和通常意义上的SaaS(软件即服务)不同，本文所谈的SaaS(安全即服务)，是将安全作为一种增值服务提供给用户，尤其是在IaaS环境下，安全将和基础的计算、存储资源一样，用户可以根据自身需要灵活选择。

　　1 云计算IaaS的发展

　　IaaS作为基础设施级别的云计算服务，其将网络、存储、计算等资源进行虚拟化等处理，能够为每个用户提供相对独立的服务器计算资源、存储资源以及在承载网上设定专有的数据转发通道，这种云计算的模式已经得到IT业界的广泛认可。

　　IBM、惠普、亚马逊、谷歌等IT巨头，凭借强大的IT基础设施硬件能力和IaaS云计算软件平台总体解决方案独占鳌头;而国内部分传统的IDC服务商或数据中心外包服务厂商，凭借其对IDC业务运营的经验也逐渐开始切入到IaaS云计算市场;一些大型企业尤其是互联网企业利用自身对互联网运营的理解和应用系统资源也积极切入云计算市场，典型如阿里云、盛大云和腾讯云等;此外积极参与IaaS云计算服务的还包括国内多家运营商以及部分地方政府等。尤其是国内的大型运营商，凭借其在基础网络设施管道、互联网出口宽带资源、大量中小企业托管客户资源平台的优势以及强大的运维支撑能力，已经成为IaaS云计算建设的重要力量。如中国电信“天翼云”已经推出云存储、云主机等业务，中国联通也正在推进虚拟数据中心VDC的商用并为用户提供云存储、云主机等IaaS服务，这些运营商所具备的大型IDC的运营能力、强大的软件开发能力和整合硬件平台的能力以及互联网的运营经验将有助于其云计算IaaS服务的推广。

　　在IaaS环境下，云计算租户无须关注基础设施的建设和维护，只需要结合自身的业务向服务商提交相应的存储计算网络资源申请，就可以在服务商提供的存储计算环境上，基于自身业务自行选择适合自身的操作系统和安装各种应用程序，这对于很多类型的企业或者企业中的部分业务具备很好的吸引力。尤其是对一些业务系统访问流量具有周期性特点的企业，或者是对部分需要较大计算能力的用户，IaaS的云计算服务可以帮助企业以最小的代价满足自身需要。

　　2 SaaS(安全即服务)的主要内容

　　2.1 IaaS环境下的公共安全防护

　　IaaS的服务提供商需要对IaaS环境提供一些基础的公共安全保障，服务商需要对用户的数据安全或应用安全提供一定程度的安全保证，甚至签署SLA协议。这些公共的安全防护包括以下几个方面：

　　基础网络安全保障

　　对于云计算服务商而言，在其将网络、存储、计算和带宽等资源统一打包租给用户时，这些基础物理设施的安全防护是需要重点保证的，也应该是SLA内容的一部分。包括基本的物理环境安全防护;交换机设备安全特性的开启以防止诸如ARP攻击和MAC地址攻击等L2层网络安全攻击;云服务商互联网出口的基础安全防护以及针对DDoS的攻击防护，特别是对于DDoS攻击服务，单纯的基于用户进行防护并不能起到很好的效果，云计算服务商需要将这些危害到基础设施基础安全的风险统一考虑。

　　用户自助服务管理平台的访问安全

　　用户需要登录到运营商的云服务管理平台，进行自身的管理操作，如设置基础的安全防护策略，针对关键服务器的访问权限控制，用户身份认证加密协议配置，虚拟机的资源配置、管理员权限配置及日志配置的自动化。这些部署流程应该被迁移到自服务模型并为用户所利用。在这种情况下，云计算服务商本身需要对租户的这种自服务操作进行用户身份认证确认，用户策略的保密、不同租户之间的配置安全隔离以及用户关键安全事件的日志记录以便后续可以进行问题跟踪溯源。

　　服务器虚拟化的安全

　　在服务器虚拟化的过程中，单台的物理服务器本身可能被虚化成多个虚拟机并提供给多个不同的租户，这些虚拟机可以认为是共享的基础设施，部分组件如CPU、缓存等对于该系统的使用者而言并不是完全隔离的。此时任何一个租户的虚拟机漏洞被黑客利用将导致整个物理服务器的全部虚拟机不能正常工作，同时，针对全部虚拟机的管理平台，一旦管理软件的安全漏洞被利用将可能导致整个云计算的服务器资源被攻击从而造成云计算环境的瘫痪。针对这类型公用基础设施的安全需要部署防护。

　　内部人员的安全培训和行为审计

　　为了保证用户的数据安全，云服务商必须要对用户的数据安全进行相应的SLA保证。同时必须在技术和管理两个角度对内部数据操作人员进行安全培训。一方面通过制定严格的安全制度要求内部人员恪守用户数据安全，另一方面，需要通过技术手段，将内部人员的安全操作日志、安全事件日志、修改管理日志、用户授权访问日志等进行持续的安全监控，确保安全事件发生后可以做到有迹可寻。

(责任编辑：)