注，并在条件允许的情况下开始试验性部署。

云资源管理和监控技术介绍：云资源监控和管理平台（应用或服务）为企业呈现云服务器的CPU、内存、磁盘和网络等云资源的利用率，以及存储等各项云服务的负载和性能，对异常的消耗和中断等做出告警，并提供相关报表以供进一步分析，有些厂商还能提供优化建议，降低在云资源上的支出。

客户收益：云资源监控和管理平台能够帮助企业监控云资源的使用情况，保障业务运行，并为企业优化云资源配置提供建议，提高云资源利用率并降低成本。

使用建议：根据云上业务的重要程度，企业应尽量对云资源的使用进行专门的监控和管理，以保证业务的平稳运行。

•应用底层架构基于安全的云上硬件环境，企业在部署业务应用前，需要设计和搭建应用底层架构。

与传统硬件环境相比，在云上搭建应用底层架构更便捷，也更灵活，并能利用新技术进一步提高可靠性和安全性。