1.最小特权
最小特权原则是云计算安全中最基本的原则之一,它指的是完成某种操作时,赋予网络中每个参与的主体必不可少的特权。最小特权原则一方面确保了主体可在被赋予的特权中完成所需的全部操作;另一方面保证了主体无权执行不应由它执行的操作,即限制了每个主体可进行的操作。
在云计算环境中,最小特权原则可减少程序间潜在的影响,从而减少、消除对特权无意的、不必要的或不适当的使用。另外,能减少没有授权访问敏感信息的机会。
在用最小特权原则进行安全管理时,特权分配及管理就尤为重要,所以需要定期对每个主体的权限进行审计。通过定期审核来检查权限分配是否正确,及不再用的账户是否已被禁用或删除。
2.职责分离
职责分离指在多人之间划分任务和特定安全程序所需权限。它通过消除高风险组合限制人员对关键系统的权力与影响,来降低个人因意外或恶意造成的潜在破坏。该原则被用于云的开发和运行的职责划分上,也用于云软件开发生命周期。一般情况下,云的软件开发为分离状态,确保在最终交付物内不含未授权的后门,确保不同人员管理不同的关键基础设施组件。
此外,职责分离还伴随着岗位轮换。职责轮换除了可进一步防止重要岗位的欺诈外,也可让人员熟悉本不属于他的其他工作,给业务流程的岗位安排人员备份和提升协调工作的能力。
3.纵深防御
在云计算环境中,原有的可信边界日益削弱,攻击平面也在增多,过去的单层防御已难以维系安全性,纵深防御是经典信息安全防御体系在云计算环境中的必然发展趋势。云计算环境由于其结构的特殊性,攻击平面较多,在进行纵深防御时,需要考虑的层面也较多,从底至上主要包括物理设施安全、网络安全、云平台安全、主机安全、应用安全和数据安全等方面。
另外,云计算环境中的纵深防御还有多点联动防御与入侵容忍的特性。在云计算环境中,多个安全节点协同防御、互补不足,会带来更好的防御效果。入侵容忍则是指当某一攻击面遭遇攻击时,可由安全设计手段把攻击限制在此攻击层面,使攻击不能持续地渗透下去。
4.防御单元解耦
将防御单元从系统中解耦,使云计算的防御模块与服务模块在运行中不会相互影响,各自独立工作。这一原则主要体现在网络模块划分与应用模块划分两个方面。可把网络划分为VPC模式,保证各模块的网络之间进行有效的隔离。另一方面,把云服务商的应用与系统划分为最小的模块,这些模块间保持独立的防御策略。另外,对某些特殊场景的应用还可配置多层沙箱防御策略。
5.面向失效的安全设计
面向失效的安全设计原则与纵深防御有相似之处。它是指在云计算环境下的安全设计中,当某种防御手段失效后,还能借补救手段有效防御;一种补救手段失效,还有后续补救手段。这种多个或多层次的防御手段可能表现在时间或空间方面,也可能表现在多样性方面。
6.回溯和审计
云计算环境因其复杂的架构导致安全威胁更多,发生安全事故的可能性更大,对安全事故的预警、处理、响应与恢复的效率要求也更高。因此,建立完善的系统日志采集机制对安全审计、安全事件追溯、系统回溯与系统运行维护等方面就尤为重要。在云计算环境下,应建立完善的日志系统和审计系统,实现对资源分配的审计、各角色授权的审计、各角色登录后的操作行为的审计等,从而提高系统对安全事故的审查和恢复能力。
7.安全数据标准化
因目前的云计算解决方案很多,且不同的解决方案对相关数据、调用接口等的定义不同,导致目前无法定义统一的流程来采集与分析全部云计算服务的安全数据。
