云上安全如何保障？看UCloud的安全之道！

安全问题伴随企业发展始终，无论是软硬件基础设施还是企业业务，无不仰赖于此。

在云计算的发展过程中，数据安全、漏洞攻击、DDos防护等是企业关心的重点。近日，云计算厂商UCloud发布了《UCloud 2015公有云安全年度报告》，对全年DDoS攻击情况，漏洞遭受攻击情况、以及云安全发展趋势、年度安全事件等情况等进行了总结和披露。

也许有人会质疑，云计算服务提供商发布的安全报告权威性有多大？UCloud安全中心总监方勇表示，云计算服务商在安全方面看到的内容和传统安全企业会有所不同。云计算的用户是海量的，平台所承载的数据特征更集中，相对更具有代表性，这些是传统安全厂商所看不到的，云计算厂商可以从自己的视角来评估和解决安全问题。此外，每个公有云平台所面临的威胁和攻击类型存在一定差异，UCloud发布公有云安全报告，希望大家可以互相参考，互通有无，共同保护互联网安全。

[[165267]]

UCloud安全中心总监方勇

疑问：公有云的安全情势究竟如何？

公有云的安全问题一直是大家最为重视的问题，也是阻碍很多企业上云的重要因素之一目前，公有云领域出现的安全问题主要有三类：

一是DDos攻击（分布式拒绝服务，Distributed Denial of Service ），是黑客使用网络上多个被攻陷的机器向特定的目标发动海量攻击，在UCloud的安全报告中显示，DDos攻击对象主要集中在游戏、企业服务、电子商务与互联网金融行业，攻击流量呈现混合化，并以UDP反射型混合流量为主；

二是各种漏洞的攻击，主要包括SQL注入攻击、Web组件漏洞攻击、敏感信息访问、命令注入攻击等；

第三是用户面临的业务安全问题，与企业业务相关的一些威胁。

针对于复杂的云安全问题，企业可以选择云计算厂商提供相关产品和服务并使用混合云保障企业的云安全；此外，用户也需要有安全意识。在企业安全问题的解决方面，方勇给出了三点建议。首先，安全是持续改进的过程，企业需要投入持续的资源和精力来维护改进；其次，安全要越早实行越好，最好在企业业务需求设计的阶段就考虑安全因素，以避免之后对业务的修正，因为在业务相对成熟后，在增加安全特性时，其成本会相对较高；第三，对于高速发展的企业，需要有具备专业安全能力的人才，才能更加有效的推动安全措施落地，进而更好的保障企业的业务高速发展。

比较：传统安全好？or 云安全好？

在安全领域，业界不乏很多专业的安全厂商，那么云计算厂商提供安全产品和服务时，又有哪些竞争优势呢？方勇告诉记者，首先，云计算厂商比较贴近客户，几万家客户触手可及，而传统的安全厂商需要通过自己的渠道收集客户多层反馈，才能触达个别客户；

其次是了解用户，客户在遇到问题时，云计算服务提供商可以很好的把握客户的需求和痛点，并且第一时间帮助客户来解决问题，UCloud的服务承诺是90秒响应，这一点传统安全厂商是做不到的；

第三是成本相对较低，过去的安全设备动辄可能几十万，而现在在公有云平台上可能几百元就可以买来一个月的使用权；

第四是弹性、高效，云上的客户可以很轻松的开启或关闭安全措施，例如云上300G的高防服务一键开启，而传统的方式却需要购买海量带宽、申请试用、部署搭建、配置、调试等繁冗的流程；

第五是威胁情报的整合，发现一点，保护一面。当云上发现一个恶意IP在攻击某个客户时，云服务商可以在云平台上进行风险数据挖掘，在云平台入口处封堵该IP，阻止它攻击其他客户；

最后就是用户体验，在云计算领域，安全即服务（Security as a Service）的理念已经深入人心，除了基于KISS原则设计安全产品之外，安全人员素质培养、技术人员的快速响应水平等作为这一理念的优势已经愈加凸显。

除了上述优势之外，方勇表示，“除了与底层资源和用户隐私相关的安全领域，UCloud秉承开放的态度开放给安全的同行，一起帮助客户来提高安全能力，与安全厂商共建安全生态，分享云计算盛宴。”

支招：UCloud的安全策略

UCloud是一家专注于IaaS的服务商，目前拥有超过3万家企业级用户，部署业务规模超过250亿人民币。因此，保障企业业务和数据安全成为UCloud发展的战重点，UCloud专门组建了安全中心，集中精力攻克各种云安全难题。目前，UCloud安全团队推出了优盾系列产品，主要从七个维度来帮助客户解决方案问题，其中包括网络安全、主机安全、应用安全、数据安全、内容安全、业务安全以及提供安全咨询服务。此外安全情报、漏洞扫描、运维堡垒机、数据库审计、加密服务等新产品也将陆续推出，并针对各个行业客户的个性化需求推出相关安全解决方案。

众所周知，UCloud起家是在游戏行业，然后逐渐深入到金融、O2O等行业，这些行业对于安全的强需求加速了UCloud安全产品的推出进程。游戏行业对安全需求变化相对比较快，因此游戏行业的客户对安全的能力和效率都要求比较高；金融行业的客户对安全的需求则相对较稳，对安全级别要求也会更高，而O2O的客户则更加关注于自己的业务发展。因此，面对不同行业的不同需求，UCloud提供的解决方案也会有所不同。

对于游戏行业，攻防比较激烈，因此UCloud更多的会使用察打分离的思路来保护客户的的安全。而金融行业的客户，更加重视数据的安全及平台运营的合规性，因此，UCloud为金融行业提供定制的专属解决方案，比如为金融客户提供专属的数据中心和物理防护措施来托管服务器，部署混合云。O2O行业的客户，对业务安全要求较高，UCloud利用人机识别等技术手段来识别访问客户业务的是人还是机器；同时通过海量的数据分析，黑样本学习，数据对比等方式，打击羊毛党和黄牛党。

预测：未来挑战有哪些

安全是一个永恒的话题，攻击技术多样化、攻击力度增强化以及安全需求愈加个性化，这些将是未来一段时间内云安全服务要面临的挑战。