什么是云計(jì)算安全？

云計(jì)算安全或云安全指一系列用于保護(hù)云計(jì)算數(shù)據(jù)、應(yīng)用和相關(guān)結(jié)構(gòu)的策略、技術(shù)和控制的集合，屬于計(jì)算機(jī)安全、網(wǎng)絡(luò)安全的子領(lǐng)域，或更廣泛地說(shuō)屬于信息安全的子領(lǐng)域。

云計(jì)算安全可以促進(jìn)云計(jì)算創(chuàng)新發(fā)展，將有利于解決投資分散、重復(fù)建設(shè)、產(chǎn)能過(guò)剩、資源整合不均和建設(shè)缺乏協(xié)同等很多問(wèn)題。

云計(jì)算的定義

云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)， 進(jìn)入可配置的計(jì)算資源共享池(資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù))，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。

隨著云計(jì)算逐漸成為主流，云安全也獲得了越來(lái)越多的關(guān)注，傳統(tǒng)和新興的云計(jì)算廠商以及安全廠商均推出了大量云安全產(chǎn)品。但是，與有清晰定義的“云計(jì)算”(NIST SP 800-145和ISO/IEC 17788)不同，業(yè)界對(duì)“云安全”從概念、技術(shù)到產(chǎn)品都還沒(méi)有形成明確的共識(shí)。

主要有三種系統(tǒng)類別：IaaS, PaaS, IaaS：

• SaaS：傳統(tǒng)軟件用戶將其安裝到硬盤然后使用。在云中，用戶不需要購(gòu)買軟件，而是基于服務(wù)付費(fèi)。它支持多租戶，這意味著后端基礎(chǔ)架構(gòu)由多個(gè)用戶共享，但邏輯上它沒(méi)每個(gè) 用戶是唯一的。
• PaaS：PaaS將開(kāi)發(fā)環(huán)境作為服務(wù)提供。開(kāi)發(fā)人員將使用供應(yīng)商的代碼塊來(lái)創(chuàng)建他們自己的應(yīng)用程序。該平臺(tái)將托管在云中，并將使用瀏覽器進(jìn)行訪問(wèn)。
• IaaS：在IaaS中，供應(yīng)商將基礎(chǔ)架構(gòu)作為一項(xiàng)服務(wù)提供給客戶，這種服務(wù)以技術(shù)，數(shù)據(jù)中心和IT服務(wù)的形式提供，相當(dāng)于商業(yè)世界中的傳統(tǒng)“外包”，但費(fèi)用和努力要少得多。主要目的是根據(jù)所需的應(yīng)用程序?yàn)榭蛻舳ㄖ平鉀Q方案。

云計(jì)算與云安全的關(guān)系

云安全(Cloud Security)是一個(gè)從“云計(jì)算”演變而來(lái)的新名詞。云安全就是基于云計(jì)算商業(yè)模式的安全軟件、硬件、用戶、機(jī)構(gòu)安全云平臺(tái)的總稱。它通過(guò)對(duì)網(wǎng)絡(luò)軟件的行為進(jìn)行監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，并發(fā)送到服務(wù)端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。

從發(fā)展的脈絡(luò)分析，“云安全”相關(guān)的技術(shù)可以分兩類：

• 一類為使用云計(jì)算服務(wù)提供防護(hù)，即使用云服務(wù)時(shí)的安全(security for using the cloud)，也稱云計(jì)算安全(Cloud Computing Security),一般都是新的產(chǎn)品品類;
• 一類源于傳統(tǒng)的安全托管(hosting)服務(wù)，即以云服務(wù)方式提供安全(security provided from the cloud)，也稱安全即服務(wù)(Security-as-a-Service, SECaaS)，通常都有對(duì)應(yīng)的傳統(tǒng)安全軟件或設(shè)備產(chǎn)品。

“安全即服務(wù)”和“云計(jì)算安全”這兩類“云安全”技術(shù)的重合部分，即以云服務(wù)方式為使用云計(jì)算服務(wù)提供防護(hù)。

云計(jì)算的三種服務(wù)模式

基于云計(jì)算的服務(wù)模式、部署模式和參與角色等三個(gè)維度，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)云計(jì)算安全工作組在2013年5月發(fā)布的《云計(jì)算安全參考架構(gòu)(草案)》給出了云計(jì)算安全參考架構(gòu)(NCC-SRA，NIST Cloud Computing Security Reference Architecture)。

NIST云計(jì)算安全參考架構(gòu)的三個(gè)構(gòu)成維度：

• 云計(jì)算的三種服務(wù)模式：IaaS、PaaS、SaaS
• 云計(jì)算的四種部署模式：公有、私有、混合、社區(qū)
• 云計(jì)算的五種角色：提供者、消費(fèi)者、代理者、承運(yùn)者、審計(jì)者

云計(jì)算具有以下特點(diǎn)：

• 虛擬化。云計(jì)算支持用戶在任意位置、使用各種終端獲取應(yīng)用服務(wù)。
• 規(guī)?；?。云里的資源非常龐大，在一個(gè)企業(yè)云可以有幾十萬(wàn)甚至上百萬(wàn)臺(tái)服務(wù)器，在一個(gè)小型的私有云中也可擁有幾百臺(tái)甚至上千臺(tái)服務(wù)器。
• 高可靠性。云計(jì)算使用了多副本容錯(cuò)技術(shù)、計(jì)算節(jié)點(diǎn)同構(gòu)可互換等措施來(lái)保障服務(wù)的高可靠性，使用云計(jì)算比使用本地計(jì)算機(jī)可靠。

云安全包含的風(fēng)險(xiǎn)

云服務(wù)因其總體架構(gòu)、網(wǎng)絡(luò)部署、運(yùn)維服務(wù)具有相似性，面臨著共性安全風(fēng)險(xiǎn)，以下從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)部署、云上應(yīng)用、運(yùn)維服務(wù)四個(gè)方面進(jìn)行安全風(fēng)險(xiǎn)分析。其中，基礎(chǔ)設(shè)施是指為云上應(yīng)用提供運(yùn)行環(huán)境的軟硬件及管理編排系統(tǒng)。

(1) 基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)

主要包括：物理環(huán)境及設(shè)備安全風(fēng)險(xiǎn)、虛擬化安全風(fēng)險(xiǎn)、開(kāi)源組件風(fēng)險(xiǎn)、配置與變更操作錯(cuò)誤、帶寬惡意占用、資源編排攻擊。

(2) 網(wǎng)絡(luò)部署安全風(fēng)險(xiǎn)

主要包括：數(shù)據(jù)泄露、身份和密鑰管理、接入認(rèn)證、跨數(shù)據(jù)中心的橫向攻擊、APT等新型攻擊。

(3) 云上應(yīng)用安全風(fēng)險(xiǎn)。

主要包括：API接口安全、無(wú)服務(wù)器攻擊、DOS攻擊、跨租戶/跨省橫向攻擊、跨工作負(fù)載攻擊、云服務(wù)被濫用及違規(guī)使用、用戶賬號(hào)管理安全、核心網(wǎng)攻擊。

(4) 運(yùn)維服務(wù)安全風(fēng)險(xiǎn)。

主要包括：管理接口攻擊、管理員權(quán)限濫用、漏洞和補(bǔ)丁管理安全、安全策略管理。