- 云计算有用资源
- 云计算 - 快速指南
- 云计算 - 有用资源
- 云计算 - 讨论
云计算安全
云计算中的安全是一个主要问题。云中的数据应以加密形式存储。为了限制客户端直接访问共享数据,应使用代理和代理服务。
安全规划
在将特定资源部署到云之前,需要分析资源的几个方面,例如:
选择需要迁移到云的资源,并分析其风险敏感性。
考虑云服务模式,例如IaaS、PaaS和SaaS。这些模式要求客户负责不同服务级别的安全。
考虑要使用的云类型,例如公有云、私有云、社区云或混合云。
了解云服务提供商关于数据存储及其进出云的数据传输的系统。
云部署中的风险主要取决于服务模式和云类型。
了解云安全
安全边界
特定的服务模型定义了服务提供商和客户责任之间的界限。云安全联盟 (CSA) 堆栈模型定义了每个服务模型之间的界限,并显示了不同的功能单元如何相互关联。下图显示了CSA 堆栈模型:
Explore our latest online courses and learn new skills at your own pace. Enroll and become a certified expert to boost your career.
CSA 模型的关键点
IaaS 是最基本的级别服务,PaaS 和 SaaS 分别在其之上。
向上移动,每个服务都继承了其下方模型的功能和安全问题。
IaaS 提供基础设施,PaaS 提供平台开发环境,SaaS 提供运行环境。
IaaS 集成功能和集成安全级别最低,而 SaaS 最高。
此模型描述了云服务提供商的责任终止以及客户责任开始的安全边界。
安全边界以下的任何安全机制都必须内置到系统中,并应由客户维护。
虽然每个服务模型都有安全机制,但安全需求也取决于这些服务所在的私有云、公有云、混合云或社区云。
了解数据安全
由于所有数据都是通过互联网传输的,因此数据安全是云计算中的一个主要问题。以下是保护数据的关键机制。
- 访问控制
- 审计
- 身份验证
- 授权
所有服务模型都应包含在上述所有领域运行的安全机制。
隔离的数据访问
由于存储在云中的数据可以从任何地方访问,因此我们必须有一种机制来隔离数据并保护它免受客户端的直接访问。
代理云存储访问是一种隔离云中存储的方法。在这种方法中,创建了两个服务:
具有完全访问存储权限但无权访问客户端的代理。
无权访问存储但可以访问客户端和代理的代理。
代理云存储访问系统的运作方式
当客户端发出访问数据的请求时
客户端数据请求将转到代理的外部服务接口。
代理将请求转发到代理。
代理向云存储系统请求数据。
云存储系统将数据返回给代理。
代理将数据返回给代理。
最后,代理将数据发送给客户端。
所有上述步骤都显示在下图中
加密
加密有助于保护数据免遭泄露。它保护正在传输的数据以及存储在云中的数据。虽然加密有助于保护数据免遭任何未经授权的访问,但它并不能防止数据丢失。