云计算应用模式中的安全防护体系

1、终端用户安全

对于使用云服务的用户，应该保证自己计算机的安全。在用户的终端上部署安全软件，包括反恶意软件、防病毒、个人防火墙以及IPS类型的软件。目前，浏览器已经普遍成为云服务应用的客户端，但不幸的是所有的因特网浏览器毫无例外地存在软件漏洞，这些软件漏洞加大了终端用户被攻击的风险，从而影响云计算应用的安全。因此云用户应该采取必要措施保护浏览器免受攻击，在云环境中实现端到端的安全。云用户应使用自动更新功能，定期完成浏览器打补丁和更新工作。

随着虚拟化技术的广泛应用，许多用户现在喜欢在桌面或笔记本电脑上使用虚拟机来区分工作(公事与私事)。有人使用VMware Player来运行多重系统(比如使用Linux作为基本系统)，通常这些虚拟机都没有达到补丁级别。这些系统被暴露在网络上更容易被黑客利用成为流氓虚拟机。对于企业客户，应该从制度上规定连接云计算应用的PC机禁止安装虚拟机，并且对PC机进行定期检查。

2、SaaS应用安全

SaaS应用提供给用户的能力是使用服务商运行在云基础设施之上的应用，用户使用各种客户端设备通过浏览器来访问应用。用户并不管理或控制底层的云基础设施，例如网络、服务器、操作系统、存储、甚至其中单个的应用能力，除非是某些用户的特殊应用配置项。SaaS模式决定了提供商管理和维护整套应用，因此SaaS提供商应最大限度地确保提供给客户的应用程序和组件安全。客户通常用只需负责操作层安全功能包括用户和访问管理。所以选择SaaS提供商特别需要慎重，目前对于提供商评估通常的做法是根据保密协议，要求提供商提供有关安全实践的信息。该信息应包括设计、架构、开发、黑盒与白盒应用程序安全测试和发布管理，甚至可以请第三方安全厂商进行渗透测试(黑盒安全测试)，以获得更为详实的安全信息。

3、PaaS应用安全

PaaS云提供给用户的能力是在云基础设施之上部署用户创建或采购的应用，这些应用使用服务商支持的编程语言或工具开发，用户并不管理或控制底层的云基础设施，包括网络、服务器、操作系统或存储等，但是可以控制部署的应用，以及应用主机的某个环境配置。PaaS应用安全包含2个层次：PaaS平台自身的安全；客户部署在PaaS平台上应用的安全。

SSL是大多数云安全应用的基础，目前众多黑客社区都在研究SSL，相信SSL在不久的将来将成为一个主要的病毒传播媒介。那么我们需要判断PaaS提供商是否采取可能的办法来缓解SSL攻击，避免应用被暴露在默认攻击之下。用户必须要确保自己有一个变更管理项目，在应用提供商指导下进行正确应用配置或打配置补丁，及时确保SSL补丁和变更程序能够迅速发挥作用。PaaS提供商通常都会负责平台软件包括运行引擎的安全，如果PaaS应用使用了第三方应用、组件或WEB服务，那么第三方应用提供商则需要负责这些服务的安全。因此用户需要了解自己的应用到底依赖于哪些服务，以及对第三方提供商的风险评估。到目前为止，云服务提供商借口平台的安全使用信息会被黑客利用而拒绝共享。尽管如此，客户应尽可能地要求云服务提供商增加信息透明度以利于风险评估和安全管理。

在PaaS的服务模式中，最核心的安全原则就是多租户应用隔离。云用户应确保自己的数据只能有自己的企业用户和应用程序访问。提供商在多租户模式下必须提供“沙盒”架构，集中维护客户部署在PaaS平台上应用的保密性和完整性。云服务提供商负责监控新的程序缺陷和漏洞，以避免这些缺陷和漏洞被用来攻击PaaS平台和打破“沙盒”架构。

PaaS应用还面临着配置不当的威胁，在云基础架构中，应用在默认配置下安全运行的概率几乎为零。因此，用户需要改变默认安装配置，熟悉应用的安全配置流程。

4、IaaS应用安全

IaaS云提供商(例如亚马逊EC2，GoGrid等)，将客户在虚拟机上部署的应用看作是一个黑盒子，IaaS提供商完全不知道客户应用的管理和运维。客户的应用程序和运行引擎，无论运行在何种平台上(Java、.NET、PHP、Rubyon Rails)等，都由客户部署和管理。因此，客户负有云主机之上应用安全的全部责任，客户不应期望IaaS提供商的应用安全帮助。

(责任编辑：)