对于不同的云服务模式（IaaS、PaaS、SaaS），安全关注点是不一样的；当然，也有一些是这3种模式需要共同关注的，即无论是IaaS、PaaS，还是SaaS，都应该关注的安全，如：数据安全、加密和密钥管理、身份识别和访问管理、安全事件管理、业务连续性等等。

    IaaS层安全策略：

    IaaS涵盖了从机房设备到其中的硬件平台等所有的基础设施资源层面。IaaS层的安全，主要包括物理与环境安全、主机安全、网络安全、虚拟化安全、接口安全。

    1.物理安全：是指保护云计算平台免遭地震、水灾、火灾等事故以及人为行为导致的破坏。

    2.主机安全：应该要求做到身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码控制、资源控制等。

    3.网络安全：网络结构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。

    4.虚拟化安全：包括两个方面的问题：一是虚拟技术本身的安全，二是虚拟化引入的新的安全问题。

    5.接口安全：需要采取相应的措施来确保接口的强用户认证、加密和访问控制的有效性，避免利用接口对内和对外的攻击，避免利用接口进行云服务的滥用等。

    PaaS层安全策略：

    PaaS位于IaaS之上，又增加了一个层面用以与应用开发框架、中间件能力以及数据库、消息和队列等功能集成。PaaS允许开发者在平台之上开发应用，开发的编程语言和工具由PaaS支持提供。PaaS层的安全，主要包括接口安全、运行安全。

    1.接口安全：需要采取相应的措施来确保接口的强用户认证、加密和访问控制的有效性，避免利用接口对内和对外的攻击，避免利用接口进行云服务的滥用等。

    2.运行安全：主要包括对用户应用的安全审核、不同应用的监控、不同用户系统的隔离、安全审计等。

    SaaS层安全策略：

    SaaS位于底层的IaaS和PaaS之上，SaaS能够提供独立的运行环境，用以交付完整的用户体验，包括内容、展现、应用和管理能力。SaaS层的安全，主要包括应用安全：就是要在应用的设计开发之初，充分考虑到安全性，应该制定并遵循适合SaaS模式的SDL（安全开发生命周期）规范和流程，从整个生命周期上去考虑应用安全。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。