在云计算的三种模型中(IaaS,PaaS,SaaS),集成的特色功能、复杂性与开放性(可增强性)以及安全等方面各有不同,总体来说云服务提供商所在的等级越低(IaaS最低,SaaS最高),云服务用户自己所要承担的安全能力和管理职责就越多。
IaaS几乎不提供应用相关的特色功能,但却有极大地“可扩展性”.
因此IaaS在除了保护基础设施自身之外的安全保护能力和功能更少。IaaS模型要求云用户自己管理和安全保护操作系统、应用和内容。
IaaS涵盖了从机房设备到其中的硬件平台等所有的基础设施资源层面。IaaS层的安全,并由于物理资产由运营商提供并且在运营商机房,客户的信息承载的资产在物理上失去控制,数据迁移到服务提供商的云平台,以及,IaaS采用虚拟化技术,提供多租户服务,诸多客户共享基础设施,因此产生了一些新的安全问题:
1.接入认证安全。自服务门户的密码是否会被他人获取,从而控制客户的虚拟主机。OS的远程桌面是否有人可以非法进入或盗取密码进入客户系统,应该要求做到身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码控制、资源控制等。
2.传输安全。在用户访问自己资源的时候,是否能保证数据不被恶意监听?
3.数据安全。虚拟化下的多租户环境是否会导致数据泄露。
4.服务商安全管理问题。是否有法规约束服务提供商的管理行为。运营商的服务人员是否会非法进入客户的系统,获取客户的数据?
同样在系统稳定性和可用性方面,客户也会有这样的担心:
1、系统可靠性问题。IaaS平台是否能保证不间断服务?平台是否有备份措施?网络是否能保证连通性?
2、系统性能。IaaS处理性能是否足够?网络带宽是否足够,能保证使用体验?
3、虚机间干扰。其他虚机用户的问题是否会影响我的主机?比如病毒、DDOS攻击,比如病毒或广播风暴……
产生这些问题的根本原因是:网络远程访问、虚拟化、多租户以及运行在非客户自己资产。网络远程访问就会带来传输安全、接入认证、接入可靠性等问题,虚拟化、多租户带来性能保障、互相影响、互相隔离的问题,运行在非客户自有资产就带来了第三方服务人员的权限问题等管理问题。
当然,使用IaaS云对安全问题同样有有利的一面,特别是针对中小企业。由于集约化经营,使安全更专业,安全安成本低。主要体现在以下几个方面:
1、专业技术人员和安全专家。
IaaS基础设施运营商,有安全专家和可以专业安全维护队伍。对中小企业而言,很难建立安全队伍,更不用说安全专家。一方面安全专家代价高,另外一方面安全方面靠一两个人很难做的很好。
2、集中的补丁和分发机制。
IaaS基础设施运营商可以对所有的资源池客户提供补丁监控和补丁分发机制,可以及时知道业界发布的新的安全补丁,并及时下发到各客户机上面。而中小企业很难做到这一点。
3、更完备的动态可调度的安全资源。
IaaS基础设施可以调用虚拟防火墙、DDOS清洗设备、IDP等设施,而中小企业全部去部署这些设备也不太现实。
4、规模化经营,可以降低安全成本。
上述的人员、安全机制、安全设备都通过复用、规模化经营可以大大降低每个用户的平均成本,可以让每个企业承担的起。
要使客户能够接受IaaS云服务模式,就必须解决安全上存在的问题,打消客户顾虑,使客户放心的把系统迁移到运营商的IaaS平台上来。
