前面提到过我们可以通过被信任的第三方来实施我们的安全策略,而在云计算环境中,我们如果雇佣了被信任的第三方,那么势必要建立一个适用于第三方的信任等级制度来约束这些第三方,才能保证数据的保密性、完整性和可靠性,才能寻找到最佳的安全防御措施。被信任的第三方能够很好的解决因传统安全边界失效而导致的安全问题,这是通过新的信任机制而产生的所谓的安全域对云环境的安全防护。Castell曾说过:“一个被信任的第三方对于电子交易来说是一个重要的传送商业机密的组织,这是通过商业和技术安全特性来达到的。它提供技术和法律上可靠的方法来执行、帮助、产生独立的对于电子交易的公断证据。它的服务被通过技术、法律、金融和结构方法提供和准,可以对所有类别的数据进行认证。

2.3.3安全域

安全域即在云计算的相关实体之间建立一个有效的信任关系,而这个关系可以通过引入联合,再加上PKI和LdaP技术来实现。联合是一组合法的实体共享,一致同意的政策和规则集,我们通过这些规则和政策来约束在线资源的使用。在联合系统里,我们提供了一个结构和合法框架,通过这个框架可以使得不同组织或系统之间的认证和授权成为可能。从而使得云架构可以被部署到不同的安全域中,这些安全域可以使得类似的应用共享通用的认证符号,或者类似的认证符号,联合云也因此而诞生。联合云是子云的集合,子云与子云之间保持相对的独立性,只有通过标准接口才能实现相互之间的操作,例如通过提前定义好的接口来实现数据交换和计算资源共享等。联合能够提供认证框架以及法律、金融等多方面的框架结构来容纳不同的组织,各组织之间可以通过联合来进行认证和授权。

2.3.4数据的加密分离

在云计算时代,数据之中存在着大量的个人数据以及敏感数据,对于这些数据的保护,推进了SaS和AaS模型在云计算环境中的发展。在对个人数据和敏感数据进行加密隔离的过程中,所有的计算过程和数据通讯都是通过这种方式加以隐藏,使人感觉这些数据都是无形的,但是却又真实的存在。

2.3.5基于证书的授权

云计算环境是一个虚拟的网络,往往由多个独立的域形成,在这个虚拟的世界里,资源的提供则和使用者之家的关系非常特别,因为他们是动态的,他们不处于同一个域,他们之间的关系识别都是通过其操作特点以及特殊属性来进行判别,而不是事先定义的身份。于是乎,传统的基于身份的访问控制模式在云环境中就失去作用了,访问决策需要通过用户的特性来进行判定。通过PKI颁发的证书能够用于网络环境下的用户访问控制。典型的一个例子就是扩展的X509证书,这个证书包含了对于用户角色信息的认证。证书授权机构通过发布这样的证书来实现网络安全的保护。属性管理结构签发包含授权属性的证书,期内内包含的属性值用于配对以及规定它应用于什么数据。通过基于属性的访问控制,也就是基于请求者、数据资源和应用环境的属性来做出访问控制决策,它们能够更为灵活的、可扩展性的对访问进行控制,这对于像云系统这样的大型数据处理中心来说是非常重要的。

3结论

很明显,云计算的优点是大于缺点的,云计算还能够对于过剩的信息进行充分利用,使得数据具有更多的可操作性。云计算系统的特殊部署构架很好的解决了传统系统的缺点,更因为其动态的特性使得很多传统的方法都失去效用。我们知道,依据云计算系统的一般的设计原则,对于安全的控制,减少因为安全隐患而带来的威胁是我们的基础,在实现这个原则的情况下,我们需要不断的更新软件以及信息系统的设计方法。在云计算时代数据的安全需要我们所有人都建立一个统一的安全观念,在这个观念的基础之上发展数据安全必须的元素,信任。通过建立优质的第三方体系,将云计算的安全隐患及解决职责全部转移到这些可以监控的地方去。我们可以通过综合PKI,LDAP和SSL等先进网络技术去解决云计算中与数据完整性、机密性、可靠性以及数据和通讯可用性相关的大部分公认的安全问题。

以上是云计算数据安全的防御措施

相关推荐：

关于物联网网络安全防护探究