Question

云安全技术的云安全应对方式

Answer 1

与传统IT环境安全比较，云计算特有的安全问题主要有三个方面。
第一是虚拟化环境下的技术及管理问题；
第二是云计算这种全新的服务模式将资源的所有权、管理权及使用权进行了分离，因此用户失去了对物理资源的直接控制，会面临与云服务商协作的一些安全问题；
第三云计算平台导致的安全问题。
在安全防护体系上，需要构建包括底层架构安全：通过完善、规范服务器虚拟化安全、网络虚拟化安全、存储安全、高可用性要求以及虚拟化安全管理相关配置要求，构建逻辑安全边界，保障虚拟环境安全；
基础设施安全：完善对底层资源的调度和分配机制，防止用户对底层资源的过度占用，并引入沙箱隔离技术，实现不同应用程序间的相互隔离；
运营管理安全：通过动态的安全环境来提高他的安全性；
信息安全层面：通过数据的隔离，加密传输，加密存储这些技术手段为用户提供端到端的保护。

Answer 2

漏洞扫描和渗透测试是所有PaaS和基础设施即服务（IaaS）云安全技术都必须执行的。无论他们是在云中托管应用程序还是运行服务器和存储基础设施，用户都必须对暴露在互联网中的系统的安全状态进行评估。。
对于在PaaS和IaaS环境中测试API和应用程序的集成来说，与云供应商协作的企业应重点关注处于传输状态下的数据，以及通过绕过身份认证或注入式攻击等方式对应用程序和数据的潜在非法访问。 云安全技术中最重要的要素就是配置管理，其中包括了补丁管理。
在SaaS环境中，配置管理是完全由云供应商负责处理的。如有可能，客户可通过鉴证业务准则公告（SSAE）第16号、服务组织控制（SOC）报告或ISO认证以及云安全联盟的安全、信任和保证注册证明向供应商提出一些补丁管理和配置管理实践的要求。
在PaaS环境中，平台的开发与维护都是由供应商来负责的。应用程序配置与开发的库和工具可能是由企业用户管理的，因此安全配置标准仍然还是属于内部定义范畴。然后，这些标准都应在PaaS环境中被应用和监控。 云供应商负责所有基础设施的运行，其中包括了虚拟化技术、网络以及存储等各个方面。它还负责其相关代码，包括了管理界面和API，所以对它的开发实践和系统开发生命周期的评价也是非常必要的。只有IaaS客户会对整个系统规格拥有真正的控制权；如果虚拟机是基于一个供应商提供的模板而部署的，那么在实际使用前也应对这些虚拟机进行仔细研究并确保其安全性。