什么是云计算安全?云计算安全或云安全是指用于保护云计算数据、应用程序和相关结构的一组策略、技术和控制,属于计算机安全、网络安全或更广泛的信息安全的子领域。云计算安全可以促进云计算的创新发展,有助于解决投资分散、重复建设、产能过剩、资源整合不均、建设不协调等诸多问题。云计算的定义云计算是一种按使用付费的模式,提供可用的、方便的、按需的网络访问和访问可配置的计算资源池(资源包括网络、服务器、存储、应用软件、服务)只需很少的管理工作或与服务提供商的交互即可快速配置。随着云计算逐渐成为主流,云安全也越来越受到重视。传统和新兴的云计算厂商和安全厂商推出了大量的云安全产品。然而,不同于明确定义的“云计算”(NISTSP800-145和ISO/IEC17788),业界对于“云安全”从概念、技术到产品还没有形成明确的共识。系统主要分为三大类:IaaS、PaaS、IaaS:SaaS:用户安装到硬盘上然后使用的传统软件。在云端,用户不需要购买软件,而是根据服务付费。它支持多租户,这意味着后端基础设施由多个用户共享,但逻辑上它不是每个用户独有的。PaaS:PaaS提供开发环境即服务。开发人员将使用供应商的代码块来创建他们自己的应用程序。该平台将托管在云端,可使用浏览器访问。IaaS:在IaaS中,提供商以技术、数据中心和IT服务的形式向客户提供基础设施即服务,相当于商业世界中传统的“外包”,但成本和工作量更高。少得多。主要目的是根据所需的应用为客户定制解决方案。云计算与云安全的关系云安全(CloudSecurity)是从“云计算”演变而来的新名词。云安全是基于云计算商业模式的安全软件、硬件、用户和机构安全云平台的总称。通过监控网络软件的行为,获取互联网上木马和恶意程序的最新信息,并传送到服务器进行自动分析处理,然后将病毒和木马的解决方案分发给各个客户端。从发展脉络分析,与“云安全”相关的技术可以分为两类:一类是为使用云计算服务提供保护,即使用云的安全,也称为云计算安全(Cloud计算安全)。计算安全)通常是新产品类别;一类源于传统的安全托管(hosting)服务,即以云服务的形式从云端提供安全,也称为安全即服务(Security-as-a-Service,SECaaS),通常有相应的传统安全软件或设备产品。“安全即服务”和“云计算安全”两类“云安全”技术的重叠部分,是以云服务的形式对云计算服务的使用提供保护。云计算的三种服务模型是基于云计算服务模型、部署模型和参与角色三个维度。云计算安全参考架构(NCC-SRA,NIST云计算安全参考架构)。NIST云计算安全参考架构的三个维度:云计算的三种服务模型:IaaS、PaaS、SaaS云计算的四种部署模型:公共、私有、混合、社区云计算的五种角色:提供者、消费者、代理、运营商、和审计员云计算具有以下特点:虚拟化。云计算支持用户在任何地点、使用各种终端获取应用服务。大规模整合。云中的资源是巨大的。一个企业云可以有几十万甚至上百万台服务器,小型私有云可以有几百台甚至上千台服务器。高可靠性。云计算采用多副本容错技术、计算节点同构可互换等措施保证服务的高可靠性。使用云计算比使用本地计算机更可靠。云安全包含的风险云服务由于其在整体架构、网络部署、运维服务等方面的相似性,面临着共同的安全风险。下面从基础设施、网络部署、云应用、运维服务四个方面进行安全风险分析。其中,基础设施是指为云应用提供运行环境的软件、硬件和管理编排系统。(1)基础设施安全风险主要包括:物理环境和设备安全风险、虚拟化安全风险、开源组件风险、配置和变更操作失误、恶意占用带宽、资源编排攻击等。(2)网络部署安全风险主要包括:数据泄露、身份和密钥管理、接入认证、跨数据中心横向攻击、APT等新型攻击。(3)云应用的安全风险。主要包括:API接口安全、Serverless攻击、DOS攻击、跨租户/跨省横向攻击、跨工作负载攻击、滥用和非法使用云服务、用户账户管理安全、核心网攻击等。(四)运维服务安全风险。主要包括:管理接口攻击、管理员权限滥用、漏洞和补丁管理安全、安全策略管理。
