云时代的安全挑战置身于云计算和大数据蓬勃发展的“互联网+”时代，越来越多的企业已经或正在将业务和数据迁往云端，而这也给安全和隐私带来了非常严峻的挑战。众所周知，早在互联网时代，安全和隐私问题就曾经让无数厂商和用户焦头烂额。如今云计算的技术架构以及基于云平台的新商业模式，更是将安全隐私的重要性提升到了一个新的高度。因为云计算的核心就是各种数据资源的共享，这也使得其对安全和隐私的要求要比互联网时代更加严苛。那么作为全球领先的云计算产品及服务提供商，微软在云安全方面又是怎样做的呢？3月31日至4月2日，第三届中国国际云计算技术和应用展览会暨论坛中国云体系产业创新战略联盟云思维年度大会（Cloud China 2015）在北京国际会议中心举行。作为中国云计算产业的一大盛会，CloudChina 2015着力于推进信息化技术创新和应用，探讨云计算、大数据、移动互联网、智慧城市等新一代信息技术在信息化社会的发展方向，为供需双方市场推广和商务合作提供重要交流的平台。作为此次Cloud China 2015大会的唯一战略合作伙伴，微软邀请了近10位微软专家、特邀业界学者以及近20位客户及合作伙伴在大会上发表了演讲。在这些演讲当中，微软中国首席安全顾问邵江宁所做的“微软的可信云战略”主题演讲尤为引人关注。微软布局云安全从互联网时代，到移动互联时代，再到互联网+时代，云计算早已在全世界无处不在。几乎每时每刻，都会有数十亿台智能设备正在使用各种基于云端的应用程序和服务。而作为全球IT行业的领导厂商，微软从很早就预见到了安全对于用户体验和服务的重要性，并为之做出了相应的准备。早在2002年，比尔·盖茨就在致员工的信函中，宣布了启动可信任计算（Trustworthy Computing）计划。在这份备忘录上，盖茨定义了可信任计算的主要特点，即“在增加新特征和解决安全问题之间进行选择时”，微软将“选择解决安全问题”。这也为微软后续在安全领域的发展和布局指明了方向。同年，微软正式启动了可信任计算工程，并将信息产品和服务的安全性、隐私保护、可靠性、诚信业务实践作为四大重点方向。随着云平台在越来越多企业的生产和运营中扮演着越来越重要的地位，微软也对云安全进行了紧锣密鼓的部署，其云安全实践主要包括：制订安全策略、统筹云安全工作，使安全早期进入云架构设计；建立数据中心物理安全；基础架构安全设计审评；系统和应用软件的安全开发生命周期（Secure Development Lifecycle，简称SDL）；服务运营安全；以及设计实施IT安全方；建立高可用云系统等。 除此以外，微软还加入了云安全联盟（Cloud Security Alliance，简称CSA），通过打造云安全生态系统，微软云 Azure正在推动企业在云安全方面从被动走向主动。微软可信云的四项重点当企业将系统和数据往云端迁移时，需要确保数据和服务是安全、可靠、私密且最佳的解决方案。为了让客户能够更加专注于核心业务，不用在其他事务上分心，微软可信云将服务重点投入在了网络安全、数据隐私、合规性和透明度等四个方面。一、网络安全：在网络安全方面，微软拥有数十年的企业软件开发和提供在线服务的经验，其丰富的经验和先进的技术，足以有效应对各种网络攻击。值得一提的是，微软可信云所着眼的网络安全，并不只是被动的防护，而是聚焦在设计、开发和运营流程，以确保客户数据的安全性。对于整个业界来说，微软提出的安全开发生命周期（SDL）体现了一个基本信念，即与合作伙伴及其他厂商共享安全开发最佳实践、专业知识和技能技巧，以便更安全地开发软件和硬件，从而令整个生态系统受益。而安全开发生命周期（SDL）也被广泛视为行业最佳实践，被150多个国家和地区的开发者下载超过100万次，作为其安全开发方案的基础。近年来随着“棱镜门”事件的爆发，关于政府监控的指控也愈演愈烈。为此微软致力于增强数据在传输过程中的加密，包括用户与云端服务之间、数据中心之间的数据传输，对驻留数据、用户端到端通讯的保护等等。而对于微软云服务的最终客户，微软不仅关注其云平台产品本身的安全，而且还在努力提高云服务运营支持流程的安全，并且与本地的安全服务伙伴携手为客户提供额外的安全服务增值选项，以保证客户可以更加安全地使用云服务。二、数据隐私：微软从设计层面保证隐私安全，并承诺客户信息只用于承诺的服务，绝不用于投放广 告。作为可信任计算的一部分，从2002年至今，微软在为用户提供隐私保护方面已经积累了长达十几年的经验，而且也是全球最早一批任命首席隐私官的科技公司之一。随后众多大型科技企业也纷纷设立了该职位，为旗下产品指定统一的隐私保护指引。出于对客户隐私保护需求的深刻理解，微软在产品和服务中集成了最佳的隐私保护设计，并根据一系列名为“微软开发隐私标准”的准则来开发并部署产品和服务。譬如，微软将“保护用户隐私”写入了旗下产品的《使用条款和隐私说明》，承诺不会利用文档、照片、其他个人文件、电子邮件等内容进行广 告的投递，或泄露给任何第三方。此外微软还通过严格的认证、授权机制，来保障用户始终掌控自己的数据。三、合规性：在提供符合行业标准和组织的合规要求方面，微软在全球范围内拥有超过30年的合规实践经验，并且在迈入云计算时代时，将这些经验成功的转移到了云平台上，以打造现代合规的云服务环境。自从198 9年以来，为了给客户提供可靠的容量来满足其对云服务的需求，微软已经在构建全球基础设施方面投资了数十亿美元，并且仍然在不断进行扩展。在设计和构建方面，微软的数据中心既遵守地区法律，又遵守公司本身严格的安全隐私政策的国际公认标准。它们符合众多关键的认证，包括ISO 27001、SOC 1和SOC 2、SSAE 16/ISAE 3402、云安全联盟（Cloud Security Alliance）云控制矩阵、联邦信息安全管理法案（The Federal Information Security Management Act，简称FISMA）、欧盟Model Clauses、HIPAA BAA、美国联邦政府风险与评估管理计划认证（FedRAMP）、JAB P-ATO、PCI数据安全标准（Data Security Standard，简称DSS）等等。客户可以通过访问微软云服务信任中心来查询具体认证信息。为了向客户提供更高级别的透明度，微软还定期提交由独立机构所做的审计，譬如在业界负有盛名的德勤和英国标准协会（BSI），并与客户分享审计结果。包括网络和服务器配置在内，任何云服务在微软数据中心里运行之前都要进行完整的安全审查流程，以确保安全部署。在中国市场，由世纪互联独立运营的微软 Azure云服务，同样也主动与政府监管机构进行了紧密合作，并且在2014年成为了首批通过可信云认证的国内云服务商。四、透明性：微软相信，持续提高云服务流程的透明度，可以极大地改善客户对使用云服务的信任度。因此除了前面提到的公开的安全开发生命周期（SDL）之外，微软还主动与客户和合作伙伴分享自己在运营方面的最佳实践，发布执法透明度报告，并投资建设透明中心，通过提高透明度来增强客户与合作伙伴对其的信任。譬如针对微软云Azure、Office 365、Microsoft Dynamics CRM等云服务产品，微软就为其建立了在线信任中心，为客户提供云服务透明性的关键数据和报告，这也是微软如何保护客户数据安全的最佳实践。对于客户最常关心的几大关键问题，譬如数据存放在哪里？谁访问了数据？访问了什么数据？如何得到通知？微软也提供了非常周全的解决方案。例如微软云 Azure的客户就可以根据自己的实际需求指定存储数据的地理区域并向微软要求提供清晰的数据地图和地理边界信息；当且仅当在故障排除和恶意软件预防时，才允许访问核心客户数据，并且微软对服务中使用分包商的信息透明，并严格遵循商业条款管理分包商；另外，当数据地图信息发生更改时，系统会通知客户。而当新的分包商出现时，同样也会通知客户，并且能够根据客户的需求提供审计报告汇总。在安全性方面，微软数据中心配备了24小时安全监控、、实时灭火系统、多因素验证功能和全方位楼宇监控以及边界安全检查。它承载微软云服务运营的物理数据中心，可以满足全球最高的安全标准。云时代的安全机遇出于对安全与隐私的担心，以及在相关项目上的资金和设备投入，许多企业对于将业务和数据迁往云端有着不少的顾虑。然而眼前的事实却与这类传统印象刚好相反：对于广大中小企业来说，选择云服务之后，反而有可能大大减少和压缩企业在安全管理上的时间和资金投入，从而帮助企业更好地降低在安全方面的成本支出。有调查报告显示，通过采用可以定期打补丁、进行系统升级的云服务，企业平均每周可减少18个小时的安全管理时间，在提高安全性的同时还有效降低了成本。在调查报告所跟踪的三年时间里，使用了云服务的企业与没有使用云服务的企业相比，安全支出降低了5倍之多。这也标明，对于那些采用了云服务的企业特别是中小企业来说，采用云服务商提供的安全服务，不仅能够在安全和隐私方面节约大量的时间和资金成本，而且可以将更多的资源投入到企业的核心业务，帮助企业更好更快地发展。由此可见，虽然置身于云时代，企业需要面临越来越多安全和隐私方面的挑战，但是如果选择了安全、可靠、合规、透明的云服务，这反而有可能给企业带来新的发展机遇。而这也是微软能够吸引众多客户的制胜之道。