中国IDC圈2016年9月6日报道，9月1日由工业和信息化部指导，中国信息通信研究院、中国通信标准化协会主办，数据中心联盟承办的“2016可信云大会”在京隆重召开。在从1.0到2.0——可信云保险分论坛上，360政企云安全产品部架构师李纪峰发表了题为“可信云之数据安全”的演讲。以下是演讲全文：

360政企云安全产品部架构师 李纪峰

今天非常高兴在这里和大家交流可信云和数据安全的话题。我来360也有五年，之前在360网络安全检测做网站的扫描，之后做了360的手机卫士，在应急防护这块积累了丰富的经验。目前是在360企业安全这边负责云安全的一个技术架构这一块。

首先，让我们看一下云安全的一些新的台站。首先，东西向的流量不可见。因为在云的环境下，我们使用了一些新的技术按，在传统的业务中，我们主要的业务是以客户端到服务端的流量为主，南北向流量为主。云的环境下，主要是东西向流量。东西向流量最主要分为两种，一种是在同台物理主机上面不同虚机之间的流量交换，他们之间的交换不会经过交换机，直接通过物理服务器进行交换。另外一部分，在同一个数据中心不同虚机的流量交换。我们看到在云的环境下，80%的流量都是一个东西向流量，但是80%的风险还是南北向这一块。虚拟机逃逸，典型的就是一个毒液漏洞，通过物理主机控制我们其他的虚拟机。

SDN安全，在云的情况下，一个是虚拟化，还有一个是SDN，这是思科2015年公布的一个漏洞。由于思科本身APIC的一个程序策略控制器，由于权限控制不当，使黑客可以获取Root权限，并且可以执行命令。这个漏洞风险等级略微高，评分8.5分，影响特别大。

在云的环境下我们使用了新的技术，包括OpenFlow，OS等，对传统业务来讲，从安全角度讲增加了很多的攻击面。这是公有云平台本身的安全风险，这是我们看到今年6月份在物理云平台曝光的亚马逊环境存在远程命令执行的流动，这个漏洞主要是由于亚马逊使用了一个第三方的组件，这个漏洞可以使黑客构造一个恶意图片，黑客只需把恶意图片上传到服务器就可以在服务器端执行命令。这个漏洞对柏林影响也非常大，柏林有200万的网站都受这个漏洞的影响。当我们云平台出现这样漏洞的话，这时候可能对我们云平台要求特别高，首先看在第一时间是不是能够把这个漏洞修复掉。

这是OpenStack漏洞的统计，过去一年有21个漏洞，其中高危漏洞有3个。我们看到OpenStack所有的核心组件都会受这个漏洞的影响，从目前看我们在政企云，包括行业云，OpenStack应该算是一个主流的解决方案，我不知道我们现在已经实施的一些OpenStack的一些解决方案，云服务厂商有没有提供一些升级的解决。

还有云提供一些安全的组件，包括IP、镜像、快照和块存储，从业务角度来讲，的确会给我们带来很多的方便。IP我这边最主要说两点：首先，比如租户A做一个社区的业务，由于经常有一些竞争对手供给他的网站，客户把IP换了，这个称之为“脏IP”，这时候对云服务厂商有要求，云服务厂商有没有对这种“脏IP”有隔离洗白的机制，如果不隔离，另外一个用户可能就会绑定这个IP，可能会莫名遭受DDoS攻击的风险。另外，有的公司对内网设置一个安全可信。之前出现一个情况，黑客发现一个IP下线了，因此黑客觉得IP可能是黑客攻击的入口，因此通过多次尝试获取到IP，通过IP顺利进入企业的内网。

镜像这块最主要两个风险。第一，对很多私有云的企业来说，由于镜像是由云服务厂商来提供，但是如果说微软或者什么，发布最新的补丁的时候由于我们的云服务厂商一直没有对我们镜像中心，导致我们很多业务创建出所有的云主机可能还都是有漏洞的。另外，可能云服务厂商提供的镜像本身可能有后门这种风险。2012年出现了一个事故，对我们很多开发人员和业务人员下载这个软件被黑客攻击，会把用户名和密码自动回传到黑客手里。

快照的确在云里面是有效的方案，但是如果不快照的文件到另外一个地方打开，可能数据就泄露了。

还有一个问题传统厂商的互相封闭，可能对传统的业务来说，这里从防火墙和扫描器的角度来讲。为了解决爬虫链接全不全，一般有两种解决方案，一种就是拆目录，另外可能会等等一个基于Web2.0的一个爬虫引擎，这时候会把2.0执行的页面爬出来，即使这样可能还有很多页面解析不到，如果防火墙和扫描器联动，这样扫描能力会大大提高。

回到最主要的核心，数据=信任。其实对于企业来讲，数据可能是企业最重要的一个资产。每次跟客户也好，或者云服务的一些厂商交流的时候他们都会提到一个问题，怎么样保障用户数据的安全。客户觉得本身他自己把数据放在云上，云服务厂商会不会通过他的上级窃取数据。另外，这些年我们肯到拓扑事件频发，如果客户没有一套机制保护我们的数据，我们直接放到云上是非常危险的。

第三，建立一个立体安全的防御体系。这是一个云计算等保的要求，我们看到把云计算分五个层次，我们360也是依托等保依据，对等保涉及不到的地方采取360独特的技术解决方案。这是我们的安全体系。

如何构建一个立体的安全的防御体系。其实真正解决好数据安全问题真的是很有挑战的一件事情，不是购买一块房屋产品，或者做好某一点就能解决它。这里我将数据安全的防御体系分六点。

第一，应用层安全，最主要要部署Web应用防火墙，数据库防火墙和数据库审计。

第二，主机层安全。主机有登录密码10位以上的负责度。

第三，传输安全。防止通过网络窃取数据。

第四，存储层数据，对核心数据要进行加密。通过SSDN泄密事件教育是不能通过MD5进行加密，我建议MD5加密之后再加严，再做一次MD5。

第五，容灾备份。我们看到银行这边一般是两地三中心，一般企业可能成本特别高，我建议做到每周两次的全量。

第六，数据的安全管理。这里包括运维安全、开发安全、数据分析、保险，运维安全可能每次操作都会带来很大的风险，典型的今年4月份亦庄的数据中心更换CPS过程中造成全国70多个村的银行宕机的事件。开发安全，这里举两个例子，其实开发过程中稍有不注意可能都会造成我们数据的泄露。这是淘宝数据库配置的文件泄露，由于我们开发人员将我们代码直接上传到github的网站，由于他们使用阿里云存储的SSD和Key的信息直接放到hub的服务器上，查看代码之后可以直接通过这个访问阿里云保存的一些存储的一些数据。

这是我们从配置文件，这是我们开发过程中敢聊的用户照片，隐私的泄露，开发人员直接把云存储的一个Key等一些信息直接保存到一个plist的文件当中。

还有很重要的一点就是数据分级，数据是企业最核心的资产，我们也需要对数据进行分级，我们需要对数据进行一个处理。对企业来讲，哪一部分可能是最敏感的数据，可能我们只能放在公司内网，而且需要一套很严格的访问措施来保证我们的数据安全。哪部分数据可以放到云上，但是放到云上的数据必须加密，哪一部分可以不放到云上加密的，我们需要对数据进行处理。

这是360针对云安全推出的安全的管理平台。

这个就是我们360针对云的一个安全的解决方案。说实话，彻底解决好云安全我觉得对我们所有人和企业来说都是一个很大的挑战。

最后一点就是安全是个过程，其实之前包括跟客户，当时有跟企业老总交流的时候，这个老总跟我谈，安全什么时候是个头，对企业来说每年会投入很多资金，投钱什么时候是个头？我们知道安全是一个动态的过程，我们有一个PDC的计划，就是执行、计划和改进，安全也是需要我们不断的调整我们的策略。另外一方面，可能对很多传统企业来讲，他们这些年云安全的投入也包括购买防火墙也好，还是扫描器也好，反正投入了很多的钱，也购买很多设备，为什么很多安全事件还是频发。我觉得安全可能不仅仅是一个硬件的技术问题，我觉得更多是一个管理问题，管理问题我觉得最重要的核心是人的问题。只有提高我们每个开发、运维或者每个人的安全意识，我们才能彻底解决好我们的安全风险。我的演讲就到这里。