安全云基礎設施服務:云基礎設施服務為上層云應用提供安全的數據存儲、計算等 IT 資源服務,是整個云計算體系安全的基石。這里,安全性包含2個層面的含義:一是抵擋來自外部黑客的安全攻擊的能力;二是證明自己無法破壞用戶數據與應用的能力。一方面,云平臺應分析傳統計算平臺面臨的安全問題,采取全面嚴密的安全措施,例如,在物理層考慮廠房安全,在存儲層考慮完整性和文件/日志管理、數據加密、備份、災難恢復等,在網絡層應當考慮拒絕服務攻擊、DNS安全、網絡可達性、數據傳輸機密性等,系統層則應涵蓋虛擬機安全、補丁管理、系統用戶身份管理等安全問題,數據層包括數據庫安全、數據的隱私性與訪問控制、數據備份與清潔等,而應用層應考慮程序完整性檢驗與漏洞管理等;另一方面,云平臺應向用戶證明自己具備某種程度的數據隱私保護能力,例如,存儲服務中證明用戶數據以密態形式保存,計算服務中證明用戶代碼運行在受保護的內存中等。由于用戶安全需求方面存在差異,云平臺應具備提供不同安全等級的云基礎設施服務的能力。
云安全服務可分為以下這些:
安全云基礎設施服務:云基礎設施服務為上層云應用提供安全的數據存儲、計算等 IT 資源服務,是整個云計算體系安全的基石。這里,安全性包含2個層面的含義:一是抵擋來自外部黑客的安全攻擊的能力;二是證明自己無法破壞用戶數據與應用的能力。一方面,云平臺應分析傳統計算平臺面臨的安全問題,采取全面嚴密的安全措施,例如,在物理層考慮廠房安全,在存儲層考慮完整性和文件/日志管理、數據加密、備份、災難恢復等,在網絡層應當考慮拒絕服務攻擊、DNS安全、網絡可達性、數據傳輸機密性等,系統層則應涵蓋虛擬機安全、補丁管理、系統用戶身份管理等安全問題,數據層包括數據庫安全、數據的隱私性與訪問控制、數據備份與清潔等,而應用層應考慮程序完整性檢驗與漏洞管理等;另一方面,云平臺應向用戶證明自己具備某種程度的數據隱私保護能力,例如,存儲服務中證明用戶數據以密態形式保存,計算服務中證明用戶代碼運行在受保護的內存中等。由于用戶安全需求方面存在差異,云平臺應具備提供不同安全等級的云基礎設施服務的能力。
云用戶身份管理服務:主要涉及身份的供應、注銷以及身份認證過程。身份聯合和單點登錄等云身份聯合管理過程應在保證用戶數字身份隱私性的前提下進行。由于數字身份信息可能在多個組織間共享,其生命周期各個階段的安全性管理更具挑戰性,而基于聯合身份的認證過程在云計算環境下也具有更高的安全需求。
云訪問控制服務:云訪問控制服務的實現依賴于如何妥善地將傳統的訪問控制模型和各種授權策略語言標準(如 XACML、SAML等)擴展后移植入云環境。此外,鑒于云中各企業組織提供的資源服務兼容性和可組合性的日益提高,組合授權問題也是云訪問控制服務安全框架需要考慮的重要問題。
云審計服務:由第三方實施的審計對于明確安全事故責任、保證云服務商滿足各種合規性要求十分重要。云審計服務必須提供滿足審計事件列表的所有證據以及證據的可信度說明。當然,若要該證據不披露其他用戶的信息,則需要特殊設計的數據取證方法。
云密碼服務:除了最典型的加、解密算法服務外,密碼運算中的密鑰管理與分發、證書管理及分發等都可以以基礎類云安全服務的形式存在。云密碼服務不僅為用戶簡化了密碼模塊的設計與實施,也使密碼技術的使用更集中、規范,也更易于管理。
云安全應用服務:云安全應用服務與用戶的需求緊密結合,種類繁多。典型的例子有DDoS攻擊防護云服務、Botnet檢測與監控云服務、云網頁過濾與殺毒應用、內容安全云服務、安全事件監控與預警云服務、云垃圾郵件過濾及防治等。傳統網絡安全技術在防御能力、響應速度、系統規模等方面存在限制,難以滿足日益復雜的安全需求,而云計算優勢可以極大地彌補上述不足。云計算提供的超大規模計算能力與海量存儲能力,能在安全事件采集、關聯分析、病毒防范等方面實現性能的大幅提升,可用于構建超大規模安全事件信息處理平臺,提升全網安全態勢把握能力。此外,還可以通過海量終端的分布式處理能力進行安全事件采集,上傳到云安全中心分析,極大地提高了安全事件搜集與及時進行響應處理的能力。
回答所涉及的環境:聯想天逸510S、Windows 10。