云计算需要考虑的安全技术

密码术

在任何环境中，数据加密对千防止未授权的数据泄露（无论是内部还是外部）都极其重要。如果系统受到攻击，即使系统本身已经暴露，在系统上的数据加密机制也可防止未授权的泄露或导出。对于数据安全和隐私（如医疗健康、教育、纳税和财务信息）有严格规定的情况，这一 点尤其重要。

加密技术

有许多不同类型和等级的加密技术。在云环境中，云安全专家有责任评价应用程序的需求、所使用的技术、需要保护的数据类型，以及监管合规或／和合同的需求。
加密技术对千云实现的许多特性都很重要。包括数据在系统中的存储，无论是在访问时,还是在静止状态下，以及在系统之间或系统与消费者之间的数据和交易的实际传输中。云安全专家必须确保选择适当的加密技术，且选定的加密技术必须足够强大，以满足监管合规和系统安全的要求，但也要有足够的效率和可访问性，以便能在应用程序中稳定工作。

传输状态数据

传输状态数据(Data in Transit, D订）指数据由应用程序处理、在内部系统遍历或在客户端和应用程序之间传输时的状态。无论数据在云环境内的系统之间传输，还是发送到用户的客户端，传输状态数据都最容易遭到未授权捕获。在云托管模型中，由千多租户关系，系统之间的传输比传统数据中心更重要；同一 云环境中的其他系统是潜在安全风险和脆弱节点，有可能成功实施数据监听攻击。
为保证可移植性和互操作性，云安全专家应该针对特定云提供商的功能或局限性，使传输状态数据的加密过程保持完全独立。云安全专家应该从最初阶段就参与系统或应用程序的规划和设计，以确保一 切都从初期开始正确构建，并在安全控制措施设计或实施完成后不做任何非授权更改。尽管在设计阶段将加密与系统的操作结合使用至关重要，但一 旦实施并部署系统对密钥、协议和测试审计的严格管理也极其重要
传输状态数据加密最常见的方法是在HTIPS下使用为人熟知的SSL和TLS技术。随着许多现代应用程序使用Web服务作为通信框架，这已成为一 种流行方法，与客户机和浏览器通过Internet与服务器通信所用的方法相同。HTIPS方法现在也在云环境中用千服务器到服务器的内部通信。除了使用HTIPS,其他对传输数据进行加密的方法是虚拟私有网络(VirtualPrivate Network, VPN)和IPSec。这些方法可单独使用，但最常用的是综合运用，以提供最高水平的防护。

静止状态数据

静止状态数据(Data at Rest, DaR)指存储在系统或设备上的信息（相对千通过网络或在系统之间主动传输的数据）。数据可以多种不同形式存储，实例包括数据库、文件集、电子表格、文档、磁带、存档，甚至移动设备也属于这个类别。
驻留在系统中的数据遭暴露和易受攻击的时间远长千事务操作，也远长千传输状态数据，因此需要特别小心，以确保其免受未授权的访问。在传输状态数据和事务系统中，通常是在特定时间传输一 小部分记录，甚至单条记录，而不会传输整个数据库或其他文件系统中维护的全部记录集。
虽然加密数据对任何系统的机密性都至关重要，但数据的可用性和性能同样重要。云安全专家必须确保加密方法能提供高级别安全性和保护，同时有助千获得高性能，确保较高的系统速度。采用任何加密技术都会导致更高负载和更长的处理时间，因此在测试部署和设计
标准时，正确的扩展和系统评估非常重要。
考虑到可移植性和供应商锁定(Vendor Lock-in)问题，云安全专家必须确保加密系统实际上不会导致系统绑定到任何云产品私有技术上。如果一个系统或应用程序最终使用了云提供商提供的私有加密系统那么实现可移植性可能更困难，从而将云客户与特定云提供商关联起来。由于许多云实现的灾难恢复和持续性规划跨越多个云提供商和基础架构，因此拥有统一 的、能确保性能的加密系统非常重要。

密钥管理

对于任何加密系统而言，都需要以一 种方法来正确地发布、维护和组织密钥体系。如果云客户有自己的密钥管理系统和程序，则可更好地确保自身的数据安全，同时防止与云提供商及其提供的私有系统锁定。除了使用云提供商的密钥管理系统可能发生的供应商锁定之外，组织可在系统中管理自有密钥以及其他系统的类似密钥。保持对自己的密钥管理系统控制的云客户，出千安全原因确保了更高程度的可移植性和系统隔离。
云计算系统中通常使用两种主要的密钥管理服务(Key Management Service, KMS)：远程方式和客户侧方式。
远程密钥管理服务(Remote Key Management Service, Remote KMS)远程密钥管理服务由云客户在自有的物理位置维护和控制。这为云客户提供了最高程度的安全性，因为密钥完全山云客户自行控制，位千云提供商的物理边界之外。远程KMS允许云客户完全配置和部署自有密钥，并完全控制谁可访问和生成密钥对。远程KMS的主要缺点是连接必须打开并始终保持，以便云提供商托管的系统和应用程序能够正常运行。这带来了网络连接延迟、意外或设计服务中断的可能性，降低了云提供商的高可用性功能，并且严重依赖于远程KMS的可用性。
客户侧密钥管理服务(Client-side Key Management Service, Client-side KMS) 是SaaS部署中最常见的模式，客户侧KMS由云提供商提供，但由云客户管理和控制。客户侧KMS能实现与云环境无缝集成，但也允许控制权仍完全留在云客户一 侧。云客户全权负责所有密钥生成和维护活动。

访问控制

访问控制结合了身份验证和授权这两个主要概念，但也添加了第三个重要概念：记账。通过身份验证(Authentication)，由人员或系统验证访问者是谁；通过授权(Authorization)，访问者获得适当的最低系统访问权限。授权是基千访间者使用系统和使用数据的角色而应该拥有的权限。记账(Accoun血g)包括维护身份验证和授权活动的日志和记录；对千运营和监管需求而言，这是至关重要的概念。
访问控制系统(Access Control System, ACS)具有各种不同类型的身份验证机制，这些机制根据数据敏感度类型提供越来越高的安全等级。低安全等级的身份验证机制可包括用户1D和口令(Password)的使用，这是每位安全专家都熟悉的典型系统访问模式。为实现更高的安全等级系统应综合使用多种身份验证因素。多因素身份验证(Multifactor Authentication, MFA) 通常是经典用户1D和口令与附加要求（如物理所有权）的组合。辅助因素的类型通常包括生物特征测试（如指纹和视网膜扫描）、可插入计算机并由系统读取的物理令牌设备，以及使用移动设备或回呼功能，其中除了用户的访问口令外，还向用户提供要输入的一 段代码。还有许多其他类型的潜在辅助身份验证方法，但刚提到的都是最常见的方法。物理辅助身份验证类型也可结合在一 起并分层校验；例如，用户可能必须提供视网膜扫描和物理令牌设备。

数据和介质脱敏

在云环境中，数据和介质脱敏(Me小a Sanitation)本身存在两个主要问题。第一 个问题是能轻松高效地将数据从一 个云提供商移动到另一 个云提供商(Cloud Provider)，以维护互操作性并减少供应商锁定。另一 个问题是在离开云提供商或环境时确保能删除和脱敏所有数据的能力。这涉及清理(Clean)和擦除(Erase)环境中的任何数据，以及确保如果丢失(Miss)或在某种存储留下任何数据，任何攻击者都无法访问或读取这些数据

网络安全

在云环境网络中，安全问题与任何系统一 样都是必不可少的，但由千多租户和底层硬件基础架构的不可控性，在云环境中安全问题比在传统数据中心中更关键。因为云环境的主要接入点，不管哪种云架构模型（如IaaS、PaaS或SaaS)都是通过Internet方式，而不是通过任何物理连接的方法，所以网络安全至关重要。
从网络的角度考虑云环境有两种途径。第一 个是环境的实际物理层。由千云客户依赖云提供商来确保其环境中底层物理网络的安全性，因此云提供商需要通过一 定程度的透明性和契约性保证向云客户表明适当安全控制正在实施和审计。由千云计算可移植性方面的原因，云提供商有强烈的动力为云客户实施有意义的安全控制措施和保证(Assurance)，否则可能很快败给竞争对手而丢失业务。从逻辑角度看，考虑来自不同云客户的所有网络流量、正在使用的协议以及通过网络的终端的数据量等问题，网络服务是最重要的。
由于云环境通常很大，且托管云客户数量众多，因此网络的某些方面比传统数据中心模型更关键。对千传统数据中心，引入的外部边界表示网络从公有变为私有的逻辑分段点。因为云环境支撑很多云客户，虽然外部边界仍然是一 个逻辑分割点，但是在云环境中还有许多使云客户彼此分离的私有网络，增加了网络复杂性。云环境中的负载和参数配置(Configuration)也增加了一 层复杂性；为此，云提供商必须能维护适当的控制和持续监测来处理。任何一 个云客户都可能基于负载或攻击而消耗大量资源，因此网络分离和一 些限制因素都可使云客户免受其他云客户困境的影响，从而保持高度的可用性和可扩展性。当系统增长和扩展时（特别是通过自动方式），虚拟网络控制和分区自动扩展以持续地支待系统。

虚拟化技术安全

虚拟化技术(Virtualization)是云基础架构的支柱，也是可伸缩性、可移植性、多租户和资源池的基础。由于虚拟化在云环境中扮演着中心角色，掌握底层虚拟机管理程序(Hypervisor)和虚拟化基础架构的安全性对千任何云安全专家而言都是绝对必要的。如果攻击者成功利用云环境管理程序层的攻击和漏洞，将使整个云环境面临攻击和威胁

参考文献

CCSP Official Study Guide 第2版 英文版
CCSP Exam Guide AIO 第2版 英文版