由于云計算特有的優(yōu)點(diǎn)和巨大的商業(yè)前景,云計算引入移動(dòng)互聯(lián)網(wǎng),會(huì )使移動(dòng)互聯(lián)網(wǎng)的體系發(fā)生變化,并將帶來(lái)許多新的安全問(wèn)題,為了解決云計算模式下的移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題,必須結合移動(dòng)互聯(lián)網(wǎng)技術(shù)的接入方式多樣化、企業(yè)運營(yíng)方式多樣化和用戶(hù)安全需求多樣化的特點(diǎn),根據安全即服務(wù)的思想綜合設計一個(gè)多層次、多級別、彈性、跨平臺和統一用戶(hù)接口的,基于移動(dòng)互聯(lián)網(wǎng)的通用云計算安全技術(shù)體系架構。
從服務(wù)模型的角度,云安全聯(lián)盟提出了基于三種基本云服務(wù)的層次性及其依賴(lài)關(guān)系的安全參考模型,并實(shí)現了從云服務(wù)模型到安全控制模型的映射。該模型的重要特點(diǎn)是供應商所在的等級越低,云服務(wù)用戶(hù)所要承擔的安全能力和管理職責就越多。
移動(dòng)互聯(lián)網(wǎng)下云計算的安全非常重要
從安全協(xié)同的角度,戴爾IT解決方案專(zhuān)家團從數據的物理位置、云相關(guān)技術(shù)和服務(wù)的所有關(guān)系狀態(tài)、應用資源和服務(wù)時(shí)的邊界狀態(tài)、云服務(wù)的運行和管理者4個(gè)影響安全協(xié)同的維度上分類(lèi)16種可能的云計算形態(tài)。不同的云計算形態(tài)具有不同的協(xié)同性、靈活性及其安全風(fēng)險特征。云服務(wù)用戶(hù)需要根據自身的業(yè)務(wù)和安全協(xié)同需求選擇最為合適的云計算形態(tài)。
戴爾IT解決方案專(zhuān)家團表示,移動(dòng)互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構的設計目標有以下6個(gè)方面:確保移動(dòng)互聯(lián)網(wǎng)下的不同用戶(hù)的數據安全和隱私保護;確保云計算平臺虛擬化運行環(huán)境的安全;依據不同的安全需求,提供定制化的安全服務(wù);對運行態(tài)的云計算平臺進(jìn)行風(fēng)險評估和安全監管;確保云計算基礎設施安全、構建可信的云服務(wù);保障用戶(hù)私有數據的完整性和機密性的基礎。
與云計算架構中的軟件即服務(wù)(SaaS)、PaaS和基礎設施即服務(wù)(IaaS) 三個(gè)層次相應,構建云安全應用服務(wù)資源群,包括隱私數據保護、密文數據查詢(xún)、數據完整性驗證、安全事件預警和內容安全服務(wù)等云安全應用服務(wù)。
針對云計算虛擬化的特點(diǎn)還構建了云安全基礎服務(wù)資源群包括虛擬機安全隔離、虛擬機安全監控、虛擬機安全遷移和虛擬機安全鏡像等云安全基礎服務(wù),運用虛擬技術(shù)跨越了不同系統平臺。同時(shí)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構中也包含云安全基礎設施。由于用戶(hù)安全需求方面存在著(zhù)差異,云平臺應具備提供不同安全等級的云基礎設施服務(wù)的能力。
移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構還包含一個(gè)統一的云安全管理平臺,該平臺包含用戶(hù)管理、密鑰管理、授權認證、防火墻、反病毒、安全日志、預警機制和審計管理等子系統。云安全管理平臺縱貫云安全應用服務(wù)、云安全平臺服務(wù)和云安全基礎設施服務(wù)所有層次,對包含不同安全域和具有多個(gè)安全級別的整個(gè)系統的運維安全情況進(jìn)行跨安全域、跨安全級別的綜合管理。
體系架構考慮了移動(dòng)互聯(lián)網(wǎng)環(huán)境下云用戶(hù)的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等,具有統一的云安全應用服務(wù)接口,并提供手機多媒體服務(wù)、手機電子郵件、手機支付、網(wǎng)頁(yè)瀏覽和移動(dòng)搜索等服務(wù),同時(shí)還可以提供隱私數據保護、密文數據查詢(xún)、數據完整性驗證、安全事件預警和內容安全等用戶(hù)可以直接定制的安全服務(wù)。
同時(shí),體系架構還考慮了整個(gè)系統參照云安全標準及測評體系的合規性檢查。云服務(wù)商提供的應用軟件在部署前必須由第三方可信測評機構系統地測試和評估,以確定其在移動(dòng)互聯(lián)網(wǎng)云環(huán)境下的安全風(fēng)險并設立其信任等級,云應用服務(wù)提供商不可自行設定服務(wù)的信任等級,云用戶(hù)就可能預先避免因定制未經(jīng)第三方可信測評機構評估的安全云應用服務(wù)而帶來(lái)的損失。云應用服務(wù)安全等級的測試和評估也給云服務(wù)提供商帶來(lái)準入規范,迫使云服務(wù)提供商提高云服務(wù)的服務(wù)質(zhì)量和安全意識。
戴爾IT解決方案專(zhuān)家團建議,構建移動(dòng)互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構提供給用戶(hù)云服務(wù)的安全級別可以適用用戶(hù)需求的差異化,還可以無(wú)縫融合不同的操作系統和異構的網(wǎng)絡(luò )體系,給不同接入方式終端用戶(hù)帶來(lái)統一的操作模式。
