什么是云計算安全？如何保障云計算安全

云計算徹底改變了數據存儲的世界，它使企業可以遠程存儲數據并隨時隨地從任何位置訪問數據。存和取變得簡單，也使得云上數據極易造成泄露或者被篡改，所以云計算安全就顯得非常重要了。那么什么是云計算安全？

其實，云計算并非一個全新概念，其發展歷史可以追溯到1956年虛擬化技術的正式提出。我國云計算發展大致經歷三個階段：2010年以前是準備階段；2011年到2013年是穩步成長階段；2014年至今，中國云計算產業進入高速發展階段。當前，云計算正從新業態轉變為常規業態，并且與傳統行業深度融合發展。

云計算究竟是一項什么樣的技術？

通過高速網絡，云計算將大量獨立的計算單元相連，提供可擴展的高性能計算能力。它的主要特點是：資源虛擬化、服務按需化、接入泛在化、部署可擴展、使用可計費。

簡單說，就是用戶的計算需求不必在本地計算機上實現，而是只要把計算需求交給“云平臺”，“云平臺”把巨量數據分解成無數個小任務，分發給眾多服務器，最后匯總出計算結果，返回給用戶。打個比方，吃魚不必自己造船、結網、出海、烹飪，只需跟飯店下訂單即可，飯店自會準時上菜，這個飯店會同時服務眾多顧客。隨著用戶越來越多，程序越來越復雜，對計算能力和安全性的要求也越來越高。在不斷提升的需求推動下，云計算技術不斷升級，應用也越來越普及。

云計算的定義

云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池(資源包括網絡，服務器，存儲，應用軟件，服務)，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。

隨著云計算逐漸成為主流，云安全也獲得了越來越多的關注，傳統和新興的云計算廠商以及安全廠商均推出了大量云安全產品。但是，與有清晰定義的“云計算”(NIST SP 800-145和ISO/IEC 17788)不同，業界對“云安全”從概念、技術到產品都還沒有形成明確的共識。

主要有三種系統類別：IaaS, PaaS, IaaS：
?

SaaS：傳統軟件用戶將其安裝到硬盤然后使用。在云中，用戶不需要購買軟件，而是基于服務付費。它支持多租戶，這意味著后端基礎架構由多個用戶共享，但邏輯上它沒每個用戶是唯一的。
PaaS：PaaS將開發環境作為服務提供。開發人員將使用供應商的代碼塊來創建他們自己的應用程序。該平臺將托管在云中，并將使用瀏覽器進行訪問。
IaaS：在IaaS中，供應商將基礎架構作為一項服務提供給客戶，這種服務以技術，數據中心和IT服務的形式提供，相當于商業世界中的傳統“外包”，但費用和努力要少得多。主要目的是根據所需的應用程序為客戶定制解決方案。

什么是云計算安全？

云計算安全（Cloud security ），是指基于云計算商業模式應用的安全軟件、硬件、用戶、機構、安全云平臺的總稱。

“云安全”是繼“云計算”“云存儲”之后出現的“云”技術的重要應用，是傳統IT領域安全概念在云計算時代的延伸，是“云計算”技術的重要分支。

在云計算的架構下，云計算開放網絡和業務共享場景更加復雜多變，安全性方面的挑戰更加嚴峻，一些新型的安全問題變得比較突出，如多個虛擬機租戶間并行業務的安全運行，公有云中海量數據的安全存儲等。

云計算與云計算安全的關系

云計算安全(Cloud Security)是一個從“云計算”演變而來的新名詞。云安全就是基于云計算商業模式的安全軟件、硬件、用戶、機構安全云平臺的總稱。它通過對網絡軟件的行為進行監測，獲取互聯網中木馬、惡意程序的最新信息，并發送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

從發展的脈絡分析，“云安全”相關的技術可以分兩類：

一類為使用云計算服務提供防護，即使用云服務時的安全(security for using the cloud)，也稱云計算安全(Cloud Computing Security),一般都是新的產品品類;
一類源于傳統的安全托管(hosting)服務，即以云服務方式提供安全(security provided from the cloud)，也稱安全即服務(Security-as-a-Service, SECaaS)，通常都有對應的傳統安全軟件或設備產品。

“安全即服務”和“云計算安全”這兩類“云安全”技術的重合部分，即以云服務方式為使用云計算服務提供防護。

云計算的三種服務模式

基于云計算的服務模式、部署模式和參與角色等三個維度，美國國家標準技術研究院(NIST)云計算安全工作組在2013年5月發布的《云計算安全參考架構(草案)》給出了云計算安全參考架構(NCC-SRA，NIST Cloud Computing Security Reference Architecture)。

NIST云計算安全參考架構的三個構成維度：

云計算的三種服務模式：IaaS、PaaS、SaaS
云計算的四種部署模式：公有、私有、混合、社區
云計算的五種角色：提供者、消費者、代理者、承運者、審計者

云計算具有以下特點：

虛擬化。云計算支持用戶在任意位置、使用各種終端獲取應用服務。
規模化整合。云里的資源非常龐大，在一個企業云可以有幾十萬甚至上百萬臺服務器，在一個小型的私有云中也可擁有幾百臺甚至上千臺服務器。
高可靠性。云計算使用了多副本容錯技術、計算節點同構可互換等措施來保障服務的高可靠性，使用云計算比使用本地計算機可靠。

云安全包含的風險

云服務因其總體架構、網絡部署、運維服務具有相似性，面臨著共性安全風險，以下從基礎設施、網絡部署、云上應用、運維服務四個方面進行安全風險分析。其中，基礎設施是指為云上應用提供運行環境的軟硬件及管理編排系統。

(1) 基礎設施安全風險

主要包括：物理環境及設備安全風險、虛擬化安全風險、開源組件風險、配置與變更操作錯誤、帶寬惡意占用、資源編排攻擊。

(2)?網絡部署安全風險

主要包括：數據泄露、身份和密鑰管理、接入認證、跨數據中心的橫向攻擊、APT等新型攻擊。

(3)?云上應用安全風險

主要包括：API接口安全、無服務器攻擊、DOS攻擊、跨租戶/跨省橫向攻擊、跨工作負載攻擊、云服務被濫用及違規使用、用戶賬號管理安全、核心網攻擊。

(4)?運維服務安全風險

主要包括：管理接口攻擊、管理員權限濫用、漏洞和補丁管理安全、安全策略管理。

云安全為什么那么重要？

1、云操作容易受到攻擊

云服務器一般都會由專業的運維工程師去運維，但是在大多數開發小公司，是沒有運維工程師的，這個時候一般都是開發人員自己去維護，這個時候就會缺乏基本的安全常識，比如防火墻相關的操作、應用不當的補丁、數據庫設置等等，這些操作都會使得服務器遭到攻擊。

2、共享資源會增加風險

在現在的開發中，一般都會有開發環境、測試環境、線上環境等，開發環境一般就是本地環境，有些公司的幾個環境都會用同一套數據庫和其他基礎服務，這些資源都是共享資源，如何保證環境的隔離就成了大難題，資源的共享就增加了風險。

3、多云環境變得更加復雜

現在的公司一般不會只買一家云提供商的云產品，云產品例如有：云服務器、云存儲、云直播、云計算等。

那么這種多云環境，怎么能保證數據安全呢？登錄的憑據怎么保證通用呢？這就是云安全要施展拳腳的地方。

云安全工作原理

云安全的類型一般有四種：

1、身份和訪問管理

授權身份訪問云環境中的資源，不同身份的人有不同的角色，不同的角色有不同的權限。

2、數據丟失防護

對數據進行監控和檢查來防止網絡攻擊者竊取數據。

3、加密

對傳輸的數據進行加密，讓攔截者解密數據難度加大，從而保護我們的數據。

4、安全信息和事件管理

將安全日志分散在不同的環境中并進行實時分析，這樣安全團隊可以提高對云生態系統的可見性，減少云環境大量漏洞。

云安全和傳統安全有什么區別？

一是網絡邊界不可見。云計算通過引入虛擬化技術，將物理資源池化，按需分配給用戶，這里涉及到計算虛擬化、網絡虛擬化、存儲虛擬化。云服務商為用戶提供虛擬化實體，對用戶而言，以租用的形式使用虛擬主機、網絡和存儲，傳統的網絡邊界不可見。在云計算中，傳統的安全問題仍然存在，諸如拒絕服務攻擊、中間人攻擊、網絡嗅探、端口掃描、SQL注入和跨站腳本攻擊等。在傳統信息系統中，通過在網絡邊界部署可實現安全的防護。但在云環境中，用戶的資源通常是跨主機甚至是跨數據中心的部署，由物理主機之間的虛擬網絡設備構成，傳統的物理防御邊界被打破，用戶的安全邊界模糊，因此需要針對云環境的復雜結構，進一步發展傳統意義上的邊界防御手段來適應云計算的安全性。

二是數據安全要求更高。云環境中的責任主體更加復雜，云服務商為租戶提供云服務，不可避免會接觸到用戶數據，因此云服務商內部竊密是一個很重大的安全隱患。事實上，內部竊密可分為內部工作人員無意泄露內部特權信息或者有意和外部人員勾結竊取內部敏感信息兩種。在云計算環境下，內部人員還包括云服務商的內部人員，也包括為云服務商提供第三方服務的廠商的內部人員，這也增加了內部威脅的復雜性。因此需要采用更嚴格的權限訪問控制來限制不通級別內部用戶的數據訪問權限。

三是云環境中的責任主體更為復雜。在云環境下，數據存儲在共享云基礎設施之上，當用戶數據的存儲與數據維護工作都是由云服務商來完成時，就很難分清到底是誰擁有使用這些數據的權利并對這些數據負責。需要更明確的職責劃分，更清晰的用戶協議，更強的訪問控制等多種手段來限制內部人員接觸數據并盡可能與用戶達成共識。