3.云計算安全框架

云計算安全是一個交叉領(lǐng)域，涵蓋物理安全到應用安全。在云計算架構(gòu)中安全不僅屬于云提供者的范圍，還關(guān)系到云用戶和其他相關(guān)角色。除安全性外，云提供者還須保護云中的私人信息和個人身份信息的處理、使用、通信和合理的收集。下圖是NIST定義的云計算安全架構(gòu)，按角色分為如下幾類。

云用戶：保護云消費管理、保護云生態(tài)編排、保護功能層。其中，保護云消費管理又可分為四類：保護商業(yè)支持、保護配置、保護便攜性和交互性、保護組織支持。

云提供者：保護云服務(wù)管理、保護云生態(tài)編{{}。 云承載者：保護運輸支持。

云審計者：。保護審計環(huán)境。

云經(jīng)紀人：保護云服務(wù)管理、保護云生態(tài)編排（只對技術(shù)經(jīng)紀人）、保護服務(wù)融合、 保護服務(wù)調(diào)解、保護服務(wù)仲裁。

云計算安全服務(wù)體系由一系列云安全服務(wù)構(gòu)成，是實現(xiàn)云用戶安全目標的重要技術(shù)手段。根據(jù)其所屬層次的不同，云安全服務(wù)可以進一步分為安全云基礎(chǔ)設(shè)施服務(wù)、云安全基礎(chǔ)服務(wù)以及云安全應用服務(wù)3類。

1)安全云基礎(chǔ)設(shè)施服務(wù)

云基礎(chǔ)設(shè)施服務(wù)為上層云應用提供安全的數(shù)據(jù)存儲、計算等IT資源服務(wù)，是整個云計計算體系安全的基石。這里，安全性包含兩個層面的含義：其一是抵擋來自外部黑客的安全手攻擊的能力；其二是證明自己無法破壞用戶數(shù)據(jù)與應用的能力。

一方面，云平臺應分析傳統(tǒng)計算平臺面臨的安全問題，采取全面嚴密的安全措施。例如，在物理層考慮廠房安全；在存儲層考慮完整性和文件／日志管理、數(shù)據(jù)加密、備份、災難恢復等；在網(wǎng)絡(luò)層應當考慮拒絕服務(wù)攻擊、DNS安全、網(wǎng)絡(luò)可達性、數(shù)據(jù)傳輸機密性等，

系統(tǒng)層財應涵蓋虛擬機安全、補丁管理、系統(tǒng)用戶身份管理等安全問題，數(shù)據(jù)層包括數(shù)據(jù)庫安全、數(shù)據(jù)的隱私性與訪問控制、數(shù)據(jù)備份與清潔等；應用層應考慮程序完整性檢驗與漏洞主管理等。

另一方面，云平臺應向用戶證明自己具備某種程度的數(shù)據(jù)隱私保護能力。例如，在計算服務(wù)中證明用戶代碼運行在受保護的內(nèi)存中等。由于用戶安全需求方面存在著差異，云平臺應具備提供不同安全等級的云基礎(chǔ)設(shè)施服務(wù)的能力。