基于云计算中间件平台的云安全体系

 云计算带来了巨大的方便，但是人们在使用过程中最为担心的是其安全问题，企业数据和应用程序都位于云中，一旦安全保护不足，后果非常严重，敏感数据盗窃将直接对企业知识产权、企业声誉等造成严重影响。云安全是个系统工程，涉及的方面非常多。在硬件基础设施层的安全性方面，需要传统的防火墙、IPS等安全设备，在虚拟化层需要病毒木马防护；数据是企业业务的核心，其安全性是最为受到重视，上层应用服务更需要从各个层面进行安全控制。 

开放的安全架构构建可信安全体系架构：

 

图 1‑1基于云计算平台的云安全体系

        云计算平台的云安全体系主要体现在两个方面：一是技术层面的安全问题，二是法规政策层面的安全问题。

    在云计算平台的云安全体系中，网络安全是第一保障，硬件级安全是支撑，千兆级的硬件防火墙，Anti-DDOS（抗拒绝服务攻击）设备，启用IDS（入侵检测），从系统的硬件层面来解决外部攻击，保证系统的安全。对重要的存储设备采用设备冗余和负载均衡方式。

    云计算平台的虚拟化技术实现层是构建云平台的最基础软件，在VMM上加入病毒木马防护引擎，从最底层保证免受病毒和木马的攻击，保障云平台最底层的安全性，是云平台安全建设的最为重要的一环。

在云计算环境下，各种不同用途的数据、应用的安全控制是不同的，比如，对一个CRM系统来说，它的数据很明显要比其可访问的应用的安全性要求更高，企业要求的安全性要比个人用户的安全性要求更高；因此需要用防火墙分离出不同安全级别的隔离区，隔离区之间的数据迁移和访问需要更为严格的控制和审核。

       大家公认的一个事实是，如果一个软件实现的体积越大，那么本身隐含的bug可能就越多，比如一些系统常常发布一系列补丁；同时体积越大，就越可能遭受病毒和木马的侵蚀和黑客的攻击。云计算平台采用的虚拟实现保证了内核的最小化，从而从根本上杜绝了一系列安全隐患。

    云计算平台在操作系统和核心架构方面，采用了主流稳定的操作系统，及时进行补丁升级；经常进行漏洞扫描，对漏洞扫描进行安全评估，启用防病毒网关，对与系统运行相关的关键数据进行多重备份。

    数据的安全是企业最为看重的部分，也是影响当前SAAS服务大规模推广的主要障碍。云计算平台采用数据库审计、数据灾备、异地数据备份、关键业务数据加密存储等方案，保证数据的访问安全、灾难及时恢复等。

    云计算平台采用软件级别的应用软件防火墙，网页防篡改，编码层次的漏洞扫描等技术来保障软件的应用架构和商务服务的高安全可用。对外公开的接口服务，访问前建立握手认证机制，采用证书认证，保证服务调用的安全性。

    数据在公网上传输很容易被截获，分析，因此云计算平台对传输的信息进行加密处理，避免传输过程出现明文。

    对用户行为采用内容审计机制，调用服务与服务本身行为进行审计，做到有据可查，防止抵赖现象。