云计算安全服务的目标

您好，在传统计算中，运营和用户单位承担着从设备到应用的所有安全责任。然而，在云计算环境中，云服务提供商和云服务客户之间根据不同的角色分担安全责任。采用“权责分离、两级建设”的原则，云服务提供商和云服务客户应根据各自的安全职责建设安全防护能力。

其中，云服务提供商的主要安全责任是保证云平台基础设施的安全，同时提供各种基础设施服务以及每个服务内置的安全功能。在IaaS模式中，云服务提供商需要保证基于虚拟化技术的云计算环境基础设施、物理网络和链路、网络、计算、存储的安全，同时还要保证云服务管理平台、云服务监控系统的安全。和云服务。操作系统等负有全面的安全责任。

云服务客户在云上配置各种可控资源，并对部署在云上的业务应用、操作系统、数据库、中间件、数据等的安全全面负责。。

分级防护体系下云平台需要提供的安全防护措施

《GB/T22239-2019信息安全技术网络安全分级防护基本要求》明确指出云平台需要提供安全防护措施。分解云平台的安全防护措施：

①物理环境方面，云平台应提供物理隔离、电力保障、外部人员访问控制、火灾探测、视频监控等措施。

②通信网络方面，云平台应在物理通信网络的基础上，为虚拟通信网络提供安全措施。如提供物理网络和虚拟网络的区域划分、虚拟网络的隔离、设备和链路的冗余、通信加密等措施。

③区域边界方面，云平台应在物理区域边界安全措施的基础上，增加虚拟网络边界、虚拟机与主机之间边界的安全措施。

④在计算环境方面，云平台应提供安全加固的操作系统和镜像、虚拟机隔离、二因素认证、访问控制、安全审计等措施。

⑤在安全管理中心方面，云平台应提供权限划分、授权、审计日志集中收集分析、时钟同步等措施。

总的来说，云平台的安全防护措施可以分为两类：

①原生安全措施：云平台本身拥有或能够提供的安全措施；

②引入安全措施：当云平台无法满足要求时，需要采用解耦的方式为平台提供安全措施。

为什么这么分类呢？这是因为：

云平台原生的安全措施只能覆盖云平台本身的安全以及云服务客户的一些需求，比如虚拟机隔离、镜像快照/完整性验证等但由于云平台开发者在安全方面的技术能力和平台功能的限制，云平台无法针对分级防护中规定的基线验证、安全审计、恶意代码检测、Web防护等措施提供完整的解决方案系统。。

不过，根据A级防护体系的相关规定，云平台“应具备根据云服务客户的业务需求自主设置安全措施的能力，包括定义访问路径、选择安全组件，并配置安全策略。”因此，当云平台本身无法满足云服务客户的安全需求时，应采用解耦的方式，提供可独立设置的安全措施，从而为云服务客户提供完整、合规的安全能力和服务。