云计算平台由于其特殊性，其对外提供服务和应用都需要提供API，系统或第三方软件漏洞在作用于多租户、多业务、多种数据类型的云计算环境时，其产生的危害和影响远比传统安全事件要大的多。

一、 云计算环境下的安全风险

1. 云服务不可信带来的安全风险

云计算环境下的安全风险，站在客户角度，首要考虑的就是其所使用的云服务是否可信，云计算环境下，客户将自己的数据和业务系统迁移到云计算平台上，失去了对这些数据和业务的直接控制能力，而云服务商具备云平台的最高管理权限，从而也具备客户数据和业务的直接控制权，并且客户业务在运行过程中生成、获取的数据都处于云服务商的控制下。云计算服务模式的采用消弱了客户对数据和业务的所有权。这个是作为云计算客户最担心的问题。安全责任的归属风险

云计算环境下有几个主要的角色，它们之间的关系是密不可分的，包括云服务商、云服务客户、第三方的服务机构、监管机构等，而本文所讲的安全责任主要是说云服务商和云服务客户所应该承担的安全责任，在云计算模式下，整个云计算环境有客户业务、数据，以及承载这些业务和数据的云计算平台组成，业务和数据是客户的，而云计算平台则是由云服务商负责的，这就导致云计算平台的管理和运行主体与业务、数据的安全责任主体不同，一旦出了安全事件之后，究竟是客户的业务问题所致还是云服务商内部运维管理人员中出了内鬼？很难说清楚。更何况云计算有多种服务模式，比如最基本的IaaS、PaaS和SaaS服务，用户租用的云服务商A的PaaS服务，其平台本身可能使用了云服务商B的IaaS服务，又引入一个新的服务商角色，这个新的服务商角色也应该承担一定的安全责任，云计算环境中的角色关系越复杂，其安全责任的界定也就越困难。

2. 数据残留风险及虚拟化安全风险

存储客户数据的存储介质由云服务商拥有，客户不能直接管理和控制存储介质。当客户退出云计算服务时，云服务商应该完全删除客户的数据，包括备份数据和运行过程中产生的客户相关数据。目前，还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作，客户退出云计算服务后其数据可能仍然完整保存或残留在云计算平台上。

在云计算环境中，有多种不同的虚拟化管理组件，比如虚拟机监视器、网络策略控制器，存储控制器等等，这些都是实现多租户共享硬件并隔离业务和数据的核心组件，一旦这些虚拟化管理软件类的漏洞被恶意人员所利用，那么所有的租户就没有安全可言了。

3. 多租户模式带来的安全风险

在多租户的云计算环境里，由于云平台的深度开放，平台上租户种类繁杂，可能会包含一些心怀不轨的恶意租户，也可能由于租户间的利益竞争关系，导致云计算资源的滥用、租户间的攻击成为可能，多租户的隔离技术势必经受更为艰难的安全挑战。

这些安全风险一方面提醒云服务商，在管理上和技术上应该注意这些风险，另一方面是针对云租户，要规范自己的使用行为，所以国家发布“云计算服务安全能力要求”和“云计算服务安全指南”两个国家标准来规范云服务商和云服务客户。云计算服务安全能力要求规定了拟提供云计算服务的云服务商应履行的安全责任和义务，并且要求在提供云服务之前通过安全审查；云计算服务安全指南提出了政府部门（云服务客户）采用云计算服务的安全管理要求和技术要求。

二、 云计算安全风险的应对措施

根据之前所提云计算环境中面临的主要安全威胁，无论是作为云计算基础设施供应商，还是云计算服务商，都应重点通过以下措施增强云计算环境的安全防护能力。

1. 选择可信的云服务商

云服务客户在拟向云计算平台迁移或部属其业务和数据时，应选择通过第三方安全审查机构审查的云服务商，确保其具备云计算安全服务能力的要求。同时，云服务客户应制定相关的技术方案，明确安全责任边界及基于风险分析基础之上的安全计划和控制策略，从物理和环境安全、设备和计算安全、网络和通信安全、应用和数据安全及数据备份恢复等方面向云服务商提出具体要求，并签署相关协议，用于约束云服务商规范其服务。

云服务商应具备完备的云计算服务安全管理制度及相关安全策略、规程等文档，确保其定义的云服务相关人员已经接收并严格按照相关策略和规程执行云服务的管理和运维工作。云服务商在对云计算平台进行管理或对客户资产进行故障诊断、技术支持、远程操作或管理时应严格限制管理员的管理权限，按职能划分系统管理员、网络管理员、安全管理员及审计员等，明确各管理员的岗位职责和作业流程。需要远程管理时，应限制权限，并进行审计，防止内部管理运维人员滥用客户数据。对客户定制培训计划并提供定期的培训，培训内容至少包括数据维护、系统维护和安全事件处理等，为租户制定应急预案及安全事件处置响应计划，对数据的使用进行实时的监测及审计，提供云计算服务的安全责任书面承诺，尤其对云服务客户数据的存储范围做出明确要求，说明信息系统、数据、管理员的账号密码的处理过程及安全要求。

特别需要注意的是，云服务客户应对拟迁移至云计算平台的应用系统的敏感度和业务重要性进行分析和评估，按照应用系统敏感度和业务重要性要求云服务商提供相应的安全防护能力，涉密数据应避免迁移至云平台。

2. 明晰安全责任

云计算环境的安全性由云服务商和客户共同承担，这是云计算环境下的两大安全责任主体。云计算根据服务模式可以分为：软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）。不同服务模式下云服务商和客户对计算资源的控制范围不同，控制范围则决定了安全责任的边界。

图1：服务模式与安全责任控制范围

如图1所示，图中两侧的箭头表示云服务商和客户的控制范围，具体为：

● 在SaaS模式下，用户承担客户端安全相关责任；云服务商承担服务端安全责任；

● 在PaaS模式下，用户承担自己开发和部署的应用及其运行环境的安全责任，其他安全由云服务商负责；

● 在IaaS模式下，用户负责分配到的虚拟网络安全，自己部署的操作系统、运行环境和应用的安全，对这些资源的操作、更新、配置的安全和可靠性负责。云服务商负责虚拟化计算资源层及底层资源的安全。

云计算的设施层（物理环境）、硬件层（物理设备）、资源抽象和控制层都处于云服务商的完全控制下，所有安全责任由云服务商承担。应用软件层、软件平台层、虚拟化计算资源层的安全责任责则由双方共同承担，越靠近底层（即IaaS）的云计算服务，客户的管理和安全责任越大；反之，云服务商的管理和安全责任越大。

考虑到云服务商可能还需要其他组织提供的服务，如SaaS或PaaS服务提供商可能依赖于IaaS服务提供商的基础资源服务。在这种情况下，一些安全措施由其他组织提供。

因此，云计算安全措施的实施责任有四类，如表1所示。

表1 云计算安全措施的实施责任

3. 数据残留及虚拟化安全风险对策

对于数据残留风险，云服务商应与客户签署书面协议，明确终止服务后，对租户的信息系统、数据的处置流程，既要防止用户数据及在运行过程中产生的业务数据造客体重用。而对于虚拟化技术带来的安全风险，首要工作就是及时升级系统和补丁，可订阅虚拟化厂商更新邮件，以及时获悉更新动态，对于管理多租户、多虚拟机镜像库的云服务商而言，可使用虚拟机厂商专有的管理产品设法实现大部分工作的自动化，实现快速的更新部署并减轻工作负担。除此之外，云服务商提供给客户虚拟机前要事先了解清楚客户需求，在满足需求的基础上仅安装必须的程序和组件，并关闭不使用的服务和端口。

对于虚拟机的安全防护，由于虚拟机之间直接交换流量无法通过外部安全设备进行检测，因此不少安全厂商提出在服务器内部部署虚拟机安全软件实现安全检测的方案，通过对虚拟机开放的API接口的调用，将所有虚拟机之间的流量在进入VSwitch之前，先引入到虚拟机安全软件进行检查，将不同的虚拟机划分到不同的安全域，并配置各种安全域间隔离互访策略，甚至有些厂商还在虚拟机安全软件中集成IPS深度报文检测技术，判断虚拟机之间是否存在攻击流量。这种方式虽然部署简单，但需要为每个服务器预留一部分资源来安装和运行该软件，服务器流量越大，软件集成的安全功能越多，对系统资源的占用也就越大，造成资源的浪费。所以，新华三在一开始就一直坚持通过引流或重定向技术来实现虚拟机之间流量的安全过滤，比如新华三的安全服务链技术，就是将流量先引入到专业的安全设备进行深度报文检查，由安全策略配置决定是否允许/拒绝其访问。这种实现方式的优点在于外置硬件安全设备的高性能，在不占用服务器资源的前提下，可以使用较少的安全设备实现大流量的安全检测能力。

4. 采用VPC技术实现租户的安全隔离

对于多租户模式带来的安全风险，最有效的应对措施就是将云平台上的多租户从逻辑上隔离开来，有些厂商提出了VPN+安全组的方式，这样可以使各安全组之间有效地隔离，但安全组的本质就是大家所熟知的Vlan，但这种方式不能再进行网段的细化，所以必须要再有一个逻辑网络提供给租户，然后租户再使用安全组的方式来隔离不同的业务系统，因此新华三提出的是虚拟专有云（VPC）的概念，使用VPN+VXlan技术帮助客户构建出一个隔离的网络环境，客户可以完全掌控自己的虚拟网络，包括访问控制策略的制定、网段的划分、路由和网关的配置等。

图2：租户VPC安全隔离方案

图2是新华三云实现多租户隔离的典型部署方式，在云计算平台上通过网络功能虚拟化（NFV）为每个租户分配独立的虚拟路由器（VRF）、虚拟防火墙（VFW）、虚拟入侵检测（VIPS）等设备，不同的VXlan用于实现不同租户的隔离，若租户迁移到云计算平台的是多个业务系统，可在VXlan网络的基础之上再进行Vlan的划分，从而实现内部业务系统之间的隔离，有些特殊场景比如租户不同等级保护级别的业务系统有特殊的隔离需求，那么也可以为该租户分配不同的VXlan来实现不同安全级别系统的隔离。

结束语

随着云计算的快速发展，业务逐步上云，安全问题无法避免，因此无论是对于云计算平台的服务提供商，还是作为专业的安全厂商，都应持续关注新兴攻击技术和防护措施的演进趋势，明确来自多方面的安全需求，利用现有的、成熟的安全控制措施，结合云计算的特点和新技术进行综合考虑和设计，以满足风险管理要求、合规性要求，保障和促进云计算业务的发展和运行。