简介： 企业和政府机构常常因为经济原因将数据中心的运营工作转移到云环境中，无论他们是否愿意这样做；他们不喜欢将数据放在云中是因为担心云环境的可靠性和安全性。为了帮助减轻对业务安全性的担忧，应该制定相应的云安全策略。在本文中，作者解释如何了制定用来管理用户、保护数据和保护虚拟机的云安全策略。

精心制定的安全策略应该描述云计算服务的使用者和提供者应该做什么；它可以让提供者减少很多管理时间。

安全策略受到四个方面的影响：

• 提供者提供什么类型的云服务：软件即服务 (SaaS)、平台即服务 (PaaS) 或基础架构即服务 (IaaS)。
• 它是公共的还是私有的。
• 使用者对操作系统、硬件和软件的控制能力水平。
• 如何对每个云服务应用用户、资源和数据请求阈值策略。

可能影响策略的其他因素包括：

• 为了让内部应用程序在云中顺利安全地运行，做了哪些前瞻式应用程序修改。
• 提供商是在位于组织控制的数据中心内部，还是由电信行业的成员托管在外部。
• 使用者代表的行业类型是否非常广泛，比如零售、能源和公共事业、金融市场、医疗保健、化学或石油。

为了让使用者能够审查安全策略，所有提供商都应该向使用者提供安全策略（以及阈值策略）的副本。提供商应该鼓励使用者提出问题，在使用者租用或预订云服务类型之前，可能需要解决这些问题或就这些问题进行协商。

本文首先介绍每个云类型的安全重点，以及如何使用检查表开始编写策略，提供用途、范围、背景、措施和约束的示例。

安全性的主要关注点是什么？

云安全策略主要关注用户管理、数据保护和虚拟机保护。对于云交付模型，使用者对部署的应用程序、操作系统、硬件、软件、存储和网络的控制能力不同，这会影响云安全策略。

现在请观看下面三幕短剧。

第一幕：使用 SaaS 管理访问

在第一幕中，SaaS 安全策略的重点是管理对租赁给使用者的应用程序的访问，无论使用者是个人、企业还是政府机构。管理访问可以降低身份盗窃或假冒所带来的风险。

下面是影响 SaaS 安全关注点的一些控制变量：

• SaaS 最终用户：最终用户拥有的唯一控制能力是从桌面、笔记本电脑或移动设备访问提供商的应用程序。
• SaaS 提供商：提供商至少要控制操作系统、硬件、网络基础架构、应用程序升级和补丁。提供商设置用户阈值水平。

第二幕：使用 PaaS 保护数据

在第二幕中，PaaS 安全策略的重点是保护数据，此外，还负责管理对应用程序的访问。数据保护包括降低僵尸网络 (botnet) 使用 PaaS 作为命令和控制中心直接安装恶意应用程序的风险。

下面是影响 PaaS 安全关注点的一些控制变量：

• PaaS 应用程序开发人员：开发人员控制整个业务生命周期中由独立软件厂商、创业企业或大企业的部门创建和托管的所有应用程序。开发人员构建、部署并运行业务应用程序（比如定制的零售管理应用程序），管理应用程序的所有功能的升级和补丁。在生命周期中，开发人员可以使用电子表格、文字处理器、备份、帐单、薪水册和发票。
• PaaS 提供商：提供商至少要控制操作系统、硬件、网络基础架构和资源管理。提供商设置用户、资源和数据请求阈值水平。

第三幕：使用 IaaS 管理虚拟机

在最后一幕中，IaaS 安全策略的关注重点是管理虚拟机，此外，还负责保护数据并管理用户对虚拟机底层的传统计算资源基础架构的访问。管理虚拟机包括降低僵尸网络使用 IaaS 作为命令和控制中心来直接恶意更新虚拟基础架构的风险。影响 IaaS 安全关注点的一些控制变量包括：

• IaaS 基础架构和网络专家：专家控制虚拟机级上的操作系统、网络设备和部署的应用程序。基础架构专家可以垂直扩展或收缩虚拟服务器或存储区域块。
• IaaS 提供商：提供商至少要控制云环境中传统计算资源的基础架构。提供商设置用户、资源和数据请求阈值水平。

检查表

您是否不知道从哪里开始？不用担心；我会提供一个检查表，指出在安全策略中应该包含什么。只要做好了安全准备工作，就可以防止东西丢失。

在这个简化的场景中，检查表项如下所示：

• 用途：它的用途是什么？我很好奇。
• 范围：不要超过边界。
• 背景：希望了解更多信息吗？
• 措施：准备好了吗？动手吧！
• 约束：遵守它们。

用途：它的用途是什么？我很好奇

简要陈述安全策略的作用。可以通过下面的模板体会如何陈述安全策略的用途：

安全策略的用途是降低因为安装云服务时安装了恶意应用程序而导致的风险急剧增加：

• 最初通过资源阈值策略设置资源阈值水平。水平异常高表明有恶意的资源实例，这可能会导致服务水平协议 (SLA) 中声明的所担保服务可用性水平的下降。可以考虑使用的风险降低工具是对资源实例进行阈值水平监视。
• 最初通过用户阈值策略设置最高水平（基于对用户许可证的限制）。当最高水平超过用户限制时，说明有黑客或心怀不满的职员在未经授权的情况下成为了授权用户。可以考虑使用的风险降低工具是对用户访问进行个人背景检查和撤消。
• 最初通过数据请求阈值策略设置数据请求阈值水平。阈值水平异常高可能导致数据请求在队列中堵塞，造成网络延时很高。可以考虑使用的风险降低工具是对数据请求进行阈值水平监视。

范围：请在策略的周围划出边界

通过在安全策略的周围 “划出” 边界来定义范围。在安全策略边界内，指定由提供商托管并由使用者租用和预订的云服务类型、应用的阈值策略以及应用安全策略的方式。

例如，如果一个提供商托管所有三种云服务，则需要声明：

• 最终用户是否在用户阈值策略设置的阈值水平内租用了特定的应用程序。
• 应用程序开发人员是否只通过租用 PaaS 来定制 PaaS 上运行的特定 SaaS 应用程序或更改其参数，PaaS 是否在所设置的用户、资源和数据请求策略阈值范围内。
• 应用程序开发人员及其 SaaS 用户是否可以预订 PaaS 上共同托管的 SaaS 应用程序，他们是否受到所有三种阈值水平的限制。
• 基础架构和网络专家是否通过租用 IaaS 构建虚拟基础架构环境并在 IaaS 上运行 PaaS，他们是否受到所有三种阈值水平的限制。

对于上面的四个场景，提供商需要查明使用者是否在限制内（遵守访问控制、数据保护和虚拟机管理的安全策略条款）。如果使用者在同意遵守条款之后超出了限制，那么该使用者存在违反策略的风险。对于这种情况，提供商必须明确指出不遵守条款的后果，以确保使用者不会违反限制。

下面是在声明范围时可以使用的模板：

本策略适用于所有 SaaS 最终用户、PaaS 应用程序开发人员以及 IaaS 基础架构和网络架构师。他们必须接受这个安全策略的所有规定，同意遵守访问控制、数据保护和虚拟机管理方面的所有条款和条件。任何最终用户、开发人员和网络架构师如果违反本策略以及相关的阈值策略、IT 策略和规定，提供商均可限制或禁止其使用服务。

背景：了解策略背后的东西

使用者首先希望了解的是，这个提供商是内部的还是外部的，提供商和使用者之间控制管理的边界是什么（例如 SaaS 最终用户只有最少的控制能力），提供商如何管理访问控制、提供数据保护、管理虚拟机和应对云安全攻击或事件。

接下来，使用者希望了解 SaaS、PaaS 和 IaaS 用户、资源和数据请求安全策略的安全关注重点是什么。使用者可能还希望了解阈值水平与服务水平协议 (SLA) 中保证的服务可用性水平之间的关系。

在圣诞节购物高峰期间（请参阅 在云上构建积极的阀值策略），使用者会发现资源实例冲到了阈值水平以上，导致系统创建更多资源实例来平衡云中急剧增加的工作负载需求。这需要增加用户、数据请求和资源。

然后，使用者看到，意外的系统问题会导致用户、资源和数据请求的阈值水平不再符合阈值策略中建立的最初设置，从而导致性能下降。或者，使用者在处理业务任务或开发应用程序期间遇到了云（和阈值水平）崩溃或攻击；过了很久才发现僵尸网络使用云作为命令和控制中心来直接安装恶意应用程序，但此时想补救为时已晚。

在出现这两种情况时，使用者希望了解安全策略是如何解决恢复系统（和阈值水平）的问题，以及用多长时间能够得到 SLA 中所声明的信用、自由时间或终止权。

可以通过下面的模板了解安全策略中应该包含什么。

这个云服务提供商由 IBM?（电信行业的成员）托管在外部。

如果工作负载请求、用户和数据请求的高峰值超过了阈值水平，则会导致系统性能在 30 天内无法达到所保证的可用性水平，而提供商必须按 SLA 中的设置向使用者提供信用、自由时间或终止服务的权力。提供商必须告诉使用者阈值和安全策略出现异常或受到约束。

用户许可证包含三方面的最大限制：

• 当前访问应用程序的用户数
• 分配给每个用户的资源实例数
• 在工作负载请求高峰期间用户可以处理的数据请求数

措施：准备动手

下面是 10 个有助于让使用者满意的措施：

• 措施 #1.把安全策略的副本发送给使用者，让使用者在签订云服务合约之前审查并解决疑问。
• 措施 #2.在 SaaS 用户许可证中规定并发用户数、这些用户的资源实例数和每个用户可以处理的数据请求数的最大限制。
• 措施 #3.引用资源、用户和数据请求阈值策略和用于保证服务可用性水平的每个策略中的阈值水平。
• 措施 #4.如果对在数据中心开发的应用程序进行有计划的前瞻式行为修改，从而替换当前在 SaaS 云中运行的应用程序，应该通知使用者。
• 措施 #5.指出是全天都可以进行云访问，还是只在正常工作时间提供云访问。
• 措施 #6.允许 PaaS 应用程序开发人员及其 SaaS 用户预订共同驻留的 SaaS 应用程序。
• 措施 #7.要求对所有潜在的云用户进行背景检查，然后再向他们授予访问云的权力。背景检查的深度取决于云服务的类型、云是公共的还是私有的以及潜在用户代表的行业。
• 措施 #8.要求对批准的云用户进行安全意识以及数据的分类和处理方面的培训。
• 措施 #9.在给云用户（尤其是 PaaS 用户）分配角色时，要求在角色之间明确地划分职责。
• 措施 #10.在对用户访问管理、数据保护技术和虚拟机进行有计划的维护或升级时，应该提前通知使用者。

下面是可以使用一些模板：

安全培训：要求对批准的云用户进行安全意识以及数据的分类和处理方面的培训，提供商在这方面设置最低需求。

有计划的维护：提供商安排对用户访问管理、数据保护技术和虚拟机的维护计划，包括升级。

服务可用性：提供商决定在正常工作时间云访问的可用性。

服务共同托管：提供商设置在 PaaS 上共同托管 SaaS 应用程序的需求。

用户阈值策略：提供商在可以同时访问的最大用户数量之下设置用户阈值水平。策略必须声明并发用户数量与用户可用的资源实例数量成比例，它是安全策略的组成部分。

背景检查：提供商设置对潜在云用户进行背景检查的需求。

SaaS 用户许可证：提供商设置以下方面的最大限制：

• 可以同时访问应用程序的用户数量。
• 用户可以用来访问和运行应用程序的资源实例数量。
• 用户使用可用的资源实例可以同时发送和接收的数据请求数量。

约束：遵守它们

很可能有一些约束，比如：

根据由组织分配给使用者的角色，不同的使用者组具有不同的服务优先级。在访问 SaaS 应用程序时，与没有管理特权的最终用户相比，拥有管理特权的最终用户具有更高的优先级。

管理治理组变动。为了反映变动，要更新安全策略、阈值策略和 SLA。

对于某一云服务类型，可能出现的服务异常。例如，不在提供商直接控制下的光纤断裂事故，安排的维护（计划内和计划外）和安排的前瞻式应用程序行为升级。

对不遵守安全策略的条款和条件的处罚。指定不遵守安全策略和 IT 策略规定的后果。

下面是可以使用的一些模板。

在访问许可的应用程序时，担任用户许可证管理员的 SaaS 最终用户拥有比其他最终用户更高的优先级。

由于最近的组织变动，策略治理组从 FGH 部门转到了 RST 部门，所以要求更新安全策略、阈值策略和 SLA。

服务异常当前包括：

• 安排的前瞻式应用程序行为的修改或升级。
• 僵尸网络对提供商的主机的攻击。
• 提供商安排的维护。
• 提供商在 7AM 到 6PM 之间正常提供服务，在 8PM 到 11PM 之间提供有限的服务可用性。

结束语

制定安全策略需要提前进行计划，解决应该如何声明策略的用途、范围和背景的问题。开发人员应该与云服务使用者和提供商进行交流，了解使用者应该有多大控制能力、提供商应该采取什么措施以及对策略有什么约束。最重要的是，使用者应该从提供商那里得到安全策略（以及阈值策略）的副本，以便在与提供商谈判之前审查并解决疑问。

参考资料

学习

作者在文章 "在云环境中平衡工作负载"、"云计算与网格计算" 和 "在云上构建积极的阀值策略" 中讨论了阈值策略。

作者在文章 "改变应用程序行为：从内部转到云上" 中讨论了在将应用程序迁移到云环境中时更改应用程序的前瞻式与反应式方法。

作者在文章 "云服务：降低风险，保持可用性" 中讨论了云服务的安全性，以及如何降低云服务的风险以确保高可用性。

在 developerWorks 云开发人员参考资料 中，寻找应用程序和服务开发人员构建云部署项目的知识和经验，并分享自己的经验。

可以在 developerWorks 上的 developerWorks 中国网站 SOA and Web services 技术专区 和 industries 区域中找到与本文相互补充的更多 developerWorks 参考资料。

后续研究：了解如何访问 IBM SmartCloud Enterprise。

加入云计算讨论组，了解和讨论云计算的最新技术、解决方案、趋势等内容。