云主機(jī)安全嗎？這個(gè)問題其實(shí)是老生常談的問題，不僅僅限定在看不到摸不著的虛擬化層面，還與云計(jì)算的環(huán)境有關(guān)。云主機(jī)的安全性主要面臨來自內(nèi)部和外部的雙重挑戰(zhàn)。

首先，云主機(jī)的脆弱性突出體現(xiàn)在未被修復(fù)的漏洞上。

根據(jù)國外某安全機(jī)構(gòu)的統(tǒng)計(jì)，在金融行業(yè)，漏洞平均修復(fù)時(shí)間長達(dá)176天。采用云計(jì)算后這個(gè)數(shù)字稍微有所改善，然而，云主機(jī)漏洞的平均修復(fù)時(shí)間仍舊是50天。無論是176天還是50天，對(duì)于進(jìn)攻一方來說，足夠遍歷整個(gè)服務(wù)器。

其次，根據(jù)國外某安全公司的測試，“黑客”成功入侵AWS服務(wù)器只需要4個(gè)小時(shí)。表面看是系統(tǒng)脆弱性導(dǎo)致，背后實(shí)際上是黑客的暴力破解行為。

在云計(jì)算環(huán)境中，大部分云服務(wù)提供商并不提供暴力破解防護(hù)服務(wù)，而是建議用戶在服務(wù)器上安裝三方防護(hù)軟件。事實(shí)上，市面流行的云主機(jī)安全軟件一般只提供操作系統(tǒng)層面的暴力破解防護(hù)，并沒有覆蓋到應(yīng)用和數(shù)據(jù)庫層面。應(yīng)用和數(shù)據(jù)庫層面的缺失無疑是在云主機(jī)防護(hù)上玩起了“鋸箭”法——操作系統(tǒng)我管，上面的找別人。

第三，絕大多數(shù)云主機(jī)安全系統(tǒng)／方案體現(xiàn)為單點(diǎn)防護(hù)。

單點(diǎn)防護(hù)具有兩個(gè)特點(diǎn)：橫向上，針對(duì)服務(wù)器個(gè)體的防護(hù)以及縱向上在服務(wù)器一個(gè)層面進(jìn)行防護(hù)。

橫向上的單點(diǎn)防護(hù)體現(xiàn)為每個(gè)云主機(jī)都是彼此孤立的個(gè)體。在木馬、后門變異樣本層出不窮的今天，如果惡意樣本采集不是實(shí)時(shí)的，分析和策略分享、下發(fā)不能快速完成，將無異于將主動(dòng)權(quán)拱手讓給入侵者。

縱向上的單點(diǎn)體現(xiàn)在，同時(shí)也是常見云主機(jī)安全軟件的“通病”，無論是網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)防護(hù)都依靠安裝在云主機(jī)上的軟件來完成。先不說防護(hù)效果，啟用防護(hù)功能需要調(diào)用大量的系統(tǒng)資源，等同于發(fā)起一場自殘式的拒絕服務(wù)攻擊。

最后，安全攻防的背后是人的技能、智慧以及經(jīng)驗(yàn)的對(duì)抗。

在特定情況下，要求人員介入，快速完成樣本收集、取證、分析和攻擊阻斷。然而，對(duì)于大多數(shù)企業(yè)來說，建立一支具有專業(yè)技能的安全攻防團(tuán)隊(duì)是不現(xiàn)實(shí)的。因此，云主機(jī)的安全防護(hù)是對(duì)平臺(tái)化、體系化以及包括快速響應(yīng)、技術(shù)經(jīng)驗(yàn)在內(nèi)運(yùn)營能力的全面挑戰(zhàn)，而不是簡簡單單安裝一個(gè)主機(jī)防護(hù)軟件就可以實(shí)現(xiàn)的。