誰也不會否認，云滲透率正在急劇增長，鋪天蓋地的連接了我們生活方方面面，已經成為了現代信息社會至關重要的技術支撐中心化平臺。

根據中國信通院發表的《云計算發展2019》數據表明：2018年我國云計算整體市場規模達962.8 億元，增速39.2%，且后續幾年還將以保持著超30%的增速增長。

同時，在2018年，信通院還針對3000家企業做過一份公有云調查報告，調查數據表明企業上云最大的利誘因素為減少基礎設施投資和自身IT資源擴張過快。

而企業未上云兩大考量因素在于對云服務的安全不夠信任以及云廠商難以給出合適的解決方案。

可見，安全層面無論是出于現實考慮，還是尋求未來的增長點，其都已經成為云廠商的下一步核心。

本文將從以下三個方面展開，其中概覽又分被攻擊篇和攻擊篇。力求從更多的維度讓讀者了解云端“矛與盾”：

2018年云端攻防概覽

云之盾

政策在行動

一、2018年云端攻防概覽

云計算作為中心化信息技術基礎設施，通過廉價和彈性的優勢吸引了大量的企業將自身的符合云端的業務場景上云，也因此，云上承載的服務越來越多、越來越重要，也成為了網絡攻擊的重災區，同時，也被不法分子利用。

根據CNCERT/CC監測數據，雖然國內主流云平臺（top20）使用的IP地址數量僅占國境內全部IP地址數量的7.7%。

但是在各類型的網絡安全事件數量中，云平臺上的DDoS攻擊次數、被植入后門的網站數量、被篡改的網站數量占比均超過50%。同時，國內主流云平臺上承載的惡意程序種類數量占境內互聯網上承載的惡意程序種類數量的53.7%，木馬和僵尸網絡惡意程序控制端IP地址數量占境內全部惡意程序控制端IP地址數量的59%，即黑客借助云平臺便捷性、可靠性、低成本、高帶寬的特性來發起網絡攻擊，且云網絡流量的復雜性有利于攻擊者隱藏真實身份，攻擊者更多地利用云平臺設備作為跳板機或控制端發起網絡攻擊。

簡而言之，云平臺上的服務被經常網絡攻擊，云平臺也成為新的網絡攻擊載體。

被攻擊篇：

云平臺被攻擊和傳統網絡攻擊一樣，主要以DDoS攻擊、后門攻擊、網頁篡改和木馬或僵尸網絡攻擊等高危事件為主。

根據CNCERT/CC監測數據，2018年11-12月，20家境內云遭受DDoS攻擊次數占境內目標被攻擊次數的69.2%;被植入后門的數量占境內被植入后門數量的 51.6%;被篡改網頁占境內被篡改網頁的58.3%;受木馬或僵尸網絡控制的IP地址 數占境內全部受木馬或僵尸網絡控制的IP地址數的1.3%。

而在去年最典型的一次抗DDOS攻擊，某云廠商一個游戲高防客戶的DDOS攻擊峰值達到了1TB。而根據Info的一篇文章揭露，盡管攻擊目標各不相同，但是從各個行業分布中判斷出過去一年競爭較為激烈的垂直行業。

名詞解釋：

DDOS攻擊：指利用虛擬流量使目標計算機的網絡或系統資源耗盡，使服務暫時中斷或停止，導致其正常用戶無法訪問。

后門攻擊：指云上服務器被植入一個新的網站后門。

網頁篡改：指黑客對一個網頁的篡改。

木馬或僵尸網絡攻擊：指云上主機被植入僵尸木馬程序后被惡意遠程控制。

攻擊篇：

根據CNCERT/CC監測數據，2018年11-12月，黑客利用20家境內云IP地址參與了80.1%的針對境內目標的DDoS攻擊;對外植入網站后門數占境內IP地址對外植入網站后門數的39.4%;承載惡意代碼種類占境內網站承載惡意代碼種類的53.7%;木馬或僵尸網絡控制端IP地址控制的肉雞IP地址數占境內控制端IP地址控 制的肉雞IP地址數的59%。

越來越多的黑客利用云主機作為跳板機或控制端進行網絡攻擊，一方面是因為 云服務使用具有便捷性、可靠性、低成本、高帶寬、高性能等特點，另一方面是因 為云網絡流量復雜，便于黑客隱藏真實身份。

二、云之盾

隨著云滲透率日益增長，用戶不再僅僅考慮“如何上云”， 而更關注“如何安全上云”。

而目前，IaaS場景下除基礎環境的風險由云計算廠商承擔外，云主機、網絡、存儲等層面的風險均由用戶和云計算廠商共同分擔。因此，云計算在不斷強化自身安全能力同時，還將自身安全能力產品化輸出。

而云主機作為重中之重，作為IT資源的基石存在，圍繞著云主機安全為核心，網絡安全、數據安全、 應用安全、安全管理和業務安全為重要組成部分的格局。

其中云主機安全偏向于漏洞檢查和入侵行為的監測和告警等等。

網絡安全偏向于防DDOS攻擊，以云高防機房彈性高帶寬加上過濾清洗為主。

數據安全主要是數據加密以及數據庫安全，數據加密主要是數據傳輸安全，支持彈性擴展以滿足不同加密算法對性能的要求。云數據庫審計提供云數據庫的監控與審 計功能，能夠監測異常操作、SQL 注入等風險問題。

應用安全側重用戶云上 Web 應用的安全防護，云WAF保護Web應用遠離外部攻擊，網站威脅則掃描挖掘Web應用的內在威脅。

安全管理提升用戶云上資產管理的綜合能力，提供云環境下的統一身份與策略管理。

業務安全則是云服務的增值產品項，依靠云計算的大數據分析能力為用戶提供各種保證客戶業務正常運行。

三、政策在行動

針對云平臺網絡安全威脅日益突出，為了進一步加強網絡安全和信息化管理工作，而在安全領域，以被動性需求為主，主動需求較少，而信息安全的被動需求又需要通過立法以及提高合規要求來拉動實現。

隨著IT技術不斷演變，誕生新的運用場景，催化出新的安全威脅。往往新技術革新 越大時，新的場景經濟價值越大時，信息安全對應的增量市場空間越大。為了促進國內云計算的發展，國家在安全領域也是持續加強公共互聯網網絡安全監測和規范。

2017年6月1日《網絡安全法》頒布，意味著網絡安全相關法律法規及配套制度逐步健全。

2019年5月13日，《信息安全技術網絡安全等級保護基本要求》（簡稱“等保2.0”）的頒布，也標志著我國網絡安全等級保護進入新時代，從立法層面提升了云計算信息安全的合規要求，增加了企業上云的信心。

2019年7月22號，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部發布《云計算服務安全評估辦法》，該政策自2019年9月1日起施行。繼續規范了云計算廠商在安全上的保障要求。

未來會是怎樣的，我們應該相信，云計算將成為更多企業得以信賴的選擇。