安全性的標準：必須滿足ISO 27001 國際安全性標準定義的技術和操作目標；

用戶應用實例：允許每個用戶方便地構建和維持可供多個服務使用的應用實例；

支持多設備和地點訪問：允許消費者從多個交易點和多消費者共享的設備訪問服務；

自治的服務實例：允許創(chuàng)建自治的服務應用實例，它們能夠彼此通信和與客戶設備通信，實現(xiàn)故障切換和災難恢復；

可伸縮性：利用廠商的高可伸縮和虛擬化平臺提供高性能和可伸縮性；

技術角度：
技術架構 如何構建安全的云服務解決方案？回答：系統(tǒng)如何設計和構建，使用什么界面，需要什么應用和數(shù)據(jù)。
身份識別和鑒定：能夠對用戶身份進行識別和鑒定，確保操作的安全；
訪問控制：提供確保獲得授權用戶的訪問和防止非法的訪問。
安全的開發(fā)：開發(fā)維持服務安全性的流程，防止錯誤和濫用；
資產(chǎn)管理：能夠跟蹤和管理物理資產(chǎn)和信息資產(chǎn)
實施角度：
選擇實施的產(chǎn)品、服務和工具 怎樣實施安全的云服務解決方案？回答：選擇使用什么產(chǎn)品、服務和工具，在規(guī)定的時間進度和經(jīng)費預算范圍內(nèi)實施所設計的安全云服務解決方案 安全的云服務IT基礎設施：云服務基礎設施是利用HP為企業(yè)級的虛擬化基礎設施計劃定義的設備構建的；
云服務開發(fā)平臺：提供安全地隔離和劃分的平臺、來支持云服務開發(fā)；
個性化的API：云服務解決方案是客戶 API 允許用戶控制共享的個人信息；
法規(guī)遵從監(jiān)控：提供持續(xù)的法規(guī)遵從監(jiān)控和審計；

如何構建安全云服務解決方案？

從技術角度來分析，就是要解決構建安全云服務解決方案中的技術問題。這可以用圖3所示的安全架構來說明。

1. 隔離間和層次結構

針對云服務支持全球級用戶訪問和多租戶資源共享模式的特點，安全云服務解決方案的基本設計思想是建立隔離間和層次結構，來確保安全。

每個隔離間是一個獨立的應用運行環(huán)境，擁有屬于本隔離間的CPU、內(nèi)存、存儲和網(wǎng)絡聯(lián)接資源，分層的軟件應用層次結構，支持資源隔離和安全性。這種強制性的隔離能夠防止在多用戶共享環(huán)境中其它應用的破壞。隔離間的資源可以根據(jù)工作負載動態(tài)調(diào)度，從而在確保安全和性能的同時減少在共享環(huán)境中發(fā)生占用過多資源和拒絕服務事件的可能性。

為了確保安全，每個隔離間又分成3個層次：第一層是表示層。這一層允許最終用戶的訪問和系統(tǒng)訪問，當然必須通過必要的身份識別鑒定；第二層是應用層。這一層運行應用的核心計算任務，禁止最終用戶直接訪問，但允許系統(tǒng)訪問；第3層是數(shù)據(jù)庫層。這一層存儲應用數(shù)據(jù)，禁止直接的最終用戶訪問，也禁止隔離間外的系統(tǒng)訪問，但允許第2層中應用通過安全的系統(tǒng)調(diào)用進行訪問。這樣做可以避免非法的用戶和系統(tǒng)訪問干擾應用的核心計算和破壞數(shù)據(jù)存儲的完整性。

2. 身份識別和鑒定技術

保護IT系統(tǒng)安全、建立信任域的第一步是進行用戶身份識別和鑒定，確保合法的用戶能夠方便地訪問、拒絕非法用戶的闖入。在計算環(huán)境中，這通常是由登錄和口令或應用密鑰控制的。因此，安全云服務解決方案必須采用各種有效身份識別和鑒定技術，來確保各個層次的訪問安全，包括：

針對用戶角色的身份識別：將用戶劃分為硬件管理員、 (OS) 管理員、操作員以及虛擬化管理員等，在登錄和訪問各個層次的服務時分別予以身份鑒定，清晰地定義每種角色可以執(zhí)行的特權操作；

支持雙因子身份鑒定機制：為了實現(xiàn)更高水平的安全性，往往需要使用雙因子鑒定技術，規(guī)定需要使用兩項證明（雙因子），例如口令加上以及帶數(shù)字證書的私有密鑰，才能通過身份鑒定；

在Web聯(lián)接中采用雙向身份鑒定技術：云服務是通過Internet和Web界面交付的，保護Web聯(lián)接是確保云應用系統(tǒng)安全的關鍵。在實踐中采用雙向身份鑒定、確保通信聯(lián)線兩邊是所聲稱者本人。雙向鑒定確保聯(lián)接的每一端都是安全的，證實Web應用客戶機側和服務器側都是安全的；也可以建立SSL協(xié)議加密通信聯(lián)線、確保對話的機密性和完整性，防止第三方闖入對話、消除被欺騙的可能性和引入特洛伊木馬；

提供一次登錄功能：為了減少一個管理員執(zhí)行不同任務要的登錄次數(shù)，可以設立中心控制點支持一次登錄功能，使得用戶和管理員能夠在中心控制點作鑒定身份后，可以透明地訪問幾乎所有系統(tǒng)部件；

3. 訪問控制技術

訪問控制的目的是允許或拒絕一個具體實體（一個人或程序）使用一個資源（信息）。訪問控制確保信息只能被適當?shù)娜藛T或資源看到，提供機密性。它們也確保信息只能被適當?shù)娜藛T或資源修改，提供完整性。在安全的云服務解決方案中，控制對資源的訪問和操作是至關重要的，包括：

基于角色的授權機制：提供簡化管理用戶分類（如普通用戶、操作員、系統(tǒng)管理員）配置和管理各類用戶可執(zhí)行的任務的授權機制，確保只有擁有適當特權的用戶才能夠在給定的系統(tǒng)上執(zhí)行給定的任務；

子系統(tǒng)之間通信保護 ：在安全的云應用系統(tǒng)中，顯然必須解決通信訪問控制以及保護傳輸中數(shù)據(jù)等難題。首先要維持管理通信的機密性和完整性。例如，利用SSL (安全插槽層) 通信協(xié)議和SSH （安全內(nèi)核）網(wǎng)絡協(xié)議、加密通信聯(lián)線確保Web客戶機和邏輯服務器之間基于Web 通信和對話的安全性，并利用基于 Web企業(yè)管理 (WBEM)協(xié)議支持跨不同技術和平臺的安全通信；

4. 安全的開發(fā)技術

安全的云服務解決方案必須通過前瞻性的管理支持安全的開發(fā)技術，包括：

法規(guī)遵從和審計管理：符合政府法規(guī)和企業(yè)內(nèi)規(guī)、并且能夠提供有效的證明是云服務安全性重要特性。因此，安全的云服務解決方案必須具有適當?shù)膶徲嫺櫯渲煤蛯徲嫺櫟某掷m(xù)監(jiān)控，維護系統(tǒng)法規(guī)遵從的可說明性，即能夠以法律上有效的審計文件向政府管理部門說明云服務解決方案滿足安全性和法規(guī)遵從要求；

安全性威脅和弱點管理：云計算環(huán)境是高度動態(tài)的，必須針對存在的安全性威脅進行持續(xù)的監(jiān)控、前瞻性地消除安全弱點。因此，安全的云服務解決方案必須能夠對從IT基礎設施、中間件到服務軟件整個應用層次結構進行全面檢查和持續(xù)監(jiān)控，包括虛擬機和存儲安全性檢查、網(wǎng)絡掃描、操作系統(tǒng)強化掃描、Web服務和各種中間件以及支持業(yè)務流程的應用軟件都必須進行測試和監(jiān)控，發(fā)現(xiàn)和消除安全性弱點，從而證實整個云服務解決方案具有足夠安全性來防止各種入侵和惡意的攻擊；

設置專門的安全管理服務器： 安全的云服務解決方案可以設立安全專用服務器。有了這一安全專用服務器后，用戶可以讓管理程序的信息流經(jīng)過專用服務器，執(zhí)行信息流掃描等操作、提供防火墻和病毒探測服務；

5. 資產(chǎn)管理技術

資產(chǎn)管理的目標是跟蹤一個機構擁有和控制的固定資產(chǎn)，包括從機架到服務器、從建筑物到存儲設備一切資產(chǎn)。在提供云服務的高度分布的環(huán)境中，沒有適當?shù)募夹g和流程進行自動的資產(chǎn)管理，不僅難以實現(xiàn)及時軟件升級和安全性補丁更新，甚至很快就會變得難以找到和管理所有資產(chǎn)，從而造成安全性弱點。因此，安全的云服務解決方案必須采用自動跟蹤和管理物理資產(chǎn)和信息資產(chǎn)的技術，來確保安全。

怎樣實施安全云服務解決方案?

從實施的角度來看，怎樣實施安全的云服務解決方案？實質上，就是選擇使用什么產(chǎn)品、服務和工具，在規(guī)定的時間進度和經(jīng)費預算范圍內(nèi)實施所設計的安全云服務解決方案（在技術角度層次規(guī)定），提供所需的功能（在功能角度層次規(guī)定），滿足應用的需求（在業(yè)務觀點層次規(guī)定）。這主要包括：建立支持安全云服務的IT基礎設施（IaaS服務模式）、建立支持安全云服務開發(fā)的應用開發(fā)平臺（PaaS服務模式）、建立提供各種安全云服務的應用軟件和支持開放個性化云應用的應用開發(fā)界面（API）以及對運行中安全性和法規(guī)遵從進行持續(xù)的監(jiān)控和審計（SaaS模式）。

當前如何解決云服務安全性的難題不僅是企業(yè)用戶最大的擔憂，也已經(jīng)成為服務供應商競爭的焦點。如果說在前面三個視角層次，主要是對安全的云服務解決方案作需求分析、功能設置和架構設計，那么在實施層次就必須具體選擇適當?shù)漠a(chǎn)品和服務來實施這一解決方案。為了滿足云服務供應商和企業(yè)用戶的迫切需求，惠普公司提供全面覆蓋企業(yè)客戶進入云各項需求的領先產(chǎn)品、服務、工具和解決方案，支持云服務供應商獨立地或與客戶合作快速和經(jīng)濟有效構建安全的云服務解決方案。它們將能夠滿足基礎設施即服務（IaaS）、平臺即服務（PaaS）和軟件即服務（SaaS）等主要云服務交付模式的安全保障的需要，消除企業(yè)客戶采用云服務的種種后顧之憂，確保它們在利用云服務的優(yōu)勢的同時避免其負面影響，有力地加速云服務模式在企業(yè)中推廣應用。

1. 建立支持安全云服務的IT基礎設施

在云服務模式下，對云供應商最主要的要求實現(xiàn)規(guī)模經(jīng)濟和有效的服務管理。因此，因此，云供應商必須建立大規(guī)?？缮炜s的基礎設施，裝備大量服務器、海量存儲和高速網(wǎng)絡，從而支持大量不同的和不可預測的工作負載；同時必須采用先進的服務管理技術、在高度可變的世界中提供可管理性。云供應商必須能夠支持多家租用，允許不同的消費者共享相同的下層基礎設施資源。它必須能夠以既精確又安全方式來管理數(shù)據(jù)，并且能夠在發(fā)生各種意外狀況下，自動恢復正常運行。

在IT基礎設施方面，惠普提供基于集成虛擬化技術的云基礎設施（HP BladeSystem Matrix），并且在從操作系統(tǒng)、虛擬機映象、中間件、數(shù)據(jù)庫到應用各個層次進行了加固和強化，以滿足云服務供應商對基礎設施在大規(guī)?？缮炜s性、資源動態(tài)調(diào)度、災難恢復和安全性等方面的要求。

在惠普的云基礎設施HP BladeSystem Matrix解決方案中，支持云服務的IT基礎設施安全性建立在利用邏輯服務器實現(xiàn)應用環(huán)境隔離的基礎之上，邏輯服務器方便地提供了安全隔離和劃分應用的能力。這種強制性的隔離能夠防止在多用戶共享環(huán)境中其它應用的破壞?；萜誐atrix 解決方案也使用Insight Dynamics 全局工作負載管理器提供對共享資源的附加保護，從而在確保安全的同時減少了在共享環(huán)境中發(fā)生占用過多資源和拒絕服務事件的可能性。按照云計算的要求，惠普Matrix解決方案除了提供獨創(chuàng)性的虛擬化技術和動態(tài)資源自動供應外，對于IT基礎設施的安全性考慮包括有：

邏輯服務器保護 ：作為建立隔離間的基礎，保護邏輯服務器的安全顯然對保護建立在其上的云應用系統(tǒng)是至關重要的。首先要解決的初始配置的安全性，第一步是縮小攻擊面。鎖住系統(tǒng)，移除或禁止它們中不需要的程序和服務。必須檢查配置參數(shù)和與服務器聯(lián)接的設備、確保它們處于安全狀態(tài)，并確保安全地配置未被使用的服務的設置（如打開的端口）；當然更關鍵的是后續(xù)的努力、不斷發(fā)現(xiàn)和消除安全性弱點和漏洞、確保服務器始終安全狀態(tài)。在Matrix解決方案中 HP SIM 包括版本控制機制，發(fā)現(xiàn)和更新BIOS、驅動程序和代理版本偏離公司建立的基線的系統(tǒng)。HP SIM 利用Insight Control 和Vulnerability and Patch Manager（VPM）提供探測服務器上潛在的弱點和管理補丁的解決方案。軟件部件在支持的服務器上探測弱點和管理補丁。VPM 也幫助自動部署補丁，根據(jù)安全性掃描的結果選擇適當?shù)牟僮飨到y(tǒng)補??；

網(wǎng)絡通信的安全保護：除了確保通信和機箱內(nèi)部通信的安全外，BladeSystem Matrix 解決方案還利用許多網(wǎng)絡安全性機制減少環(huán)境中的風險。例如，使用 HP ProCurve 網(wǎng)絡產(chǎn)品提高基于 Matrix 應用系統(tǒng)的安全性。HP ProCurve Network Access Controller 不僅支持高速通信、縮短響應時間，而且能夠驗證與網(wǎng)絡聯(lián)接系統(tǒng)的完整性，也提供內(nèi)置的防火墻和身份鑒定功能；

對存儲區(qū)域網(wǎng)（SAN）的訪問控制：SAN 適合于邏輯服務器環(huán)境，實現(xiàn)從遠程存儲設備自舉和存儲數(shù)據(jù)，這一特性對支持邏輯服務器移動和復制都是必要的。BladeSystem Matrix解決方案賦予SAN 上每個設備(服務器、磁盤陣列等)一個唯一的標識符（全球名字），采用光纖通道分段和選擇的存儲表示（SSP）技術進行訪問控制，防止一個用戶看到另一個用戶的數(shù)據(jù)、確保數(shù)據(jù)的機密性和完整性；

磁盤陣列存儲的安全防護：聯(lián)接在SAN上的HP EVA磁盤陣列為BladeSystem Matrix 解決方案提供虛擬化存儲環(huán)境。該解決方案使用CommandView軟件支持基于Web 的標準管理和訪問EVA，使用選擇的存儲表示（SSP）防止對數(shù)據(jù)卷（LUN）的非法訪問、確保數(shù)據(jù)的安全和高效存取。
與HP BladeSystem Matrix解決方案支持IaaS云服務的同時，惠普提供的HP Cloud Assure 云保障服務也可用來對IaaS云服務供應商的IT基礎設施進行全面的測試和檢查，包括虛擬機和存儲安全性檢查、操作系統(tǒng)強化掃描，確認供應商在虛擬機映象上選擇的操作系統(tǒng)已經(jīng)作了強化、消除了安全性弱點，從而證實該IT基礎設施能夠為用戶提供足夠的虛擬化環(huán)境、存儲和操作系統(tǒng)安全性來防止入侵和惡意的攻擊；此外，HP Cloud Assure也可對IaaS云服務供應商的網(wǎng)絡進行安全性和性能測試，包括聯(lián)接測試、帶寬測試和業(yè)務流程負載測試，證實云服務供應商的網(wǎng)絡安全防火墻（WAF）以及訪問控制表是適當?shù)嘏渲?，必要的端口都已?jīng)適當?shù)芈?lián)接和打開，網(wǎng)絡通信是安全和可靠的，帶寬是足夠的，聯(lián)接池是適當?shù)嘏渲玫?，使得該環(huán)境能夠持續(xù)滿足高峰負載下并發(fā)用戶的需要；

2. 建立滿足開發(fā)安全云服務需要的平臺

為了滿足建立支持開發(fā)安全云服務平臺的需要，惠普在安全的IT基礎設施上，提供齊全的中間件支持，包括支持Internet應用的Apache和IIS、支持Web 服務的.Net 和WebLogic、SQL和Oracle等數(shù)據(jù)庫軟件等，并實現(xiàn)與HP Cloud Assure 云保障服務的無縫集成。HP Cloud Assure 云保障服務提供了一個端到端解決方案，它幫助我們執(zhí)行安全風險評估、探測和糾正安全性弱點。HP Cloud Assure 能夠掃描網(wǎng)絡、操作系統(tǒng)、中間件層和web 應用層、執(zhí)行自動的穿透測試，以證實各種中間件(例如IIS, Apache, .net, Java, SQL 等)和 Web應用層都已經(jīng)作了優(yōu)化配置，消除了安全性弱點；Web應用層也已經(jīng)采用必要的技術（如SSL），以確保Web應用的安全性和能夠滿足期望的服務等級目標；并給予用戶一個自己的云服務的精確安全-風險并存的狀態(tài)趨勢分析，當發(fā)現(xiàn)風險因素上升時將針對其原因及時采取措施規(guī)避。

對于采用平臺即服務模式（PaaS）的用戶，HP Cloud Assure 能夠有針對性地幫助用戶檢查和診斷云供應商提供的IT 基礎設施和整個應用開發(fā)平臺（包括中間件、數(shù)據(jù)庫等各個層次），驗證是否確實滿足在其上開發(fā)和運行安全、高性能和高可用的云應用的要求，它包括如上所述的：

對PaaS供應商提供IT基礎設施和網(wǎng)絡聯(lián)接進行全面檢查；

對PaaS供應商提供的迭加在基礎設施上的各個層次進行全面檢查，包括Web 應用掃描和Web 應用穿透測試等，從而證實該平臺作為一個整體為用戶提供了優(yōu)質的云開發(fā)環(huán)境；

通過裝入應用進行業(yè)務流程負載測試、業(yè)務流程監(jiān)控、運行中各種事件的模擬測試，確保在云平臺上所開發(fā)的應用得到全面的保障；

在實施軟件即服務（SaaS）的云服務交付過程中，為通過云環(huán)境托管應用軟件，必須滿足應用軟件的全生命周期安全性要求，包括使用安全的API、開發(fā)個性化的云應用軟件。這一般可以分為如下的三種情況考慮：
第一種情況是大量用戶接入云供應商的現(xiàn)有應用（如ERP應用）：這與傳統(tǒng)的應用托管模式非常相似，因此將集中于以相似的方法保障供應商用來交付的應用服務的安全性、可用性以及性能（如響應速度和支持并發(fā)用戶的能力）以及用戶接入的速度和網(wǎng)絡安全；

第二種情況是企業(yè)用戶利用云供應商的提供的新型編程環(huán)境進行應用開發(fā)，并在供應商的環(huán)境中進行測試和投入運行。如果把應用軟件的生命周期劃分為：架構、設計、開發(fā)、測試和生產(chǎn)性運行等階段，那么此時，架構和設計階段在企業(yè)內(nèi)部進行，測試和運行階段托管在外部進行，而開發(fā)則跨兩個環(huán)境。許多資源和服務都處于內(nèi)外共享的狀態(tài)。因此，必須結合這一特點，采用專門的技術標準、應用保障和內(nèi)部或外部驗證（審計）工具，確保這樣建立的應用系統(tǒng)與完全在內(nèi)部的系統(tǒng)具有同樣水平的安全性。

第三種情況是在SaaS模式下開發(fā)和運行定制的應用：此時，SaaS供應商提供基礎設施和編程環(huán)境（API）以及通用的應用等服務，同時還支持通過增加擴展的軟件、延伸原有應用的功能，開發(fā)和運行個性化的定制云應用。此時，安全性將主要依賴和以服務供應商所提供的平臺安全性作保證。對于用于開發(fā)個性化云應用的API，惠普的Cloud Assure提供對外部的應用與SaaS平臺提供的API之間數(shù)據(jù)交換的安全性的監(jiān)控、發(fā)現(xiàn)和消除安全性弱點，確保利用API開發(fā)的定制云應用以及SaaS平臺所有向外開放的服務的安全性。

對云消費者來說，使用SaaS服務最大的安全性隱患是接入的安全性。采用惠普提供的ProCurve 網(wǎng)絡交換器產(chǎn)品和Web 2.0技術，能夠確保云消費者安全地接入到云供應商，并避免由此而帶來的性能瓶頸問題。

對云服務的安全性和合規(guī)性的監(jiān)控和審計

云計算環(huán)境是動態(tài)的，必須持續(xù)的監(jiān)控。建立和維持一個安全的云計算環(huán)境需要適當?shù)膶徲嫺櫯渲煤蛯徲嫺櫟某掷m(xù)監(jiān)控，維護系統(tǒng)法規(guī)遵從的可說明性，即能夠法律上有效的審計文件向政府管理部門說明。HP SIM 軟件為您提供了一個審計工具，包括：記錄所有HP SIM用戶在所有系統(tǒng)上執(zhí)行的任務項目、執(zhí)行任務、授權修改、用戶登錄和退出的方面信息。這些信息存儲在中央管理服務器（CMS）的審計記錄文件中。在云應用系統(tǒng)運行過程中， HP Cloud Assure將以無插入模式為客戶提供安全性和性能監(jiān)控功能，包括：提供一個控制面板，使客戶能夠觀察系統(tǒng)的運行以完整的報告。這些實時事件信息可作為審計跟蹤記錄，用于探測潛在的安全性問題，或者可能會造成安全性問題的類似行為。審計跟蹤分析可用于幫助控制進一步破壞，也可使用審計跟蹤中的信息確保和證明法規(guī)遵從。

zhabin