對于不同的云服務模式,安全關注點是不一樣的;當然,也有一些是這3種模式需要共同關注的,即無論是IaaS、PaaS,還是SaaS,都應該關注的安全,如:數據安全、加密和密鑰管理、身份識別和訪問管理、安全事件管理、業務連續性等等。
IaaS層安全策略:
IaaS涵蓋了從機房設備到其中的硬件平臺等所有的基礎設施資源層面。IaaS層的安全,主要包括物理與環境安全、主機安全、網絡安全、虛擬化安全、接口安全。
1.物理安全:是指保護云計算平臺免遭地震、水災、火災等事故以及人為行為導致的破壞。
2.主機安全:應該要求做到身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼控制、資源控制等。
3.網絡安全:網絡結構安全、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、惡意代碼防范、網絡設備防護。
4.虛擬化安全:包括兩個方面的問題:一是虛擬技術本身的安全,二是虛擬化引入的新的安全問題。
5.接口安全:需要采取相應的措施來確保接口的強用戶認證、加密和訪問控制的有效性,避免利用接口對內和對外的攻擊,避免利用接口進行云服務的濫用等。
PaaS層安全策略:
PaaS位于IaaS之上,又增加了一個層面用以與應用開發框架、中間件能力以及數據庫、消息和隊列等功能集成。PaaS允許開發者在平臺之上開發應用,開發的編程語言和工具由PaaS支持提供。PaaS層的安全,主要包括接口安全、運行安全。
1.接口安全:需要采取相應的措施來確保接口的強用戶認證、加密和訪問控制的有效性,避免利用接口對內和對外的攻擊,避免利用接口進行云服務的濫用等。
2.運行安全:主要包括對用戶應用的安全審核、不同應用的監控、不同用戶系統的隔離、安全審計等。
SaaS層安全策略:
SaaS位于底層的IaaS和PaaS之上,SaaS能夠提供獨立的運行環境,用以交付完整的用戶體驗,包括內容、展現、應用和管理能力。 SaaS層的安全,主要包括應用安全:就是要在應用的設計開發之初,充分考慮到安全性,應該制定并遵循適合SaaS模式的SDL(安全開發生命周期)規范和流程,從整個生命周期上去考慮應用安全。
京公網安備 11010502049343號