(3)虚拟化技术等安全漏洞风险防范
通过采用虚拟防火墙、防恶意软件和虚拟设备管理软件对虚拟机环境实施安全策略,确保构建的虚拟网络与构建的物理网络一样可靠、安全;采用版本和补丁管理控制机制防范虚拟化等安全漏洞引起的潜在安全隐患。
同时,云计算应用安全也是云计算服务提供商和云计算用户之间共同的责任。基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)等三种云计算应用模式,由于其自身特点,以及云计算用户对云计算资源的控制能力不同,使得云服务提供商和云计算用户各自承担的安全责任与职责也有所不同。
IaaS云服务提供商主要负责为用户提供基础架构服务,如提供包括服务器、存储、网络和管理工具在内的虚拟数据中心,云计算基础设施的可靠性、物理安全、网络安全、信息存储安全、系统安全是其基本职责范畴,如虚拟机的入侵检测、完整性保护等;而云计算用户则需要负责基础设施架构以上层面的所有安全问题,如自身操作系统、应用程序的安全。
PaaS云服务提供商主要负责为用户提供简化的分布式软件开发、测试和部署环境,云服务提供商除了负责底层基础设施安全外,还需解决应用接口安全、数据与计算可用性等;而云计算用户则需要负责操作系统或应用环境之上的安全问题。
SaaS云服务提供商需保障其所提供的SaaS服务从基础设施到应用层的整体安全,云计算用户则需维护与自身相关的信息安全,如身份认证账号、密码、终端安全等。
3.3 云计算应用安全策略与实施建议
按照服务对象的不同,云计算可分为私有云(private cloud)、公共云(public cloud)和混合云(hybrid cloud)。对于私有云而言,通常部署在企业内部,安全实现相对比较容易,企业内部使用的传统IT安全措施也可直接应用到私有云的保护上去。公共云和混合云则涉及到云服务提供商和云计算用户,安全性要求相对私有云复杂很多,需要云计算服务提供商和云计算用户协同配合,共同提高云计算服务的应用安全水平。
3.3.1 云计算服务提供商
要提供面向公众的商业化云计算服务,服务质量保证、数据安全性和计算环境的安全隔离都是必要的保证,因此对于云计算服务提供商而言,如何在最大程度上降低云计算系统安全威胁、提高服务连续性、保障用户信息安全是其业务能否取得成功的关键,结合云计算应用面临的主要安全威胁,建议采取的安全策略如下。
(1)建立云计算系统的纵深安全防御机制,提高云计算系统的安全性、健壮性,保障服务提供连续性和稳定性
· 控制蠕虫/病毒/木马在云计算平台内外部网络内的传播,及时隔离和修复;
· 对进出云计算系统的数据流量和云计算系统运行状态进行实时监控,及时发现修复网络和系统异常;
· 部署网络攻击防御系统或购买相关攻击防护服务,防范黑客攻击造成的系统瘫痪或服务中断;
· 完善云计算平台的容灾备份机制,包括重要系统、数据的异地容灾备份;
· 建立完善的应急响应机制,提高对异常情况和突发事件的应急响应能力。
(2) 保护用户信息的可用性、隐私性和完整性
· 对用户系统和数据进行安全隔离和保护,确保用户信息的存储安全以及用户间逻辑边界的安全防护;
· 通过采用数据加密、VPN等技术保障用户数据的网络传输安全;
