云計算面臨的安全問題

云計算服務基于寬帶網絡特別是互聯網提供，面臨各類傳統安全威脅，且安全問題隨系統規模化而被放大。另一方面，云計算與傳統的計算模式相比具有開放性、分布式計算與存儲、無邊界、虛擬性、多租戶、數據的所有權和管理權分離等特點，同時，云中包含大量軟件和服務，以各種標準為基礎，數據量龐大，系統非常復雜，因而在技術、管理和法律等方面面臨新的安全挑戰。此外，云計算系統中存放著海量的重要用戶數據，對攻擊者來說具有更大的誘惑力，如果攻擊者通過某種方式成功攻擊云系統，將會給云計算服務提供商和用戶帶來重大損失，因此，云計算的安全性面臨著比以往更為嚴峻的考驗。與傳統IT安全比較，云計算特有的安全問題主要有以下三個方面：

(1 )云計算平臺導致的安全問題。云計算平臺聚集了大量用戶和數據資源，更容易吸引黑客攻擊，而故障一旦發生，其影響范圍多，后果更加嚴重。此外，其開放性對接口的安全也提出了更高的要求。另外，云計算平臺上集成了多個租戶，多租戶之間的信息資源如何安全隔離也成為云計算安全的突出問題。

(2)虛擬化環境下的技術及管理問題。傳統的基于物理安全邊的防護機制難以有效保護基于共享虛擬化環境下的用戶應用及信息安全。另外，云計算的系統如此之大，而且主要是通過虛擬機進算，一旦出現故障，如何快速定位問題所在也是一個重大挑戰。

(3) 云計算這種全新的服務模式將資源的所有權、管理權及使權進行了分離，因此用戶失去了對物理資源的直接控制，會面臨與服務商協作的一些安全問題，如用戶是否會面臨服務退出障礙，不完整和不安全的數據刪除會對用戶造成損害，因此如何界定用戶與服務提供商的不同責任也是一個重要問題。

云計算安全防護

1 基礎設施安全

基礎設施安全包括服務器系統安全、網絡管理系統安全、域名系統安全、網絡路由系統安全、局域網和VLAN配置等。主要的安全措施包括安全冗余設計、漏洞掃描與加固，IPS/IDS、DNSSec等。考慮到云計算環境的業務持續性，設備的部署還須要考慮到高可靠性的支持，諸如雙機熱備、配置同步，鏈路捆綁聚合及硬件Bypass 等特性，實現大流量匯聚情況下的基礎安全防護。

2 數據安全

云數據安全包含的內容遠遠不只是簡單的數據加密。數據安全的需求隨著三種服務模式，四種部署模式(公共云、私有云、社區云、混合云)以及對風險的承受能力而變化。滿足云數據安全的要求，需要應用現有的安全技術，并遵循健全的安全實踐，必須對各種防范措施進行全盤考慮，使其構成一道彈性的屏障。主要安全措施包括對不同用戶數據進行虛擬化的邏輯隔離、使用身份認證及訪問管理技術措施等，從而保障靜態數據和動態數據的保密性、完整性、可用性、真實性、授權、認證和不可抵賴性。

3 虛擬化安全

虛擬化的安全包括兩方面的問題：一是虛擬技術本身的安全，二是虛擬化引入的新的安全問題。虛擬技術有許多種，最常用的是虛擬機(VM)技術，需考慮VM內的進程保護，此外還有Hypervisor 和其他管理模塊這些新的攻擊層面。可以采用的安全措施有：虛擬鏡像文件的加密存儲和完整性檢查、VM 的隔離和加固、VM 訪問控制、虛擬化脆弱性檢查、VM 進程監控、VM的安全遷移等。

4 身份認證與訪問管理(IAM，Identity and AccessManagement)

IAM 是用來管理數字身份并控制數字身份如何訪問資源的方法、技術和策略，用于確保資源被安全訪問的業務流程和管理手段，從而實現對企業信息資產進行統一的身份認證、授權和身份數據集中化的管理與審計。IAM是保證云計算安全運行的關鍵所在。傳統的IAM 管理范疇，例如自動化管理用戶賬號、用戶自助式服務、認證、訪問控制、單點登錄、職權分離、數據保護、特權用戶管理、數據防丟失保護措施與合規報告等，都與云計算的各種應用模式息息相關。

IAM并不是一個可以輕易部署并立即產生效果的整體解決方案，而是一個由各種技術組件、過程和標準實踐組成的體系架構。標準的企業級IAM 體系架構包含技術、服務和過程等幾個層面，其部署體系架構的核心是目錄服務，目錄服務是機構用戶群的身份、證書和用戶屬性的信息庫。

5 應用安全

由于云環境的靈活性、開放性以及公眾可用性等特性，給應用安全帶來了很多挑戰。云計算的應用主要通過Web 瀏覽器實現。因此，在云計算中，對于應用安全，尤其需要注意的是Web 應用的安全。要保證SaaS 的應用安全，就要在應用的設計開發之初，制定并遵循適合SaaS 模式的安全開發生命周期規范和流程，從整體生命周期上去考慮應用安全。可以采用的防護措施有訪問控制、配置加固、部署應用層防火墻等。