3.云計算安全框架

云計算安全是一個交叉領(lǐng)域，涵蓋物理安全到應(yīng)用安全。在云計算架構(gòu)中安全不僅屬于云提供者的范圍，還關(guān)系到云用戶和其他相關(guān)角色。除安全性外，云提供者還須保護(hù)云中的私人信息和個人身份信息的處理、使用、通信和合理的收集。下圖是NIST定義的云計算安全架構(gòu)，按角色分為如下幾類。

云用戶：保護(hù)云消費(fèi)管理、保護(hù)云生態(tài)編排、保護(hù)功能層。其中，保護(hù)云消費(fèi)管理又可分為四類：保護(hù)商業(yè)支持、保護(hù)配置、保護(hù)便攜性和交互性、保護(hù)組織支持。

云提供者：保護(hù)云服務(wù)管理、保護(hù)云生態(tài)編{{}。 云承載者：保護(hù)運(yùn)輸支持。

云審計者：。保護(hù)審計環(huán)境。

云經(jīng)紀(jì)人：保護(hù)云服務(wù)管理、保護(hù)云生態(tài)編排（只對技術(shù)經(jīng)紀(jì)人）、保護(hù)服務(wù)融合、 保護(hù)服務(wù)調(diào)解、保護(hù)服務(wù)仲裁。

云計算安全服務(wù)體系由一系列云安全服務(wù)構(gòu)成，是實現(xiàn)云用戶安全目標(biāo)的重要技術(shù)手段。根據(jù)其所屬層次的不同，云安全服務(wù)可以進(jìn)一步分為安全云基礎(chǔ)設(shè)施服務(wù)、云安全基礎(chǔ)服務(wù)以及云安全應(yīng)用服務(wù)3類。

1)安全云基礎(chǔ)設(shè)施服務(wù)

云基礎(chǔ)設(shè)施服務(wù)為上層云應(yīng)用提供安全的數(shù)據(jù)存儲、計算等IT資源服務(wù)，是整個云計計算體系安全的基石。這里，安全性包含兩個層面的含義：其一是抵擋來自外部黑客的安全手攻擊的能力；其二是證明自己無法破壞用戶數(shù)據(jù)與應(yīng)用的能力。

一方面，云平臺應(yīng)分析傳統(tǒng)計算平臺面臨的安全問題，采取全面嚴(yán)密的安全措施。例如，在物理層考慮廠房安全；在存儲層考慮完整性和文件／日志管理、數(shù)據(jù)加密、備份、災(zāi)難恢復(fù)等；在網(wǎng)絡(luò)層應(yīng)當(dāng)考慮拒絕服務(wù)攻擊、DNS安全、網(wǎng)絡(luò)可達(dá)性、數(shù)據(jù)傳輸機(jī)密性等，

系統(tǒng)層財應(yīng)涵蓋虛擬機(jī)安全、補(bǔ)丁管理、系統(tǒng)用戶身份管理等安全問題，數(shù)據(jù)層包括數(shù)據(jù)庫安全、數(shù)據(jù)的隱私性與訪問控制、數(shù)據(jù)備份與清潔等；應(yīng)用層應(yīng)考慮程序完整性檢驗與漏洞主管理等。

另一方面，云平臺應(yīng)向用戶證明自己具備某種程度的數(shù)據(jù)隱私保護(hù)能力。例如，在計算服務(wù)中證明用戶代碼運(yùn)行在受保護(hù)的內(nèi)存中等。由于用戶安全需求方面存在著差異，云平臺應(yīng)具備提供不同安全等級的云基礎(chǔ)設(shè)施服務(wù)的能力。