云計算面臨的安全問題

云計算服務基于寬帶網絡特別是互聯網提供，面臨各類傳統(tǒng)安全威脅，且安全問題隨系統(tǒng)規(guī)模化而被放大。另一方面，云計算與傳統(tǒng)的計算模式相比具有開放性、分布式計算與存儲、無邊界、虛擬性、多租戶、數據的所有權和管理權分離等特點，同時，云中包含大量軟件和服務，以各種標準為基礎，數據量龐大，系統(tǒng)非常復雜，因而在技術、管理和法律等方面面臨新的安全挑戰(zhàn)。此外，云計算系統(tǒng)中存放著海量的重要用戶數據，對攻擊者來說具有更大的誘惑力，如果攻擊者通過某種方式成功攻擊云系統(tǒng)，將會給云計算服務提供商和用戶帶來重大損失，因此，云計算的安全性面臨著比以往更為嚴峻的考驗。與傳統(tǒng)IT安全比較，云計算特有的安全問題主要有以下三個方面：

(1 )云計算平臺導致的安全問題。云計算平臺聚集了大量用戶和數據資源，更容易吸引黑客攻擊，而故障一旦發(fā)生，其影響范圍多，后果更加嚴重。此外，其開放性對接口的安全也提出了更高的要求。另外，云計算平臺上集成了多個租戶，多租戶之間的信息資源如何安全隔離也成為云計算安全的突出問題。

(2)虛擬化環(huán)境下的技術及管理問題。傳統(tǒng)的基于物理安全邊的防護機制難以有效保護基于共享虛擬化環(huán)境下的用戶應用及信息安全。另外，云計算的系統(tǒng)如此之大，而且主要是通過虛擬機進算，一旦出現故障，如何快速定位問題所在也是一個重大挑戰(zhàn)。

(3) 云計算這種全新的服務模式將資源的所有權、管理權及使權進行了分離，因此用戶失去了對物理資源的直接控制，會面臨與服務商協(xié)作的一些安全問題，如用戶是否會面臨服務退出障礙，不完整和不安全的數據刪除會對用戶造成損害，因此如何界定用戶與服務提供商的不同責任也是一個重要問題。

云計算安全防護

1 基礎設施安全

基礎設施安全包括服務器系統(tǒng)安全、網絡管理系統(tǒng)安全、域名系統(tǒng)安全、網絡路由系統(tǒng)安全、局域網和VLAN配置等。主要的安全措施包括安全冗余設計、漏洞掃描與加固，IPS/IDS、DNSSec等?？紤]到云計算環(huán)境的業(yè)務持續(xù)性，設備的部署還須要考慮到高可靠性的支持，諸如雙機熱備、配置同步，鏈路捆綁聚合及硬件Bypass 等特性，實現大流量匯聚情況下的基礎安全防護。

2 數據安全

云數據安全包含的內容遠遠不只是簡單的數據加密。數據安全的需求隨著三種服務模式，四種部署模式(公共云、私有云、社區(qū)云、混合云)以及對風險的承受能力而變化。滿足云數據安全的要求，需要應用現有的安全技術，并遵循健全的安全實踐，必須對各種防范措施進行全盤考慮，使其構成一道彈性的屏障。主要安全措施包括對不同用戶數據進行虛擬化的邏輯隔離、使用身份認證及訪問管理技術措施等，從而保障靜態(tài)數據和動態(tài)數據的保密性、完整性、可用性、真實性、授權、認證和不可抵賴性。

3 虛擬化安全

虛擬化的安全包括兩方面的問題：一是虛擬技術本身的安全，二是虛擬化引入的新的安全問題。虛擬技術有許多種，最常用的是虛擬機(VM)技術，需考慮VM內的進程保護，此外還有Hypervisor 和其他管理模塊這些新的攻擊層面。可以采用的安全措施有：虛擬鏡像文件的加密存儲和完整性檢查、VM 的隔離和加固、VM 訪問控制、虛擬化脆弱性檢查、VM 進程監(jiān)控、VM的安全遷移等。

4 身份認證與訪問管理(IAM，Identity and AccessManagement)

IAM 是用來管理數字身份并控制數字身份如何訪問資源的方法、技術和策略，用于確保資源被安全訪問的業(yè)務流程和管理手段，從而實現對企業(yè)信息資產進行統(tǒng)一的身份認證、授權和身份數據集中化的管理與審計。IAM是保證云計算安全運行的關鍵所在。傳統(tǒng)的IAM 管理范疇，例如自動化管理用戶賬號、用戶自助式服務、認證、訪問控制、單點登錄、職權分離、數據保護、特權用戶管理、數據防丟失保護措施與合規(guī)報告等，都與云計算的各種應用模式息息相關。

IAM并不是一個可以輕易部署并立即產生效果的整體解決方案，而是一個由各種技術組件、過程和標準實踐組成的體系架構。標準的企業(yè)級IAM 體系架構包含技術、服務和過程等幾個層面，其部署體系架構的核心是目錄服務，目錄服務是機構用戶群的身份、證書和用戶屬性的信息庫。

5 應用安全

由于云環(huán)境的靈活性、開放性以及公眾可用性等特性，給應用安全帶來了很多挑戰(zhàn)。云計算的應用主要通過Web 瀏覽器實現。因此，在云計算中，對于應用安全，尤其需要注意的是Web 應用的安全。要保證SaaS 的應用安全，就要在應用的設計開發(fā)之初，制定并遵循適合SaaS 模式的安全開發(fā)生命周期規(guī)范和流程，從整體生命周期上去考慮應用安全?？梢圆捎玫?strong>防護措施有訪問控制、配置加固、部署應用層防火墻等。