【kingsql分享】云平台安全的研究

声明：本文为笔者研究信息安全领域中 云安全之后总结，转载请注明出处

1 云计算定义

云计算是一种能够支持按需分配的共享计算资源池的模型，且共享池中的资源能够动态的实现快速供给和回收。

云有五个基本特征，包括按需自助服务、普适网络连接、资源池、快速伸缩能力、可被测量的服务。

云有三个服务模型，包括软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）。

美国国家标准和技术局规定了四个云部署模型，包括私有云、社区云、公共云、混合云。这些内容将在云第二章中详细介绍。

 
2.云计算的特点

按需自助服务：这个特点使得用户可以不和云服务提供商联络就能根据需要使用云资源。通过按需自助服务，用户可以按需规划计算和存储资源，从而使得用户和云服务提供商的效率都得到提高，且节约了成本。
普适网络连接：要想让用户能够连接到云端，必须具有高速网络支持，很多组织使用三层网络架构将各种用户终端连接到云端。三层架构由接入层交换机、汇聚层交换机、核心层交换机与路由器构成。

 

资源池：云平台的资源与位置无关，用户往往无法了解自身资源的具体位置，但是却可以在一个抽象的层面指定位置。

快速伸缩能力：为了满足云的按需自助服务，云具有对分配的资源进行快速增加或缩减的能力。

可被测量的服务：通过对利用在某种抽象层次上适用于服务类型的计量能力，云可以实现资源使用的自动控制和优化。

3.云技术造成的影响

从架构来看，云受到过去几十年内一些架构发展的影响，例如高性能计算、公用计算与企业网格计算、自治计算、服务整合、水平扩展、Web服务、高扩展性架构等。

从技术来看，云也受到了一些影响，云计算依赖于对网络随时随地的连接，云计算的服务提供商组织利用过剩的服务器和存储、数据库资源通过云计算服务来获取利益，服务器的虚拟化技术对云计算来说具有至关重要的作用。

从运维角度，对于云平台的部署、管理、维护和选择等方面具有重要的影响。例如通过虚拟化来整合，节约成本的外包等。

4.云的信息安全

云软件必须展现出以下3个属性才能被认为是安全的。
可靠性：云软件能够按预期执行，在各种情况下都能够正常运行，包括受到攻击或在恶意主机上运行时。
可信性：软件中没有或只包含最小数量的、可能会破坏软件可靠性的漏洞和弱点。它必须能够抵御恶意逻辑。

可生存性：软件能够抵御或容忍攻击，并且具有尽可能降低伤害和快速恢复的能力。

5.云安全服务

影响云安全的其他因素包括认证、授权、审计和可追溯性。

认证是指对用户身份的证据进行验证和达成一致的过程。它建立用户的身份，并确保用户就是他们声明的实体。

授权是指为用户或进行授予权限，使其能够访问计算机资源和信息资产。一旦用户的身份和认证完成，授权级别决定着用户所具有的系统权限。

审计是为了维持运行保证，根据信息系统架构和部署情况，可采用系统审计和系统监控。

可追溯性是指在云计算系统中能够辨别出某个实体的动作和行为，并且能够识别出该实体的身份。

6.云安全设计原则

如果有足够的时间和资源，黑客总是可以找到一些方法攻击计算机系统，所以，安全的目标是拥有一个对日常应用足够安全的系统，但一个绝对安全的系统将会表现出较差的性能特征，所以需要折衷考虑。

云安全的设计应该遵循以下原则。

最小权限：该原则是指应该为个人或账户赋予其能够完成一个任务所需的最小权限。

权限分离：该原则是要求某个特定的敏感活动的完成或对敏感对象的访问有赖于满足多个条件。

深度防御：该原则是指采用多层安全防护提供云平台安全。

故障保护：如果云平台发生了故障，那么应该让它在故障时处于系统安全状态，且保证数据不会遭到破坏。

机制的经济性：该原则促进防护机制的设计与实现是简单、易于理解的，这也就不存在意料外的访问路径，或者能够很容易地找到并消除这些路径。

完全仲裁：在完全仲裁的情况下，云平台中主体对客体的每一个访问请求都必须经过一个正当有效的授权过程。

开放设计：采取安全设计完全开放给社区进行监视和评估的方法已经被证明非常有效。

最小公共机制：此原则是指应该尽可能少地采用公共防御机制为大多数用户服务，因为共享的访问路径可能成为非授权信息交换的源头。

心理可接受性：此原则是指用户必须能够在无需解析复杂指令的情况下，了解和使用用户界面。

最弱链接：找出安全链和防御层中最弱的机制，并对其进行改进，使得云平台风险能够降低到一个可接受的程度，也是非常重要的。

利用现有组件：仔细检查现有安全机制的状态和设置，确保它们都在最优设计点上运行，这能够极大程度地改善一个信息系统的安全状态。

7. 云计算交付模型

在云计算的分类机制方面，大家普遍认可的是SPI模型，它标志云所提供的三类主要服务，即软件即服务、平台即服务、寄出设置即服务。

软件即服务（SaaS）解决方案是通过Web交付应用软件。一个完整的SaaS服务应该讲一个功能齐全的应用套件作为服务按需提供出来，在云上作为一个应用程序实例运行，为多个组织用户和个人用户提供服务。

平台即服务（PaaS）与SaaS类似，但是服务的是整个应用环境，而不仅仅是一个应用程序，PaaS提供了一个可以通过Web浏览器访问的、云中的虚拟开发平台。利用PaaS理念，软件开发者无需在自己的电脑上安装软件构建工具就可以创建Web应用，并且可以轻松地将他们的应用发布或部署到云中。

基础设施即服务（IaaS）是最能够清晰展示出传统IT基础设施与基于云的基础设施服务之间区别的云模型。IaaS表示将计算基础设施作为服务交付。

8.云计算部署模型

以NIST为基准，其定义了4个云部署模型。

私有云单独为某个组织建立云基础设施，它可以由组织自己管理，也可以由某个第三方管理，既可以部署在组织内部，也可以部署在组织外部。

社区云是由几个组织共享的云基础设施，用于支持具有共同关注点的特定社区。它可以由组织自己管理，也可以由某个第三方管理，既可以部署在组织内部，也可以部署在组织外部。
公共云是面向大众货大型工业组织的云基础设施，云基础设施归提供云服务的组织所有。
混合云是两种或两种以上云的结合，每个云都作为一个单独实体存在，但又通过可以提供数据和应用移植性的标准或专有技术绑定在一起。

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

我的QQ 1749160152

我的邮箱 hongzhuohui@kingsql.com

我的百科 http://baike.sogou.com/v82076725.htm?sp=SST洪卓辉

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/28389881/viewspace-1295844/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/28389881/viewspace-1295844/