《云计算安全:技术与应用》第4章云计算应用安全防护,本章将依据上一章所阐述的云计算安全体系及其防护思路,主要从云计算核心架构安全防护、云计算网络与系统安全防护、数据与信息安全,以及身份管理和安全审计四个层面来系统阐述云计算应用的安全防护方案,并结合不同云计算应用特点,分别针对云服务提供商的公共基础设施云以及企业用户的私有云提出安全防护策略应用建议。本节为大家介绍公共基础设施云安全策略。
4.5 云计算应用安全策略部署
本章上述内容主要从技术层面系统阐述了云计算应用的安全防护方案,而对于不同的云计算应用而言,其在进行安全策略部署时的侧重点也有所不同,本节将以两种典型的云计算应用服务--公共基础设施云服务和企业私有云--为例,对其安全应用策略部署提出建议。
4.5.1 公共基础设施云安全策略
云服务提供商的公共基础设施云主要是基于云计算平台的IT基础设施为用户提供租用服务,如IDC等。对于该类云服务而言,一方面其仍然是基于传统的IT环境,面临的安全风险和传统的IT环境并没有本质的不同;另一方面,云服务模式、运营模式和云计算新技术的引入,给服务提供商带来了比传统IT环境更多的安全风险。
对于公共基础设施云服务而言,重点需要解决云计算平台安全、多租户模式下的用户信息安全隔离、用户安全管理,以及法律与法规遵从等方面的安全问题。由于公有云平台承载了海量的用户应用,如何保障云计算平台的安全高效运营至关重要。而在公有云典型的多租户应用环境下,能否实现用户信息的安全隔离直接关系到用户的安全隐私能否得到有效保护。同时法律与法规的遵从也是非常重要的内容,作为云服务提供商对外提供服务,需要考虑满足相关法律法规要求。
对于云服务提供商而言,在当前云计算服务还处在演进阶段,实现全面的安全功能和技术要求并非一蹴而就的,需要结合具体的业务应用发展,循序渐进地开展安全部署和管理工作。其主要安全部署策略可包括如下内容。
(1)基础安全防护:建立公共基础设施云的安全体系,保障云计算平台的基础安全,主要包括构建涵盖云计算平台基础网络、主机、管理终端等基础设施资源的安全防护体系,建设云平台自身的用户管理、身份鉴别和安全审计系统等。针对一些关键应用系统或VIP客户,可考虑建设容灾系统,进一步提升其应对突发安全事件的能力。
(2)数据监管风险规避:目前国际社会对日趋全球化的云计算服务中的跨境数据存储、流动和交付的监管政策尚未达成一致,在发生安全事件后如何对造成的损失进行评估及赔偿可能存在较多争议,因此,云服务提供商需要在商业合同中的司法管辖权和SLA条款中进行合理设定,并对运营管理制度、业务提供的合规性进行合理规范,以规避不必要的经营风险。
(3)安全增值服务提供:在构建基础设施层面的安全防护体系的基础上,为进一步提高用户的黏性,为用户提供可选的应用、数据及安全增值服务,提高安全服务的商业价值。同时为提高用户对安全性的感知度,可通过安全报表、安全外设等方式实现安全的显性化。