云计算中的安全性是一个主要问题。云中的数据应以加密形式存储。为了限制客户端直接访问共享数据，应该使用代理和代理服务。

安全计划

在将特定资源部署到云之前，应该需要分析资源的多个方面，例如：

• 选择需要转移到云中的资源并分析其对风险的敏感性。

• 考虑云服务模型，例如IaaS，PaaS和SaaS。这些模型要求客户对不同服务级别的安全性负责。

• 考虑要使用的云类型，例如公共云，私有云，社区云或混合云。

• 了解云服务提供商的系统有关数据存储以及将其传输到云中以及从云中传输出去的信息。

云部署中的风险主要取决于服务模型和云类型。

了解云的安全性

安全边界

特定的服务模型定义了服务提供者和客户职责之间的界限。云安全联盟(CSA)堆栈模型定义了每个服务模型之间的边界，并显示了不同功能单元之间的相互关系。下图显示了CSA堆栈模型：

CSA模型的重点

• IaaS是最基本的服务级别，而PaaS和SaaS则是服务的最后两个级别。

• 向上移动，每个服务都继承了下面模型的功能和安全问题。

• IaaS提供基础架构，PaaS提供平台开发环境，而SaaS提供操作环境。

• IaaS的集成功能和集成安全级别最低，而SaaS的集成级别最高。

• 该模型描述了云服务提供商的职责终止和客户的职责开始的安全边界。

• 安全边界以下的任何安全机制必须内置于系统中，并应由客户维护。

尽管每种服务模型都有安全机制，但是安全需求还取决于这些服务在私有，公共，混合或社区云中的位置。

了解数据安全性

由于所有数据都是使用Internet传输的，因此数据安全是云计算中的主要问题。这是保护数据的关键机制。

• 访问控制
• 稽核
• 认证方式
• 授权书

所有服务模型都应包含在上述所有区域中运行的安全机制。

隔离访问数据

由于可以从任何地方访问存储在云中的数据，因此我们必须有一种机制来隔离数据并保护其不受客户端的直接访问。

代理云存储访问是一种隔离云中存储的方法。用这种方法，创建了两个服务：

• 具有对存储的完全访问权限但对客户端无访问权限的代理。

• 不能访问存储但可以同时访问客户端和代理的代理。

代理云存储访问系统的工作

当客户端发出访问数据的请求时：

• 客户端数据请求转到代理的外部服务接口。

• 代理将请求转发给代理。

• 代理从云存储系统请求数据。

• 云存储系统将数据返回给代理。

• 代理将数据返回给代理。

• 最后，代理将数据发送到客户端。

下图显示了上述所有步骤：

加密

加密有助于保护数据免遭破坏。它可以保护正在传输的数据以及存储在云中的数据。尽管加密有助于保护数据免遭任何未经授权的访问，但不能防止数据丢失。