云计算安全

云计算安全（Cloud computing security），有时也简称为“云安全”（Cloud security），是一个演化自电脑安全、网络安全、甚至是更广泛的信息安全的子领域，而且还在持续发展中。云安全是指一套广泛的政策、技术、与布署的控制方法, 以用来保护资料、应用程序、与云计算的基础设施。云安全无法与“基于云”（cloud-based）的安全软件（安全即服务，Security as a Service）混为一谈，后者是如商业软件厂商所提供的基于云的杀毒或弱点管理服务。^[1]

与云相关的安全议题[编辑]

与云计算安全性有关的议题或疑虑^[2]有很多，但总的来说可将其分为两大类：云服务提供商（提供软件即服务、平台即服务、或基础设施即服务的组织）必须面对的安全议题，以及这些供应商的客户必须面对的安全议题。在大部分的情况下, 服务提供商必须确认其云基础设施是安全的，所以客户的资料与应用程序能够被妥善地保护；另一方面，客户必须确认服务提供商已经采取了适当的措施，以保护他们的信息安全。

云安全的面向[编辑]

虽然云安全议题可被分类成各种面向（Gartner 宣称有 7 大安全面向^[3]；Cloud Security Alliance 则指出 13 项安全疑虑^[4]），但这些面向可被归结为 3 大领域^[5]：安全与隐私、规范遵循、以及法律或契约议题。

安全与隐私[编辑]

为了确保资料是安全的（不能被未授权的用户访问，或单纯地丢失），以及资料隐私是有被保护的，云服务提供商必须致力于以下事项：^[5]

资料保护[编辑]

为了妥善保护资料，来自于某一客户的资料必须被适当地与其他客户的资料隔离；资料存储在原来的地方，或是从一个地方移至其它地方，都必须确保它们的安全。云服务提供商必须有相关的系统，以防止资料外泄或被第三方任意访问。适当的职责分权以确保审核与与/或监控不会失效，即便是云服务提供商中有特权的用户也一样。

身份管理[编辑]

每一家企业都有自己用来控管计算资源与信息访问的身份管理系统（英语：Identity management system）。云服务提供商可以用联邦制或SSO技术来集成客户的身份管理系统到其基础设施上，或是提供自己的身份管理方案。

实体与个信息安全全[编辑]

云服务提供商必须确保实体机器有足够的安全防护，并且当访问这些机器中所有与客户相关的资料时，不只会受到限制，而且还要留下访问的记录文件。

可用性[编辑]

云服务提供商必须确保客户可以定期、如预期地访问他们的资料和应用程序。

应用程序安全[编辑]

云服务提供商必须确保透过云所提供的应用程序服务是安全的，外包或包的代码必须通过测试与可用性的验收程序。它还需要在正式营运环境中建立适当的应用层级安全防护（页面存档备份，存于互联网档案馆）措施 (分布式网站应用层级防火墙)。

隐私[编辑]

最后，云服务提供商必须确保所有敏感性资料（如信用卡号码）是被遮罩住的，并且仅允许被授权的用户访问。此外, 包括数字证书和身份识别，以及服务提供商在云中针对客户活动所收集或产生的资料，都必须受到保护。但是以微软为例，微软英国分公司的常务董事Gordon Frazer在Office 365的发表会上坦承，不管位于全球任何地点的云资料，都会因美国爱国者法案（USA PATRIOT Act）的要求而无法受到隐私保护。因为微软的公司总部位于美国，它必须符合地方法律。

规范遵循[编辑]

关于资料的存储与使用有众多的规范，包括Payment Card Industry Data Security Standard（英语：Payment Card Industry Data Security Standard）（PCI DSS）、Health Insurance Portability and Accountability Act（HIPAA）、沙宾法案等。这些规范中有许多都需要定期的回报和审核追踨。云服务提供商必须协助他们的客户可以适当地遵守这些规范。

商业连续性与资料撤销[编辑]

云服务提供商必须有商业连续性（英语：Business continuity planning）与资料撤销（英语：Data recovery）计划，以确保在发生灾害或紧急情况的情况下可以继续提供服务，并且可以撤销任何丢失的资料。这些计划必须和客户分享并可让客户审视。

日志与审核追踪[编辑]

除了产生日志与审核追踪，云服务提供商必须与客户合作，只要客户有需要，就必须确保这些日志与审核追踪会被适当地保全、维护，并当有法庭调查（如EDiscovery（英语：EDiscovery））的需要时能够取用。

独特的规范要求[编辑]

除了顺应客户的需求，由云服务提供商负责维运的数据中心也可能要遵循规范的要求。

法律或契约议题[编辑]

除了遵从上面枚举的安全和规范议题，云服务提供商和客户依照责任来协商订定条款（例如，当有资料丢失的事件发生时该如何协商解决）、知识产权、与服务的终止（何时会将资料和应用程序还给客户）。

公众的记录[编辑]

法律问题可能还包括公务机关对记录保存的要求，许多中间机构必须依法使用特定的方式来保存电子记录。这些可能是由立法单位或法律要求的机构所制定的规则和惯例，公众在使用云计算和云存储时，都必须要考虑到这些议题。

参考资料[编辑]

^ Cloud-based Security Software Directory. Mosaic Security Research. （原始内容存档于2011-07-14）.
^ "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. （原始内容存档于2019-08-31）.
^ Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. （原始内容存档于2014-09-06）.
^ Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04]. ^{[永久失效链接]}
^ ^5.0 ^5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. （原始内容存档于2009-11-24）.

外部链接[编辑]

[1] Cloud-based Security Software Directory. Mosaic Security Research. （原始内容存档于2011-07-14）.

[2] "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. （原始内容存档于2019-08-31）.

[3] Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. （原始内容存档于2014-09-06）.

[4] Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04]. ^{[永久失效链接]}

[forrester-5] 5.0 ^5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. （原始内容存档于2009-11-24）.

[1]

[2]

[3]

[4]

[5]