什么是云計算安全？

云計算安全或云安全指一系列用于保護云計算數(shù)據(jù)、應(yīng)用和相關(guān)結(jié)構(gòu)的策略、技術(shù)和控制的集合，屬于計算機安全、網(wǎng)絡(luò)安全的子領(lǐng)域，或更廣泛地說屬于信息安全的子領(lǐng)域。

云計算安全可以促進云計算創(chuàng)新發(fā)展，將有利于解決投資分散、重復(fù)建設(shè)、產(chǎn)能過剩、資源整合不均和建設(shè)缺乏協(xié)同等很多問題。

云計算的定義

云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問， 進入可配置的計算資源共享池(資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù))，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進行很少的交互。

隨著云計算逐漸成為主流，云安全也獲得了越來越多的關(guān)注，傳統(tǒng)和新興的云計算廠商以及安全廠商均推出了大量云安全產(chǎn)品。但是，與有清晰定義的“云計算”(NIST SP 800-145和ISO/IEC 17788)不同，業(yè)界對“云安全”從概念、技術(shù)到產(chǎn)品都還沒有形成明確的共識。

主要有三種系統(tǒng)類別：IaaS, PaaS, IaaS：

• SaaS：傳統(tǒng)軟件用戶將其安裝到硬盤然后使用。在云中，用戶不需要購買軟件，而是基于服務(wù)付費。它支持多租戶，這意味著后端基礎(chǔ)架構(gòu)由多個用戶共享，但邏輯上它沒每個 用戶是唯一的。
• PaaS：PaaS將開發(fā)環(huán)境作為服務(wù)提供。開發(fā)人員將使用供應(yīng)商的代碼塊來創(chuàng)建他們自己的應(yīng)用程序。該平臺將托管在云中，并將使用瀏覽器進行訪問。
• IaaS：在IaaS中，供應(yīng)商將基礎(chǔ)架構(gòu)作為一項服務(wù)提供給客戶，這種服務(wù)以技術(shù)，數(shù)據(jù)中心和IT服務(wù)的形式提供，相當于商業(yè)世界中的傳統(tǒng)“外包”，但費用和努力要少得多。主要目的是根據(jù)所需的應(yīng)用程序為客戶定制解決方案。

云計算與云安全的關(guān)系

云安全(Cloud Security)是一個從“云計算”演變而來的新名詞。云安全就是基于云計算商業(yè)模式的安全軟件、硬件、用戶、機構(gòu)安全云平臺的總稱。它通過對網(wǎng)絡(luò)軟件的行為進行監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，并發(fā)送到服務(wù)端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

從發(fā)展的脈絡(luò)分析，“云安全”相關(guān)的技術(shù)可以分兩類：

• 一類為使用云計算服務(wù)提供防護，即使用云服務(wù)時的安全(security for using the cloud)，也稱云計算安全(Cloud Computing Security),一般都是新的產(chǎn)品品類;
• 一類源于傳統(tǒng)的安全托管(hosting)服務(wù)，即以云服務(wù)方式提供安全(security provided from the cloud)，也稱安全即服務(wù)(Security-as-a-Service, SECaaS)，通常都有對應(yīng)的傳統(tǒng)安全軟件或設(shè)備產(chǎn)品。

“安全即服務(wù)”和“云計算安全”這兩類“云安全”技術(shù)的重合部分，即以云服務(wù)方式為使用云計算服務(wù)提供防護。

云計算的三種服務(wù)模式

基于云計算的服務(wù)模式、部署模式和參與角色等三個維度，美國國家標準技術(shù)研究院(NIST)云計算安全工作組在2013年5月發(fā)布的《云計算安全參考架構(gòu)(草案)》給出了云計算安全參考架構(gòu)(NCC-SRA，NIST Cloud Computing Security Reference Architecture)。

NIST云計算安全參考架構(gòu)的三個構(gòu)成維度：

• 云計算的三種服務(wù)模式：IaaS、PaaS、SaaS
• 云計算的四種部署模式：公有、私有、混合、社區(qū)
• 云計算的五種角色：提供者、消費者、代理者、承運者、審計者

云計算具有以下特點：

• 虛擬化。云計算支持用戶在任意位置、使用各種終端獲取應(yīng)用服務(wù)。
• 規(guī)?；稀Ｔ评锏馁Y源非常龐大，在一個企業(yè)云可以有幾十萬甚至上百萬臺服務(wù)器，在一個小型的私有云中也可擁有幾百臺甚至上千臺服務(wù)器。
• 高可靠性。云計算使用了多副本容錯技術(shù)、計算節(jié)點同構(gòu)可互換等措施來保障服務(wù)的高可靠性，使用云計算比使用本地計算機可靠。

云安全包含的風(fēng)險

云服務(wù)因其總體架構(gòu)、網(wǎng)絡(luò)部署、運維服務(wù)具有相似性，面臨著共性安全風(fēng)險，以下從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)部署、云上應(yīng)用、運維服務(wù)四個方面進行安全風(fēng)險分析。其中，基礎(chǔ)設(shè)施是指為云上應(yīng)用提供運行環(huán)境的軟硬件及管理編排系統(tǒng)。

(1) 基礎(chǔ)設(shè)施安全風(fēng)險

主要包括：物理環(huán)境及設(shè)備安全風(fēng)險、虛擬化安全風(fēng)險、開源組件風(fēng)險、配置與變更操作錯誤、帶寬惡意占用、資源編排攻擊。

(2) 網(wǎng)絡(luò)部署安全風(fēng)險

主要包括：數(shù)據(jù)泄露、身份和密鑰管理、接入認證、跨數(shù)據(jù)中心的橫向攻擊、APT等新型攻擊。

(3) 云上應(yīng)用安全風(fēng)險。

主要包括：API接口安全、無服務(wù)器攻擊、DOS攻擊、跨租戶/跨省橫向攻擊、跨工作負載攻擊、云服務(wù)被濫用及違規(guī)使用、用戶賬號管理安全、核心網(wǎng)攻擊。

(4) 運維服務(wù)安全風(fēng)險。

主要包括：管理接口攻擊、管理員權(quán)限濫用、漏洞和補丁管理安全、安全策略管理。