标语“没有云，只有其他人的电脑”，伴随着一个担心样子的云朵图片，已经出现有一段时间了。它过于简单化了，但是它恰好概括了一些计算机用户对于云技术的不信任。

有这样的推断，那些信任云、相信炒作的人都是天真的。扩展开来，如果你把你的数据给了其他人，那么你如何确定它是安全的？这就是为什么云安全需要成为软件发展生命周期的一部分。 

安全：云托管面临的最大问题

对于安全的关注毫无疑问是广泛应用的云托管所面临的最大障碍。事实上，在2015年的“信息安全”调查中，高达90%的被调查公司表明，安全问题是妨碍他们把公司挪到云上的最大阻碍因素。没有人能在2016年轻而易举的解决这个问题。随着越来越多的人托管云服务，我们将看到有更高价值的分支，这是一个曲折发展的过程。

云的提供者们已经完全意识到了这个障碍。默认情况下，主要的云提供商给予用于高度的安全控制，进而产生了一个问题：谁应该为应用控制负责？任何人都可以买一个亚马逊的账号然后开启一个云环境，但最大的问题是：你有没有足够的技能去掌控它？

云安全成为一个问题是因为有时候客户忘了必要的补丁管理(没看见、没想到)。在老的仍然运行着Tomcat或者PHP或者其他的软件框架、应用服务器的云端服务器中，我们经常发现它们可能使用户的数据处于危险的环境的情形。

在2015年，我们遇见了一个案例，在这个案例中，一个云端的客户被黑客攻击，用它们的机器来挖掘比特币。在另一个案例中，有人入侵了架构在云端的公司服务器，然后敲诈该公司。那个非法入侵者给那个公司的首席安全官发送了邮件，那名安全官非常吃惊，最终选择跟敲诈者合作支付金钱。当然，这是危险的行为，因为网络恐怖分子很有可能留一个后门，可以让他们在未来任何时候链接服务器继续进行敲诈。

两种安全的方法: 主动和被动

采取主动策略意味着让安全控制来避免状况出现的可能性。如果状况发生，我们必须把一切再次启动并重新运行，而被动策略是对事件采取检测和响应。

与现有的安全威胁（特别是，未经授权的访问，劫持和内部恶意操作）和漏洞不断增长相对应的重点是，员工要提高云安全意识，减少安全事故的人为因素。

看好你的云

最好的补救方法之一，就是建立安全信息和事件管理或是一个安全操作中心。这样便会有人无偿为你监控你的云环境、注册针对你的云基础设施的攻击、正确的响应攻击来阻止入侵者或者停止一次攻击。又或者如果一名攻击者成功地渗透，那么便追踪他们，有效的避免这次攻击。大些的公司会预先建立解决方案，但是小公司则会建议它们把安全作为一个服务来使用。

你从一开始就避免了这些问题了吗？我的建议是适当地关心下安全问题，将它牢牢地整合在整个软件开发生命周期的所有阶段，而不是事后再去被迫执行，无论你是内部开发应用还是外包出去。

Nazar Tymoshyk, 领衔安全顾问, Research & Development at SoftServe.

发布于 ITProPortal.com， a Net Communities Ltd Publication，版权所有。

本文转自：开源中国社区 [http://www.oschina.net]
本文标题：为什么说云安全是软件开发的一部分
本文地址：http://www.oschina.net/translate/cloud-security-software-development
参与翻译：itachiwwg, 终日乾乾, 无若, pei_wendy

英文原文：Why cloud security should be a part of software development