3.云計算安全框架

云計算安全是一個交叉領域，涵蓋物理安全到應用安全。在云計算架構中安全不僅屬于云提供者的范圍，還關系到云用戶和其他相關角色。除安全性外，云提供者還須保護云中的私人信息和個人身份信息的處理、使用、通信和合理的收集。下圖是NIST定義的云計算安全架構，按角色分為如下幾類。

云用戶：保護云消費管理、保護云生態編排、保護功能層。其中，保護云消費管理又可分為四類：保護商業支持、保護配置、保護便攜性和交互性、保護組織支持。

云提供者：保護云服務管理、保護云生態編{{}。 云承載者：保護運輸支持。

云審計者：。保護審計環境。

云經紀人：保護云服務管理、保護云生態編排（只對技術經紀人）、保護服務融合、 保護服務調解、保護服務仲裁。

云計算安全服務體系由一系列云安全服務構成，是實現云用戶安全目標的重要技術手段。根據其所屬層次的不同，云安全服務可以進一步分為安全云基礎設施服務、云安全基礎服務以及云安全應用服務3類。

1)安全云基礎設施服務

云基礎設施服務為上層云應用提供安全的數據存儲、計算等IT資源服務，是整個云計計算體系安全的基石。這里，安全性包含兩個層面的含義：其一是抵擋來自外部黑客的安全手攻擊的能力；其二是證明自己無法破壞用戶數據與應用的能力。

一方面，云平臺應分析傳統計算平臺面臨的安全問題，采取全面嚴密的安全措施。例如，在物理層考慮廠房安全；在存儲層考慮完整性和文件／日志管理、數據加密、備份、災難恢復等；在網絡層應當考慮拒絕服務攻擊、DNS安全、網絡可達性、數據傳輸機密性等，

系統層財應涵蓋虛擬機安全、補丁管理、系統用戶身份管理等安全問題，數據層包括數據庫安全、數據的隱私性與訪問控制、數據備份與清潔等；應用層應考慮程序完整性檢驗與漏洞主管理等。

另一方面，云平臺應向用戶證明自己具備某種程度的數據隱私保護能力。例如，在計算服務中證明用戶代碼運行在受保護的內存中等。由于用戶安全需求方面存在著差異，云平臺應具備提供不同安全等級的云基礎設施服務的能力。