云计算安全技术.docx

云计算安全技术

1、云计算安全审计

云计算安全审计是保障云计算应用安全的有效手段之一，它能够将云上业务运营状态及风险进行充分的检验和评审，识别与云计算应用相关的安全漏洞和风险，预防和发现可能出现的安全隐患，保护云上重要数据资产的安全。云计算安全审计工作可以手动执行，也可以借助自动化工具执行。这类工具多用于识别和修复漏洞、监控安全策略合规情况，并跟踪云环境出现的变化。常用的云计算安全审计工具有：AstraPentest、Prowler、DowJonesHammer、ScoutSuite和CloudSploitScans。

2、标识与鉴别技术

标识是区别实体身份的方法，用户标识通常由用户名和用户标识符（UserIdentification，UID）表示，设备标识通常由设备名和设备号表示。用户标识确保系统中标识用户的唯一性，这种唯一性要求在信息系统的整个生存周期中起作用，从而支持系统安全事件的可审计性；设备标识确保连接到系统中的设备的可管理性。鉴别是确认实体真实性的方法。用户鉴别用来确认试图进入系统的用户身份的真实性，防止攻击者假冒合法用户进入系统；设备鉴别用来确认接入系统的设备身份的真实性，防止设备的非法接入。

鉴别的主要特点有鉴别信息的不可见性和难以伪造。常见的鉴别技术有口令鉴别、生物特征鉴别、数字证书鉴别等。

3、访问控制技术

访问控制技术是通过对信息系统中主、客体之间的访问关系进行控制，实现对主体行为进行限制、对客体安全性进行保护的技术。访问控制是以授权管理为基础实现的。由系统按照统一的规则进行授权管理所实现的访问控制称为强制访问控制；由用户按照个人意愿自主进行授权管理所实现的访问控制称为自主访问控制。基于角色的访问控制是实现必威体育官网网址性保护和完整性保护的安全策略。强制访问控制通常需要按照最小授权原则，对系统管理员、系统安全员和系统审计员的权限进行合理的分配和严格的管理。

4、数据加密与隐私保护

数据加密的个人隐私保护是计算机系统对敏感信息进行保护的一种可靠方法，数据加密的作用是防止入侵者窃取或者篡改重要的数据。数据加密技术能保证最终数据的准确性和安全性，但计算开销比较大，加密并不能防止数据流向外部，因此，加密自身不能完全解决数据隐私保护的问题。数据加密算法是隐私保护的一项关键技术，数据时代的研究重点将集中在对已有算法的完善，综合使用对称加密算法和非对称加密算法。

云安全联盟在其《云计算关键领域安全指南》中建议敏感数据应该：加密以确保数据隐私，使用认可的算法和较长的随机密钥；先进行加密，再从企业传输到云服务提供商；无论在传输中、静态时还是使用中，都应该保持加密；云服务提供商及其工作人员根本无法获得解密密钥。

5、数据安全隔离技术

数据安全隔离技术是DSA（DataSecurityArea，数据安全区域）源代码防泄密的核心。其通过网络加密、存储隔离、端口隔离及磁盘加密，形成完整的四重底层安全机制。该安全机制在客观上形成了以加密子网为边界的、彻底实现物理隔离的坚实的安全基础。

数据安全隔离技术如下：

（1）网络加密

安全区网络加密，形成加密子网，非安全区无法接入。

（2）存储隔离

安全区存储隔离，数据只能存储在安全区内，非安全区无法保存。

（3）端口隔离

安全区端口隔离，U盘等数据只能拷进安全区，但安全区数据无法拷出。

（4）磁盘加密

安全区磁盘加密，只能在安全区内正常加载使用，非安全区无法读取。

6、多租户技术

多租户技术（Multi-TenancyTechnology）或称多重租赁技术，是一种软件架构技术，它探讨与实现如何在多用户的环境下共用相同的系统或程序组件，仍可确保各用户间数据的隔离性。多租户技术的实现重点，在于不同租户间应用程序环境的隔离以及数据的隔离，以维持不同租户间应用程序不会相互干扰，同时增强了数据的必威体育官网网址性。

多租户即多个租户共用一个实例，租户的数据既有隔离又有共享，从而解决数据存储的问题。从架构层面来分析，SaaS与传统技术的重要区别就是多租户模式。SaaS的多租户模式在数据存储上存在3种主要方案。

共享数据库，共享数据架构

所有的软件系统客户共享相同的数据库实例以及相同的数据库表。

（2）共享数据库，隔离数据架构

软件系统客户共享相同的数据库实例，但是每个客户单独拥有自己的由一系列数据库表组成的架构。

（3）独立数据库

每个软件系统客户单独拥有自己的数据库实例。

7、网络隔离技术

网络隔离技术是指两个或两个以上的计算机或网络在断开连接的基础上，实现信息交换和资源共享。也就是说，通过网络隔离技术既可以使两个网络实现物理上的隔离，又能在安全的网络环境下进行数据交换。网络隔离技术的主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内进行安全交互。目前，一般的网络隔离