姚凯：欧喜投资（中国）有限公司IT总监。在长期的企业信息化过程中，先后成功上线了Oracle OnDemand、Salesforce，Office365，并实施了基于阿里云和AWS双机热备的系统。

以下是姚凯在ITValue企业信息安全微信课上的分享，经ITValue整理后发布。

今天我的分享主要从三个方面来讨论：第一、公有云是不是会更安全，第二、我使用公有云的一些体会以及对一些问题的建议，第三、公有云使用中涉及到的法律和审计方面的问题。

1
公有云是不是更安全？

在选择公有云产品时，很多供应商表示，基于公有云产品会对企业的用户会更安全。

在回答“公有云是不是更安全”之前，先要明确一个前提，什么是安全？通常，业内对于安全，是从三个维度来考核的，即俗称的CIA。

“C”是指的机密性，信息只有被授权的人才能访问。

“I”是指的完整性，数据从产生那一刻开始就是不被篡改的，所有的修改都要经过合法的授权。

“A”是可用性，当需要访问我的数据的时候，都是可以访问的。

公有云服务会涉及到很多方面的关系，比传统的IT的管理要复杂得多。

IT自行维护自己的系统，每个工厂会有一个机房，这时候所有的责任全部是由企业承担。企业后来会把一部分数据放在托管的数据中心，这时候就存在着企业和数据中心这样的双方关系。

公有云平台的关系会更复杂，企业使用的IaaS平台又会去租用一些托管的数据中心；如果有些企业使用SaaS平台，SaaS平台又会使用IaaS公有云，存在多方的服务关系。

涉及多方关系，安全就面临多一些的挑战。通常，云平台有一定的优势：提供24小时的物理安全，提供一些防病毒，防恶意软件的保护，还会有一些DDoS的防御，数据集群，等等；同时，拥有更加专业的人员。集中在这样几个方面：

第一、大量的可以使用的资源，在短时间就可以被准备好。

第二、通常有以T级的量级来准备的带宽池，充分考虑了冗余和CDN。

第三，很多云平台使用的都是T4级的机房，提供双路的电源冗余，2N+1的冗余，保障99.98%以上的可用性。除非是一些特大型企业或者是金融机构，一般很难有这样的投资。

这有一个真实的案例。美国有一家专门为医疗供应商提供服务的公司，租用了一家SaaS公司的网页服务。很不幸，他们遭到DDOS攻击。整个攻击方使用了遍布全球的约十万台机器，发动了8600万个攻击，在攻击的时候流量达到每秒20G。一般的企业如果面对这样的攻击，几个小时之内就会瘫痪掉，但是云平台避免了这个问题。

这家公司在发现DDOS攻击之后，他们在短时间里调用了18台HA防火墙，部署了40台的网页服务器集群，使用了亚马逊冗余的DNS平台，抵抗攻击达到36个小时，最后攻击方不得不放弃了这次攻击，而整个防御的成本只有1500美元。

从这个角度来看，云平台会比企业自建的IT服务更安全。但是所有的使用云服务的客户都会担心，长时间的停机或者非计划的停机。而国内外的很多云服务供应商的记录，其实并不令人满意。

2016年4月16号，微软Azure在中国北部的机房出现了故障，由于负载均衡程序的问题，导致整个服务从11：45到15：10分停机。AWS在悉尼的服务6月4号出现问题，一直到6月6日上午才解决，停机长达36个小时。2015年6月21号，阿里云香港的机房从9：30分的服务一直暂停了12个小时。更为夸张的是，Verizon在2015年的1月10号和11号，安排了脱机40小时的系统维护。

从上述问题可以发现，云供应商的可用性，在很多时候并不能得到有效的保障，原因大致有三个。

第一，对系统进行升级时，并没有得到严格的遵守整个测试和变更管理的流程。

第二，通用的云平台不能准确掌握客户的系统状态。企业可以在非工作时间安排维护；云平台的不同客户，因为种种原因找不到这样的时间，当出现问题的时候，并不能判断优先级。

第三，对整个的平台的灾备并没有经过认真演练。在日常的运维过程中，专业人员很少在第一线进行服务，一般来说，只有在问题升级到一定程度，专业人员才能介入，这就导致了专业人员是用来解决问题而不是前期来预防问题的。

另一方面涉及安全的问题是数据的安全性。

云平台的数据的所有者，肯定是企业的用户或者是最终使用者。但在整个的运维过程中，云平台上运行的进程，能够监控用户的文件系统、进出的流量。某种意义上，云平台可以还原用户的所有信息，这会对用户信息的机密性带来很大的挑战。监控包括哪些内容，很少看到有云服务供应商有说明。

从这两个方面来看，公有云是不是更安全，不能够简单“一刀切”来进行判断。企业必须根据自身的情况，以及信息的机密性、所使用的服务商情况，来做具体的考量。

2
公有云使用的体会与建议

1. 企业要区分公有云的使用场景。如果仅仅是对企业内部使用，不存在移动办公等网络使用场景，企业和公有云的供应商之间建立起一条VPN或其他专有的数据连接，保证整个数据链路的保密性。

SaaS平台存在用户名和密码的问题。企业内部的员工有自己独立的域用户域帐户的同时，每使用一个SAAS的软件就会有一套独立的用户名和密码。这样导致了IT在做用户维护时存在很大的问题，有的时候IT没有办法知道用户究竟在使用哪些软件；用户离职后，不能及时维护。

因此，如果在有选择的前提下，我们应该优先考虑支持ADFS单点登陆协议的软件。不得不去使用基于Internet公网的应用时，密码问题会更具有挑战性。
双因素认证是一个好选择，有密码的同时，还有某种不可复制的东西做保证，比方电话的串号，或者自身的某些特性（指纹等）。用户在后台使用账号，在前台通过双因素的形式来进行登陆。

在登陆时，进行在用户认证之后，哈希值会传送到后台，并且加上对应的时间戳。密码的重置最好不使用手机，因为已经证明风险很高。

2. 另一个重要的问题是数据生命周期的管理。即从数据的创建、数据的保存、备份和销毁的全过程的管理。

对于一个系统来说，漏洞永远存在。因此，最好对整个公有云平台上的数据都进行加密，至少对关键的、涉及到隐私的数据来进行加密，对重要的数据进行匿名化管理。

比如，在后台存储的客户的名称、地址、联系方式、联系人等资料全部都是一个加密的，但是CRM系统中和这个客户相关联的一些数据可以是明文的。这个时候即使遭到拖库，所看到的只是对A客户有什么样的销售机会，但是A究竟对应谁，信息是隐藏的。只有通过指定的客户端访问时，A的具体信息才会得到解密。

3. 关于灾备，通常来说，灾备有三种不同的方式。一是在同一个云平台的不同区里面互为备份，二是在不同的云平台的不同区互为备份，三是在某个云平台和自身企业内部的数据中心互为备份。

灾备要考虑以下因素：灾备云平台可能的费用、灾备云平台上的数据每天的增量情况、不同的云平台之间数据的流入流出的流量的费用。

企业需要根据自身的情况去评估不同的灾备方案，但是所有的灾备方案必须每年至少一次进行演练，保证整个灾备方案是可行的。

3
公有云涉及到的法律和审计

因为时间关系，我重点谈两个问题。

第一个是对于服务终端的相关的责任。

在国内，我所看到的一些合同的约定基本是，云平台不承担因为他的服务中断而导致你的业务损失所带来的间接损失。

但是云服务所造成的服务中断的损失，在不同国家的法律规定上会有一些差别。因此在选择云服务的时候，如果说中国的合同约定并不是很令人满意，还可以去看看新加坡、澳洲或美国的规定怎么样，挑选更为满意的服务条款。

下面云服务的审计方面的一些要求。

企业自己运维的IT，每年审计公司都要对IT进行审计，保证整个系统是可控的。企业使用云服务，审计公司的服务是有所缺失的。虽然说一些供应商会提供ISO27001的认证，但在审计上仍然是有风险的。

对此，美国会计师协会提供了一个标准叫SSAE16，前身是SSAS70，该审计标准涵盖了所有的托管数据中心、应用程序服务供应商ASP、软件服务供应商SaaS。

SSAE16可以用于判定，服务供应商对于控制的描述是否公正、设计是否有效。控制从某一个时间开始生效并且从某一个时间开始有效运行，分为三个等级，SOC1、SOC2和3，SOC1更偏重于财务的控制，SOC2和3的范围会更广，包括安全、可用、完整、保密、隐私等等。在选择服务供应商时，可以要求他们每年提供一份这样的审计报告。