在云計算的三種模型中(IaaS，PaaS，SaaS)，集成的特色功能、復(fù)雜性與開放性(可增強性)以及安全等方面各有不同，總體來說云服務(wù)提供商所在的等級越低(IaaS 最低，SaaS 最高) ，云服務(wù)用戶自己所要承擔(dān)的安全能力和管理職責(zé)就越多。

IaaS 幾乎不提供應(yīng)用相關(guān)的特色功能，但卻有極大地“可擴展性” 。

因此 IaaS在除了保護基礎(chǔ)設(shè)施自身之外的安全保護能力和功能更少。IaaS 模型要求云用戶自己管理和安全保護操作系統(tǒng)、應(yīng)用和內(nèi)容。

IaaS涵蓋了從機房設(shè)備到其中的硬件平臺等所有的基礎(chǔ)設(shè)施資源層面。IaaS層的安全，并由于物理資產(chǎn)由運營商提供并且在運營商機房，客戶的信息承載的資產(chǎn)在物理上失去控制，數(shù)據(jù)遷移到服務(wù)提供商的云平臺，以及，IaaS 采用虛擬化技術(shù)，提供多租戶服務(wù)，諸多客戶共享基礎(chǔ)設(shè)施，因此產(chǎn)生了一些新的安全問題：

1. 接入認證安全。自服務(wù)門戶的密碼是否會被他人獲取，從而控制客戶的虛擬主機。OS 的遠程桌面 是否有人可以非法進入或盜取密碼進入客戶系統(tǒng)，應(yīng)該要求做到身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼控制、資源控制等。

2. 傳輸安全。在用戶訪問自己資源的時候，是否能保證數(shù)據(jù)不被惡意監(jiān)聽

3. 數(shù)據(jù)安全。虛擬化下的多租戶環(huán)境是否會導(dǎo)致數(shù)據(jù)泄露。

4. 服務(wù)商安全管理問題。是否有法規(guī)約束服務(wù)提供商的管理行為。運營商的服務(wù)人員是否會非法進入客戶的系統(tǒng)，獲取客戶的數(shù)據(jù)

同樣在系統(tǒng)穩(wěn)定性和可用性方面，客戶也會有這樣的擔(dān)心：

1、 系統(tǒng)可靠性問題。IaaS 平臺是否能保證不間斷服務(wù)?平臺是否有備份措施?網(wǎng)絡(luò)是否能保證連通性

2、 系統(tǒng)性能。IaaS 處理性能是否足夠?網(wǎng)絡(luò)帶寬是否足夠，能保證使用體驗

3、 虛機間干擾。其他虛機用戶的問題是否會影響我的主機?比如病毒、DDOS 攻擊，比如病毒或廣播風(fēng)暴。

產(chǎn)生這些問題的根本原因是：網(wǎng)絡(luò)遠程訪問、虛擬化、多租戶以及運行在非客戶自己資產(chǎn)。網(wǎng)絡(luò)遠程訪問就會帶來傳輸安全、接入認證、接入可靠性等問題，虛擬化、多租戶帶來性能保障、互相影響、互相隔離的問題，運行在非客戶自有資產(chǎn)就帶來了第三方服務(wù)人員的權(quán)限問題等管理問題。

當(dāng)然，使用IaaS云對安全問題同樣有有利的一面，特別是針對中小企業(yè)。由于集約化經(jīng)營，使安全更專業(yè)，安全安成本低。主要體現(xiàn)在以下幾個方面：

1、 專業(yè)技術(shù)人員和安全專家。

IaaS 基礎(chǔ)設(shè)施運營商，有安全專家和可以專業(yè)安全維護隊伍。對中小 企業(yè)而言，很難建立安全隊伍，更不用說安全專家。一方面安全專家代價高，另外一方面安全方 面靠一兩個人很難做的很好。

2、 集中的補丁關(guān)注和分發(fā)機制。

IaaS 基礎(chǔ)設(shè)施運營商可以對所有的資源池客戶提供補丁監(jiān)控和補丁 分發(fā)機制，可以及時知道業(yè)界發(fā)布的新的安全補丁，并及時下發(fā)到各客戶機上面。而中小企業(yè)很 難做到這一點。

3、 更完備的動態(tài)可調(diào)度的安全資源。

IaaS 基礎(chǔ)設(shè)施可以調(diào)用虛擬防火墻、DDOS 清洗設(shè)備、IDP 等設(shè) 施，而中小企業(yè)全部去部署這些設(shè)備也不太現(xiàn)實。

4、 規(guī)?；?jīng)營，可以降低安全成本。

上述的人員、安全機制、安全設(shè)備都通過復(fù)用、規(guī)?；?jīng)營可 以大大降低每個用戶的平均成本，可以讓每個企業(yè)承擔(dān)的起。

要使客戶能夠接受 IaaS 云服務(wù)模式，就必須解決安全上存在的問題，打消客戶顧慮，使客戶放心的把系統(tǒng)遷移到運營商的 IaaS 平臺上來。