每隔一段时间，云计算领域就会出现泄露或者安全相关的新闻，似乎只要是云服务商，都有安全相关的问题，于是乎，公有云的安全问题在这个时候总会被拿出来点评一番。

注：上述消息引自云头条公众号

虽说云计算依托大型数据中心、规模化应用和强大的运维体系等优势环节，让云主机的可靠性远超传统小型数据中心。但是云计算并不是世外桃源，原本存在的安全问题在云上依然存在，甚至问题的维度更多了——除了用户主机端的安全问题，支撑云计算底层的服务器硬件、网络和存储等环节，在资源池化的模式下，带来了更多安全上的问题。

在云计算领域中有这样的一个观点：目前的云计算环境，有两个典型的安全问题需要用户重视。

第一个就是开源软件漏洞。和商业软件不同，开放源码的软件是由世界各地的程序员维护开发的，虽然具有开放的平台，但是动辄数十万行的开放源代码在用户端部署应用时容易被第三方利用。相比传统的商业软件，开源系统存在不可控的安全隐患。

第二个是传统的木马、黑客程序。虽然云主机提供了系统安装镜像，但是用户在安装和部署应用环境时，有可能安装带有后门的程序，前一阵爆出的基于某平台开发环境的漏洞就是一个典型的案例。

安全对于用户而言是头等大事，甚至在某种情况下是决定企业生死的命门。传统数据中心虽然也会出现宕机、崩溃、甚至丢失数据的问题，但是相比企业关键业务数据的泄露，运维能搞定的都不算大事。

一、云上安全的思考

单纯的从技术分析——云主机本身是安全的，云存储本身也是安全的，因为它们设计之初就是给用户提供高性能、高可用的计算／存储环境，只要在这两个框架下满足了用户的需求，那么就可以认为它是称职的角色。但是网络做为连接资源池的重要通道，面对的环境却大不一样了。物理网络时代用户可以通过防火墙等设备来防护网络安全问题，可是在大规模的虚拟网络时代，用户数据像洪水般奔腾在虚拟的环境中，传统的网络保护手段难以保护大规模虚拟网络下的安全。

虚拟网络同样有两个关键的安全问题。

第一， 云网络环境大都缺乏东西向的安全防护 。在大数据、大规模的分布式SDN虚拟环境下，此时依托物理核心交换机的传统方案无法满足安全控制的需要。在分布式SDN网络中，物理网关不在核心交换机上，而是虚拟分散在各个SDN控制器中。此时虚拟主机的东西向流量并不经过核心交换机，传统的IDS／IPS方案就难以发挥作用。

第二， 对接容器网络缺乏标准 。数据中心的网络边界下沉到虚拟化网络中，传统的安全产品无法探测云内部的网络流量。边界安全产品，旁路安全产品，甚至是插件式的软件安全产品都需要深度改造。

与软件定义网络的安全体系同样也分为两部分，一是云平台自带的，二是NFV方式。

二、品高云平台安全攻略

在品高SDN的体系中，引入了VPC安全域的概念，虚拟网络可以使用VPC实现多租户间的网络隔离，并且多VPC（私有网络）环境下都能提供独立的网络功能，支持各种网络场景的落地需求。

品高云在VPC环境下，为用户提供了多样化的安全功能：

IP与MAC绑定：虚拟机IP与MAC绑定，私自修改则引起网络中断，防止IP盗用、私接设备的等安全隐患；

安全组：针对虚拟机的类似于虚拟防火墙的安全规则集合，可以自定义虚拟机的访问端口，实现虚拟机之间的安全访问控制；

子网ACL：SDN针对子网的安全控制手段，可以自定义出入的允许和拒绝规则及优先级，实现子网级别的安全访问控制；

子网分化：通过子网微分段的手段实现子网内IP之间的APR隔离，避免ARP嗅探引起的ARP攻击、ARP欺骗的行为；

隐藏式虚拟化网关：SDN构建的虚拟化隐藏网关，避免因黑客攻破网关而引起的大范围安全事件；

自定义路由：SDN支持自定义路由，可将流量路由至防火墙接受检测，实现流量过滤；

弹性IP地址池：防止传统NAT一对多方式引起的范围式入侵行为，采用一对一的方式保证NAT转换的安全性；

物理网关对接：SDN对接物理网关，可在物理网关和机房叠加安全防护策略；

VPC隐藏隔离：实现VPC内不同安全组间的网络数据隔离，解决APR欺骗和攻击的行为；

VPC对等连接：实现跨VPC网络内网数据通信的互联服务，避免跨VPC互通需求下需要外网或其他设备接入带来的安全隐患；