[发明专利]一种跨云应用部署和迁移时的云平台安全性评估方法

说明书

本发明公开了一种跨云应用部署和迁移时的云平台安全性评估方法。本方法为：1)判断待迁移的云平台A通过的安全标准与云平台B通过的安全标准是否存在交集；若存在交集，且该交集中的安全标准不存在安全等级的差别，则进行步骤2)；2)评估云平台A和云平台B对于CSA CCM的满足情况，如果满足要求则进行步骤3)；3)评估云平台B能否满足用户对CSA CCM中控制域的设定需求，如果满足，则将云平台B作为云平台A中应用进行迁移或部署的对象；否则选取另一云平台重新进行评估。本发明能够对云平台进行准确评估，并满足用户特定的控制域要求。

技术领域

本发明涉及云环境IaaS层面的安全领域，尤其涉及一种用户在跨云平台部署应用或迁移时的安全保护是否对等的方法，属于云安全及混合云技术领域。

背景技术

随着云计算的快速发展，云计算服务领域发展出众多优秀的云平台，如AWS、Azure、阿里云、华为云等。云服务提供商为终端用户提供可扩展计算资源的临时访问，用户可以根据实际的生产需求，弹性的获取计算、网络、存储等资源。相对于传统的用户自己搭建基础设施获取计算资源的方式，云服务兼顾基础设施的安全、共享、可扩展特点，根据互联网的计算环境、应用程序和业务流程的需求来付费。

用户逐渐将应用部署在云平台上，云服务提供商提供方案丰富的服务选择，用户对云平台硬件信息和基础架构的了解由于虚拟机化技术而变得模糊。云服务提供商建立云平台的架构不一，在各个国家或地区提供的云服务也存在一定的差异。若用户希望获得特定类型的云计算服务，而单个云平台可能存在计算资源、架构支持、网络服务和备灾恢复等方面的限制，因而用户产生了跨云应用部署和迁移的需求。用户对多云使用的需求使云计算领域涌现出了对联合云、混合云的探索，成熟的云服务提供商也在尝试开放一定的权限，为认证的合作伙伴提供异构系统的接入能力。此外，云计算是一种相对较新的模式，在典型的企业中，使用多种类型的计算平台，每个运行的应用程序会造成管理系统的复杂性和低效率。如果使用现有的云计算系统，无法对不同类型的服务器工作负载进行管理，不同类型的计算系统(如私有云和公有云)也无法高效的运行和兼容。混合云的出现，解决了异构系统的整合和管理问题，目前对于混合云的解释有很多，目前学术界和产业界对混合云普遍的认识为：混合云作为一种新型的云计算平台，在扩充传统云计算基础架构的基础上，对系统内不同类型的资源(计算系统、网络和存储系统)进行整合和管理，提高整体系统的可靠性和便捷性，降低结构复杂性。混合云组合了公有云和私有云模型，混合模型可以帮助私有云从公有云中获取资源，并按需调整外部提供资源的规模。混合云有多种实现方式，如新型的虚拟化结构、可扩展的异构资源访问方式等。

随着云计算的出现，传统的安全边界消失，在公有云平台中，用户共享硬件资源(CPU、存储及网络设备等)，为用户带来很多新的安全问题。如恶意用户可以打破公有云平台的边界限制，发动侧信道攻击和隐蔽通道攻击，窃取合法用户的隐私信息。随着混合云的发展，用户的服务越来越普遍的被整合到一个共享的基础架构中，已有研究人员对异构物理设备的管理进行探索，但是对于跨云应用部署和迁移的安全性问题还未引起广泛关注。安全问题作为云服务提供商为用户提供云服务的基本保障，在混合云未来的发展中占据关键性地位。

云安全标准

目前国际和国内的云安全认证有很多，主要可以分为云安全标准、法律法规及协定框架。云安全标准一般需要安全标准的制定机构或第三方委托机构参照安全标准的各项要求对云平台进行评估，若云平台通过此类评估，会获得此安全标准的资格证书、审计报告或合规性鉴证。云平台获得安全标准认证的等级越高，通过的安全标准越完善，表示云平台提供的安全防护水平越高，云平台越安全。

此外各个国家及地区的法律法规不尽相同，云服务提供商提供的云服务只有符合当地法律法规的各项要求，才可在此地区建立数据中心，合法地提供云服务。通常法律法规没有正规认证的评估方式，无法获得相关资格的证书，但云计算技术发达的国家和地区一般会制定符合当地法规的参照性标准，制定具体的安全要求，作为国家机构和企业进行云计算服务采购的参考。