公共基礎設施雲安全性原則

《雲計算安全：技術與應用》第4章雲計算應用安全防護，本章將依據上一章所闡述的雲計算安全體系及其防護思路，主要從雲計算核心架構安全防護、雲計算網路與系統安全防護、資料與資訊安全， 以及身份管理和安全審計四個層面來系統闡述雲計算應用的安全防護方案，並結合不同雲計算應用特點，分別針對雲服務提供者的公共基礎設施雲以及企業使用者的私有雲提出安全防護策略應用建議。 本節為大家介紹公共基礎設施雲安全性原則。

4.5 雲計算應用安全性原則部署

本章上述內容主要從技術層面系統闡述了雲計算應用的安全防護方案，而對於不同的雲計算應用而言，其在進行安全性原則部署時的側重點也有所不同，本節將以兩種典型的雲計算應用服務--公共基礎設施雲服務和企業私有雲--為例， 對其安全應用策略部署提出建議。

4.5.1 公共基礎設施雲安全性原則

雲服務提供者的公共基礎設施雲主要是基於雲計算平臺的IT基礎設施為使用者提供租用服務，如IDC等。 對於該類雲服務而言，一方面其仍然是基於傳統的IT環境，面臨的安全風險和傳統的IT環境並沒有本質的不同;另一方面，雲服務模式、運營模式和雲計算新技術的引入，給服務提供者帶來了比傳統IT環境更多的安全風險。

對於公共基礎設施雲服務而言，重點需要解決雲計算平臺安全、多租戶模式下的使用者資訊安全隔離、使用者安全管理，以及法律與法規遵從等方面的安全問題。 由於公有雲平臺承載了海量的使用者應用，如何保障雲計算平臺的安全高效運營至關重要。 而在公有雲典型的多租戶應用環境下，能否實現使用者資訊的安全隔離直接關係到使用者的安全隱私能否得到有效保護。 同時法律與法規的遵從也是非常重要的內容，作為雲服務提供者對外提供服務，需要考慮滿足相關法律法規要求。

對於雲服務提供者而言，在當前雲計算服務還處在演進階段，實現全面的安全功能和技術要求並非一蹴而就的，需要結合具體的業務應用發展，循序漸進地開展安全部署和管理工作。 其主要安全部署策略可包括如下內容。

(1)基礎安全防護：建立公共基礎設施雲的安全體系，保障雲計算平臺的基礎安全，主要包括構建涵蓋雲計算平臺基礎網路、主機、管理終端等基礎設施資源的安全防護體系，建設雲平臺自身的使用者管理、身份鑒別和安全審計系統等。 針對一些關鍵應用系統或VIP客戶，可考慮建設容災系統，進一步提升其應對突發安全事件的能力。

(2)資料監管風險規避：目前國際社會對日趨全球化的雲計算服務中的跨境資料存儲、流動和交付的監管政策尚未達成一致，在發生安全事件後如何對造成的損失進行評估及賠償可能存在較多爭議，因此， 雲服務提供者需要在商業合同中的司法管轄權和SLA條款中進行合理設定，並對運營管理制度、業務提供的合規性進行合理規範，以規避不必要的經營風險。

(3)安全增值服務提供：在構建基礎設施層面的安全防護體系的基礎上，為進一步提高使用者的黏性，為使用者提供可選的應用、資料及安全增值服務，提高安全服務的商業價值。 同時為提高使用者對安全性的感知度，可通過安全報表、安全外設等方式實現安全的顯性化。

(責任編輯：蒙遺善)