1   數(shù)據(jù)安全

　　云用戶和云服務(wù)提供商應(yīng)避免數(shù)據(jù)丟失和被竊，無論使用哪種云計(jì)算的服務(wù)模式（SaaS/PaaS/IaaS），數(shù)據(jù)安全都變得越來越重要。以下針對(duì)數(shù)據(jù)傳輸安全、數(shù)據(jù)隔離和數(shù)據(jù)殘留等方面展開討論。

　　（1）數(shù)據(jù)傳輸安全

　　在使用公共云時(shí)，對(duì)于傳輸中的數(shù)據(jù)的威脅是不采用加密算法。通過Internet傳輸數(shù)據(jù)，采用的傳輸協(xié)議也要能保證數(shù)據(jù)的完整性。如果采用加密數(shù)據(jù)和使用非安全傳輸協(xié)議的方法也可以達(dá)到保密的目的，但無法保證數(shù)據(jù)的完整性。

　　（2）數(shù)據(jù)隔離

　　加密磁盤上的數(shù)據(jù)或生產(chǎn)數(shù)據(jù)庫中的數(shù)據(jù)很重要（靜止的數(shù)據(jù)），這可以用來防止惡意的云服務(wù)提供商、惡意的鄰居“租戶”及某些類型應(yīng)用的濫用。但是靜止數(shù)據(jù)加密比較復(fù)雜，如果僅使用簡(jiǎn)單存儲(chǔ)服務(wù)進(jìn)行長期的檔案存儲(chǔ)，用戶加密他們自己的數(shù)據(jù)后發(fā)送密文到云數(shù)據(jù)存儲(chǔ)商那里是可行的。但是對(duì)于PaaS或者SaaS應(yīng)用來說，數(shù)據(jù)是不能被加密，因?yàn)榧用苓^的數(shù)據(jù)會(huì)妨礙索引和搜索。到目前為止還沒有可商用的算法實(shí)現(xiàn)數(shù)據(jù)全加密。

　　PaaS和SaaS應(yīng)用為了實(shí)現(xiàn)可擴(kuò)展、可用性、管理以及運(yùn)行效率等方面的“經(jīng)濟(jì)性”，基本都采用多租戶模式，因此被云計(jì)算應(yīng)用所用的數(shù)據(jù)會(huì)和其他用戶的數(shù)據(jù)混合存儲(chǔ)（如Google的BigTable）。雖然云計(jì)算應(yīng)用在設(shè)計(jì)之初已采用諸如“數(shù)據(jù)標(biāo)記”等技術(shù)以防非法訪問混合數(shù)據(jù)，但是通過應(yīng)用程序的漏洞，非法訪問還是會(huì)發(fā)生，的就是2009年3月發(fā)生的谷歌文件非法共享。雖然有些云服務(wù)提供商請(qǐng)第三方審查應(yīng)用程序或應(yīng)用第三方應(yīng)用程序的安全驗(yàn)證工具加強(qiáng)應(yīng)用程序安全，但出于經(jīng)濟(jì)性考慮，無法實(shí)現(xiàn)單租戶專用數(shù)據(jù)平臺(tái)，因此惟一可行的選擇就是不要把任何重要的或者敏感的數(shù)據(jù)放到公共云中。

　　（3）數(shù)據(jù)殘留

　　數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn)，存儲(chǔ)介質(zhì)被擦除后可能留有一些物理特性使數(shù)據(jù)能夠被重建。在云計(jì)算環(huán)境中，數(shù)據(jù)殘留更有可能會(huì)無意泄露敏感信息，因此云服務(wù)提供商應(yīng)能向云用戶保證其鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他云用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。云服務(wù)提供商應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他云用戶前得到完全清除。

　　2   應(yīng)用安全

　　由于云環(huán)境的靈活性、開放性以及公眾可用性等特性，給應(yīng)用安全帶來了很多挑戰(zhàn)。提供商在云主機(jī)上部署的Web應(yīng)用程序應(yīng)當(dāng)充分考慮來自互聯(lián)網(wǎng)的威脅。

　　（1）終端用戶安全

　　對(duì)于使用云服務(wù)的用戶，應(yīng)該保證自己計(jì)算機(jī)的安全。在用戶的終端上部署安全軟件，包括反惡意軟件、防*、個(gè)人防火墻以及IPS類型的軟件。目前，瀏覽器已經(jīng)普遍成為云服務(wù)應(yīng)用的客戶端，但不幸的是所有的互聯(lián)網(wǎng)瀏覽器毫無例外地存在軟件漏洞，這些軟件漏洞加大了終端用戶被攻擊的風(fēng)險(xiǎn)，從而影響云計(jì)算應(yīng)用的安全。因此云用戶應(yīng)該采取必要措施保護(hù)瀏覽器免受攻擊，在云環(huán)境中實(shí)現(xiàn)端到端的安全。云用戶應(yīng)使用自動(dòng)更新功能，定期完成瀏覽器打補(bǔ)丁和更新工作。

　　隨著虛擬化技術(shù)的廣泛應(yīng)用，許多用戶現(xiàn)在喜歡在桌面或筆記本電腦上使用虛擬機(jī)來區(qū)分工作（公事與私事）。有人使用VMware Player來運(yùn)行多重系統(tǒng)（比如使用Linux作為基本系統(tǒng)），通常這些虛擬機(jī)甚至都沒有達(dá)到補(bǔ)丁級(jí)別。這些系統(tǒng)被暴露在網(wǎng)絡(luò)上更容易被黑客利用成為流氓虛擬機(jī)。對(duì)于企業(yè)客戶，應(yīng)該從制度上規(guī)定連接云計(jì)算應(yīng)用的PC機(jī)禁止安裝虛擬機(jī)，并且對(duì)PC機(jī)進(jìn)行定期檢查。

　　（2）SaaS應(yīng)用安全

　　SaaS應(yīng)用提供給用戶的能力是使用服務(wù)商運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用，用戶使用各種客戶端設(shè)備通過瀏覽器來訪問應(yīng)用。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)甚至其中單個(gè)的應(yīng)用能力，除非是某些有限用戶的特殊應(yīng)用配置項(xiàng)。SaaS模式?jīng)Q定了提供商管理和維護(hù)整套應(yīng)用，因此SaaS提供商應(yīng)限度地確保提供給客戶的應(yīng)用程序和組件的安全，客戶通常只需負(fù)責(zé)操作層的安全功能,包括用戶和訪問管理，所以選擇SaaS提供商特別需要慎重，目前對(duì)于提供商*估通常的做法是根據(jù)保密協(xié)議，要求提供商提供有關(guān)安全實(shí)踐的信息。該信息應(yīng)包括設(shè)計(jì)、架構(gòu)、開發(fā)、黑盒與白盒應(yīng)用程序安全測(cè)試和發(fā)布管理。有些客戶甚至請(qǐng)第三方安全廠商進(jìn)行滲透測(cè)試（黑盒安全測(cè)試），以獲得更為詳實(shí)的安全信息，不過滲透測(cè)試通常費(fèi)用很高而且也不是所有提供商都同意這種測(cè)試。

　　還有一點(diǎn)需要特別注意的是，SaaS提供商提供的身份驗(yàn)證和訪問控制功能，通常情況下這是客戶管理信息風(fēng)險(xiǎn)惟一的安全控制措施。大多數(shù)服務(wù)包括谷歌都會(huì)提供基于Web的管理用戶界面。終用戶可以分派讀取和寫入權(quán)限給其他用戶。然而這個(gè)特權(quán)管理功能可能不先進(jìn)，細(xì)粒度訪問可能會(huì)有弱點(diǎn)，也可能不符合組織的訪問控制標(biāo)準(zhǔn)。

　　用戶應(yīng)該盡量了解云特定訪問控制機(jī)制，并采取必要步驟，保護(hù)在云中的數(shù)據(jù)；應(yīng)實(shí)施化特權(quán)訪問管理，以消除威脅云應(yīng)用安全的內(nèi)部因素。

　　所有有安全需求的云應(yīng)用都需要用戶登錄，有許多安全機(jī)制可提高訪問安全性，比如說通行證或智能卡，而為常用的方法是可重用的用戶名和密碼。如果使用強(qiáng)度的密碼（如需要的長度和字符集過短）和不做密碼管理（過期，歷史）很容導(dǎo)致密碼失效，而這恰恰是攻擊者獲得信息的方法，從而容易被猜到密碼。因此云服務(wù)提供商應(yīng)能夠提供高強(qiáng)度密碼；定期修改密碼，時(shí)間長度必須基于數(shù)據(jù)的敏感程度；不能使用舊密碼等可選功能。

　　在目前的SaaS應(yīng)用中，提供商將客戶數(shù)據(jù)（結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)）混合存儲(chǔ)是普遍的做法，通過惟一的客戶標(biāo)識(shí)符，在應(yīng)用中的邏輯執(zhí)行層可以實(shí)現(xiàn)客戶數(shù)據(jù)邏輯上的隔離，但是當(dāng)云服務(wù)提供商的應(yīng)用升級(jí)時(shí)，可能會(huì)造成這種隔離在應(yīng)用層執(zhí)行過程中變得脆弱。因此，客戶應(yīng)了解SaaS提供商使用的虛擬數(shù)據(jù)存儲(chǔ)架構(gòu)和預(yù)防機(jī)制，以保證多租戶在一個(gè)虛擬環(huán)境所需要的隔離。SaaS提供商應(yīng)在整個(gè)軟件生命開發(fā)周期加強(qiáng)在軟件安全性上的措施。

　　（3）PaaS應(yīng)用安全

　　PaaS云提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購的應(yīng)用，這些應(yīng)用使用服務(wù)商支持的編程語言或工具開發(fā)，用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或存儲(chǔ)等，但是可以控制部署的應(yīng)用以及應(yīng)用主機(jī)的某個(gè)環(huán)境配置。PaaS應(yīng)用安全包含兩個(gè)層次：PaaS平臺(tái)自身的安全；客戶部署在PaaS平臺(tái)上應(yīng)用的安全。

　　SSL是大多數(shù)云安全應(yīng)用的基礎(chǔ)，目前眾多黑客社區(qū)都在研究SSL，相信SSL在不久的將來將成為一個(gè)主要的*傳播媒介。PaaS提供商必須明白當(dāng)前的形勢(shì)，并采取可能的辦法來緩解SSL攻擊，避免應(yīng)用被暴露在默認(rèn)攻擊之下。用戶必須要確保自己有一個(gè)變更管理項(xiàng)目，在應(yīng)用提供商指導(dǎo)下進(jìn)行正確應(yīng)用配置或打配置補(bǔ)丁，及時(shí)確保SSL補(bǔ)丁和變更程序能夠迅速發(fā)揮作用。

　　PaaS提供商通常都會(huì)負(fù)責(zé)平臺(tái)軟件包括運(yùn)行引擎的安全，如果PaaS應(yīng)用使用了第三方應(yīng)用、組件或Web服務(wù)，那么第三方應(yīng)用提供商則需要負(fù)責(zé)這些服務(wù)的安全。因此用戶需要了解自己的應(yīng)用到底依賴于哪個(gè)服務(wù)，在采用第三方應(yīng)用、組件或Web服務(wù)的情況下用戶應(yīng)對(duì)第三方應(yīng)用提供商做風(fēng)險(xiǎn)*估。目前，云服務(wù)提供商借口平臺(tái)的安全使用信息會(huì)被黑客利用而拒絕共享，盡管如此，客戶應(yīng)盡可能地要求云服務(wù)提供商增加信息透明度以利于風(fēng)險(xiǎn)*估和安全管理。

　　在多租戶PaaS的服務(wù)模式中，的安全原則就是多租戶應(yīng)用隔離。云用戶應(yīng)確保自己的數(shù)據(jù)只能有自己的企業(yè)用戶和應(yīng)用程序訪問。提供商維護(hù)PaaS平臺(tái)運(yùn)行引擎的安全，在多租戶模式下必須提供“沙盒”架構(gòu)，平臺(tái)運(yùn)行引擎的“沙盒”特性可以集中維護(hù)客戶部署在PaaS平臺(tái)上應(yīng)用的保密性和完整性。云服務(wù)提供商負(fù)責(zé)監(jiān)控新的程序缺陷和漏洞，以避免這些缺陷和漏洞被用來攻擊PaaS平臺(tái)和打破“沙盒”架構(gòu)。

　　云用戶部署的應(yīng)用安全需要PaaS應(yīng)用開發(fā)商配合，開發(fā)人員需要熟悉平臺(tái)的API、部署和管理執(zhí)行的安全控制軟件模塊。開發(fā)人員必須熟悉平臺(tái)特定的安全特性，這些特性被封裝成安全對(duì)象和Web服務(wù)。開發(fā)人員通過調(diào)用這些安全對(duì)象和Web服務(wù)實(shí)現(xiàn)在應(yīng)用內(nèi)配置和授權(quán)管理。對(duì)于PaaS的API設(shè)計(jì)，目前沒有標(biāo)準(zhǔn)可用，這對(duì)云計(jì)算的安全管理和云計(jì)算應(yīng)用可移植性帶來了難以估量的后果。

　　PaaS應(yīng)用還面臨著配置不當(dāng)?shù)耐{，在云基礎(chǔ)架構(gòu)中運(yùn)行應(yīng)用時(shí)，應(yīng)用在默認(rèn)配置下安全運(yùn)行的概率幾乎為零。因此，用戶需要做的事就是改變應(yīng)用的默認(rèn)安裝配置，需要熟悉應(yīng)用的安全配置流程。

　　（4）IaaS應(yīng)用安全

　　IaaS云提供商（例如亞馬遜EC2、GoGrid等）將客戶在虛擬機(jī)上部署的應(yīng)用看作是一個(gè)黑盒子，IaaS提供商完全不知道客戶應(yīng)用的管理和運(yùn)維。客戶的應(yīng)用程序和運(yùn)行引擎，無論運(yùn)行在何種平臺(tái)上，都由客戶部署和管理，因此客戶負(fù)有云主機(jī)之上應(yīng)用安全的全部責(zé)任，客戶不應(yīng)期望IaaS提供商的應(yīng)用安全幫助。

　　3   虛擬化安全

　　基于虛擬化技術(shù)的云計(jì)算引入的風(fēng)險(xiǎn)主要有兩個(gè)方面：一個(gè)是虛擬化軟件的安全；另一個(gè)使用虛擬化技術(shù)的虛擬服務(wù)器的安全。

　　（1）虛擬化軟件安全

　　該軟件層直接部署于裸機(jī)之上，提供能夠創(chuàng)建、運(yùn)行和銷毀虛擬服務(wù)器的能力。實(shí)現(xiàn)虛擬化的方法不止一種，實(shí)際上，有幾種方法都可以通過不同層次的抽象來實(shí)現(xiàn)相同的結(jié)果，如操作系統(tǒng)級(jí)虛擬化、全虛擬化或半虛擬化。在IaaS云平臺(tái)中，云主機(jī)的客戶不必訪問此軟件層，它完全應(yīng)該由云服務(wù)提供商來管理。

　　由于虛擬化軟件層是保證客戶的虛擬機(jī)在多租戶環(huán)境下相互隔離的重要層次，可以使客戶在一臺(tái)計(jì)算機(jī)上安全地同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，所以必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層。云服務(wù)提供商應(yīng)建立必要的安全控制措施，限制對(duì)于Hypervisor和其他形式的虛擬化層次的物理和邏輯訪問控制。

　　虛擬化層的完整性和可用性對(duì)于保證基于虛擬化技術(shù)構(gòu)建的公有云的完整性和可用性是重要，也是關(guān)鍵的。一個(gè)有漏洞的虛擬化軟件會(huì)暴露所有的業(yè)務(wù)域給惡意的入侵者。

　　（2）虛擬服務(wù)器安全

　　虛擬服務(wù)器位于虛擬化軟件之上，對(duì)于物理服務(wù)器的安全原理與實(shí)踐也可以被運(yùn)用到虛擬服務(wù)器上，當(dāng)然也需要兼顧虛擬服務(wù)器的特點(diǎn)。下面將從物理機(jī)選擇、虛擬服務(wù)器安全和日常管理三方面對(duì)虛擬服務(wù)器安全進(jìn)行闡述。

　　應(yīng)選擇具有TPM安全模塊的物理服務(wù)器，TPM安全模塊可以在虛擬服務(wù)器啟動(dòng)時(shí)檢測(cè)用戶密碼，如果發(fā)現(xiàn)密碼及用戶名的Hash序列不對(duì)，就不允許啟動(dòng)此虛擬服務(wù)器。因此，對(duì)于新建的用戶來說，選擇這些功能的物理服務(wù)器來作為虛擬機(jī)應(yīng)用是很有必要的。如果有可能，應(yīng)使用新的帶有多核的處理器，并支持虛擬技術(shù)的CPU，這就能保證CPU之間的物理隔離，會(huì)減少許多安全問題。

　　安裝虛擬服務(wù)器時(shí)，應(yīng)為每臺(tái)虛擬服務(wù)器分配一個(gè)獨(dú)立的硬盤分區(qū)，以便將各虛擬服務(wù)器之間從邏輯上隔離開來。虛擬服務(wù)器系統(tǒng)還應(yīng)安裝基于主機(jī)的防火墻、殺毒軟件、IPS（IDS）以及日志記錄和恢復(fù)軟件，以便將它們相互隔離，并與其他安全防范措施一起構(gòu)成多層次防范體系。

　　對(duì)于每臺(tái)虛擬服務(wù)器應(yīng)通過VLAN和不同的IP網(wǎng)段的方式進(jìn)行邏輯隔離。對(duì)需要相互通信的虛擬服務(wù)器之間的網(wǎng)絡(luò)連接應(yīng)當(dāng)通過VPN的方式來進(jìn)行，以保護(hù)它們之間網(wǎng)絡(luò)傳輸?shù)陌踩?。?shí)施相應(yīng)的備份策略，包括它們的配置文件、虛擬機(jī)文件及其中的重要數(shù)據(jù)都要進(jìn)行備份，備份也必須按一個(gè)具體的備份計(jì)劃來進(jìn)行，應(yīng)當(dāng)包括完整、增量或差量備份方式。

　　在防火墻中，盡量對(duì)每臺(tái)虛擬服務(wù)器做相應(yīng)的安全設(shè)置，進(jìn)一步對(duì)它們進(jìn)行保護(hù)和隔離。將服務(wù)器的安全策略加入到系統(tǒng)的安全策略當(dāng)中，并按物理服務(wù)器安全策略的方式來對(duì)等。

　　從運(yùn)維的角度來看，對(duì)于虛擬服務(wù)器系統(tǒng)，應(yīng)當(dāng)像對(duì)一臺(tái)物理服務(wù)器一樣地對(duì)它進(jìn)行系統(tǒng)安全加固，包括系統(tǒng)補(bǔ)丁、應(yīng)用程序補(bǔ)丁、所允許運(yùn)行的服務(wù)、開放的端口等。同時(shí)嚴(yán)格控制物理主機(jī)上運(yùn)行虛擬服務(wù)的數(shù)量，禁止在物理主機(jī)上運(yùn)行其他網(wǎng)絡(luò)服務(wù)。如果虛擬服務(wù)器需要與主機(jī)進(jìn)行連接或共享文件，應(yīng)當(dāng)使用VPN方式進(jìn)行，以防止由于某臺(tái)虛擬服務(wù)器被攻破后影響物理主機(jī)。文件共享也應(yīng)當(dāng)使用加密的網(wǎng)絡(luò)文件系統(tǒng)方式進(jìn)行。需要特別注意主機(jī)的安全防范工作，消除影響主機(jī)穩(wěn)定和安全性的因素，防止間諜軟件、木馬、*和黑客的攻擊，因?yàn)橐坏┪锢碇鳈C(jī)受到侵害，所有在其中運(yùn)行的虛擬服務(wù)器都將面臨安全威脅，或者直接停止運(yùn)行。

　　對(duì)虛擬服務(wù)器的運(yùn)行狀態(tài)進(jìn)行嚴(yán)密的監(jiān)控，實(shí)時(shí)監(jiān)控各虛擬機(jī)當(dāng)中的系統(tǒng)日志和防火墻日志，以此來發(fā)現(xiàn)存在的安全隱患。對(duì)不需要運(yùn)行的虛擬機(jī)應(yīng)當(dāng)立即關(guān)閉。