云计算信息安全盘点

    IaaS云计算提供商将用户在虚拟机上部署的所有应用都看成一个黑盒子，他们完全不会干涉所部署应用的管理工作和运维工作，仅负责提供基础资源。在IaaS应用中，用户应负责其应用程序的部署和管理，程序的安全性也应由用户考虑。IaaS应用提供商利用虚拟化等技术，根据用户的需求提供基础资源，虚拟化的安全性是云服务商负责的，在4.3节将讨论到。

    （2）PaaS应用—API安全、应用部署安全

    PaaS云计算提供商给用户提供在IaaS之上，依照平台的接口规范，部署由用户开发的平台化应用或采购现成的中间件产品。PaaS云计算提供商关注的安全问题包括两个方面：PaaS平台自身的安全风险和用户部署在PaaS平台上的应用的安全风险。

    PaaS平台自身的安全风险，主要包括对外提供API的安全和PaaS应用管理的安全。对于PaaS的API安全问题，目前国际上并没有统一的标准，这对云计算API的安全管理带来了不确定性；而PaaS应用管理方面，核心的安全原则就是确保用户的数据只有用户自身才能访问和授权，实行多用户应用隔离，不能被非法访问和窃取。在这种环境下，PaaS平台应提供平台的保密性和完整性，云服务提供商应负责监控PaaS平台的缺陷和漏洞，及时发布补丁更新，解决安全漏洞。

    用户部署在PaaS平台上的应用安全风险，对于云提供商来说主要是对客户部署程序的安全审查，排除有意或无意的恶意程序甚至病毒的部署。因为用户申请要部署的程序，无论是自行开发的还是采购的，均有安全的不确定性，因此云服务提供商需要对申请部署的程序进行严格的安全审计，包括非法代码、不安全代码、存在漏洞的代码的检测，并需与用户一起对审计的结果进行分析和修正。当前这方面没有标准，因此需要各云服务商提供此安全审计要求。

    （3）SaaS应用—服务安全

    SaaS云计算提供商给用户提供的是灵活方便地使用在云计算服务端中的各种应用。SaaS云计算提供商应必须确保提供给用户的应用程序的安全性，而用户只需对访问云端应用的终端的安全负责，如终端自身安全、客户端的访问管理等。在SaaS平台层，云服务提供商应重点关注所提供服务的安全性，可参考当前对软件安全性的相关考虑方案进行评估和审查。

    4.3虚拟化安全

    虚拟化安全是云计算最基础部分IaaS的重要技术手段，对虚拟化技术的安全性进行分析，对整个云计算的安全性来说是坚实的一步。基于虚拟化技术的云计算信息安全风险主要有两个方面：虚拟化软件产品的安全和虚拟主机系统自身的安全。

    （1）虚拟化软件产品安全

    虚拟化软件产品是直接部署在裸机之上，提供创建、启动和销毁虚拟主机的能力，对虚拟主机进行管理的一种软件。实现虚拟化的技术不止一种，可以通过不同层次的抽象来实现，如操作系统级虚拟化、半虚拟化和全虚拟化。

    虚拟化软件产品保证用户的虚拟主机能在多用户环境下相互隔离，可以安全地在一台物理服务器上同时运行多个虚拟主机系统，因此云服务提供商必须建立安全控制措施，严格限制任何未经授权的用户访问虚拟化软件层，限制对虚拟化层次的访问。

    另一方面，虚拟化具有动态性，即所虚拟的服务系统会根据整个云的情况进行动态调整，如把虚拟服务器进行动态切换、挂起等。虚拟化软件层必须考虑由此带来的安全风险，如切换是否完整、是否存在数据残留、是否存在数据丢失、在切换的过程中是否会被利用共享内存攻击而导致数据被窃取等，这些问题都是虚拟化软件层要解决的。

    （2）虚拟主机系统安全

    虚拟主机系统位于虚拟化软件产品之上，普通的物理服务器主机系统的安全原理与实践完全可以运用到虚拟主机系统上，同时也需要补充虚拟主机系统的特点。应当对虚拟主机系统的运行状态进行实时监控，对各虚拟主机系统的系统日志和防火墙日志进行分析，以此来发现存在的安全隐患。对于发现存在安全隐患的虚拟主机系统，应立即进行隔离，避免危害扩散，而对于已经不需要运行的虚拟主机，应当立即关闭。物理服务器的安全原理不再赘述。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!