云计算IaaS环境下的公共安全防护模型分析(2)

2 SaaS(安全即服务)的主要内容

2.1 IaaS环境下的公共安全防护

IaaS的服务提供商需要对IaaS环境提供一些基础的公共安全保障，服务商需要对用户的数据安全或应用安全提供一定程度的安全保证，甚至签署SLA协议。这些公共的安全防护包括以下几个方面：

基础网络安全保障

对于云计算服务商而言，在其将网络、存储、计算和带宽等资源统一打包租给用户时，这些基础物理设施的安全防护是需要重点保证的，也应该是SLA内容的一部分。包括基本的物理环境安全防护;交换机设备安全特性的开启以防止诸如ARP攻击和MAC地址攻击等L2层网络安全攻击;云服务商互联网出口的基础安全防护以及针对DDoS的攻击防护，特别是对于DDoS攻击服务，单纯的基于用户进行防护并不能起到很好的效果，云计算服务商需要将这些危害到基础设施基础安全的风险统一考虑。

用户自助服务管理平台的访问安全

用户需要登录到运营商的云服务管理平台，进行自身的管理操作，如设置基础的安全防护策略，针对关键服务器的访问权限控制，用户身份认证加密协议配置，虚拟机的资源配置、管理员权限配置及日志配置的自动化。这些部署流程应该被迁移到自服务模型并为用户所利用。在这种情况下，云计算服务商本身需要对租户的这种自服务操作进行用户身份认证确认，用户策略的保密、不同租户之间的配置安全隔离以及用户关键安全事件的日志记录以便后续可以进行问题跟踪溯源。

服务器虚拟化的安全

在服务器虚拟化的过程中，单台的物理服务器本身可能被虚化成多个虚拟机并提供给多个不同的租户，这些虚拟机可以认为是共享的基础设施，部分组件如CPU、缓存等对于该系统的使用者而言并不是完全隔离的。此时任何一个租户的虚拟机漏洞被黑客利用将导致整个物理服务器的全部虚拟机不能正常工作，同时，针对全部虚拟机的管理平台，一旦管理软件的安全漏洞被利用将可能导致整个云计算的服务器资源被攻击从而造成云计算环境的瘫痪。针对这类型公用基础设施的安全需要部署防护。

内部人员的安全培训和行为审计

为了保证用户的数据安全，云服务商必须要对用户的数据安全进行相应的SLA保证。同时必须在技术和管理两个角度对内部数据操作人员进行安全培训。一方面通过制定严格的安全制度要求内部人员恪守用户数据安全，另一方面，需要通过技术手段，将内部人员的安全操作日志、安全事件日志、修改管理日志、用户授权访问日志等进行持续的安全监控，确保安全事件发生后可以做到有迹可寻。

和通常意义上的SaaS(软件即服务)不同，本文所谈的SaaS(安全即服务)，是将安全作为一种增值服务提供给用户，尤其是在IaaS环境下，安全将和基础的计算、存储资源一样，用户可以根据自身需要灵活选择。(责任编辑：admin)