《云計算安全:技術(shù)與應(yīng)用》第4章云計算應(yīng)用安全防護,本章將依據(jù)上一章所闡述的云計算安全體系及其防護思路,主要從云計算核心架構(gòu)安全防護、云計算網(wǎng)絡(luò)與系統(tǒng)安全防護、數(shù)據(jù)與信息安全,以及身份管理和安全審計四個層面來系統(tǒng)闡述云計算應(yīng)用的安全防護方案,并結(jié)合不同云計算應(yīng)用特點,分別針對云服務(wù)提供商的公共基礎(chǔ)設(shè)施云以及企業(yè)用戶的私有云提出安全防護策略應(yīng)用建議。本節(jié)為大家介紹公共基礎(chǔ)設(shè)施云安全策略。
4.5 云計算應(yīng)用安全策略部署
本章上述內(nèi)容主要從技術(shù)層面系統(tǒng)闡述了云計算應(yīng)用的安全防護方案,而對于不同的云計算應(yīng)用而言,其在進行安全策略部署時的側(cè)重點也有所不同,本節(jié)將以兩種典型的云計算應(yīng)用服務(wù)--公共基礎(chǔ)設(shè)施云服務(wù)和企業(yè)私有云--為例,對其安全應(yīng)用策略部署提出建議。
4.5.1 公共基礎(chǔ)設(shè)施云安全策略
云服務(wù)提供商的公共基礎(chǔ)設(shè)施云主要是基于云計算平臺的IT基礎(chǔ)設(shè)施為用戶提供租用服務(wù),如IDC等。對于該類云服務(wù)而言,一方面其仍然是基于傳統(tǒng)的IT環(huán)境,面臨的安全風(fēng)險和傳統(tǒng)的IT環(huán)境并沒有本質(zhì)的不同;另一方面,云服務(wù)模式、運營模式和云計算新技術(shù)的引入,給服務(wù)提供商帶來了比傳統(tǒng)IT環(huán)境更多的安全風(fēng)險。
對于公共基礎(chǔ)設(shè)施云服務(wù)而言,重點需要解決云計算平臺安全、多租戶模式下的用戶信息安全隔離、用戶安全管理,以及法律與法規(guī)遵從等方面的安全問題。由于公有云平臺承載了海量的用戶應(yīng)用,如何保障云計算平臺的安全高效運營至關(guān)重要。而在公有云典型的多租戶應(yīng)用環(huán)境下,能否實現(xiàn)用戶信息的安全隔離直接關(guān)系到用戶的安全隱私能否得到有效保護。同時法律與法規(guī)的遵從也是非常重要的內(nèi)容,作為云服務(wù)提供商對外提供服務(wù),需要考慮滿足相關(guān)法律法規(guī)要求。
對于云服務(wù)提供商而言,在當(dāng)前云計算服務(wù)還處在演進階段,實現(xiàn)全面的安全功能和技術(shù)要求并非一蹴而就的,需要結(jié)合具體的業(yè)務(wù)應(yīng)用發(fā)展,循序漸進地開展安全部署和管理工作。其主要安全部署策略可包括如下內(nèi)容。
(1)基礎(chǔ)安全防護:建立公共基礎(chǔ)設(shè)施云的安全體系,保障云計算平臺的基礎(chǔ)安全,主要包括構(gòu)建涵蓋云計算平臺基礎(chǔ)網(wǎng)絡(luò)、主機、管理終端等基礎(chǔ)設(shè)施資源的安全防護體系,建設(shè)云平臺自身的用戶管理、身份鑒別和安全審計系統(tǒng)等。針對一些關(guān)鍵應(yīng)用系統(tǒng)或VIP客戶,可考慮建設(shè)容災(zāi)系統(tǒng),進一步提升其應(yīng)對突發(fā)安全事件的能力。
(2)數(shù)據(jù)監(jiān)管風(fēng)險規(guī)避:目前國際社會對日趨全球化的云計算服務(wù)中的跨境數(shù)據(jù)存儲、流動和交付的監(jiān)管政策尚未達成一致,在發(fā)生安全事件后如何對造成的損失進行評估及賠償可能存在較多爭議,因此,云服務(wù)提供商需要在商業(yè)合同中的司法管轄權(quán)和SLA條款中進行合理設(shè)定,并對運營管理制度、業(yè)務(wù)提供的合規(guī)性進行合理規(guī)范,以規(guī)避不必要的經(jīng)營風(fēng)險。
(3)安全增值服務(wù)提供:在構(gòu)建基礎(chǔ)設(shè)施層面的安全防護體系的基礎(chǔ)上,為進一步提高用戶的黏性,為用戶提供可選的應(yīng)用、數(shù)據(jù)及安全增值服務(wù),提高安全服務(wù)的商業(yè)價值。同時為提高用戶對安全性的感知度,可通過安全報表、安全外設(shè)等方式實現(xiàn)安全的顯性化。