保護(hù)云始于云架構(gòu)。構(gòu)建云計(jì)算安全體系結(jié)構(gòu)的關(guān)鍵部分是規(guī)劃云網(wǎng)絡(luò)的可見性部分，即性能管理策略?？梢娦钥梢远床鞚撛诘娜毕?，流量阻塞或定位網(wǎng)絡(luò)中的可疑活動(dòng)。

云安全屬于共享云責(zé)任模型，這意味著云服務(wù)商和用戶都有責(zé)任保護(hù)云。最佳實(shí)踐是企業(yè)仔細(xì)審查云服務(wù)提供商（CSP）服務(wù)水平協(xié)議（SLA），以了解企業(yè)執(zhí)行安全措施的責(zé)任。對(duì)于所有云服務(wù)模型，專家建議將這些項(xiàng)目用于安全的云架構(gòu)：

對(duì)各個(gè)服務(wù)提供商的多個(gè)帳戶應(yīng)用單點(diǎn)登錄，以便IT管理人員更輕松地監(jiān)控云。

• 使用虛擬防火墻而不是第一代防火墻
• 整合數(shù)據(jù)丟失預(yù)防工具
• 企業(yè)還應(yīng)通過(guò)實(shí)施安全信息和事件管理（SIEM），拒絕服務(wù)（DDoS）攻擊保護(hù)和防病毒軟件來(lái)進(jìn)一步保護(hù)云

基于云服務(wù)模型的云計(jì)算安全架構(gòu)如何變化
雖然所有云架構(gòu)模型都需要性能管理工具和策略，但安全架構(gòu)會(huì)根據(jù)云模型的類型而變化 - 軟件即服務(wù)（SaaS），基礎(chǔ)架構(gòu)即服務(wù)（IaaS）或平臺(tái) - -a-service model（PaaS）。區(qū)分不同的服務(wù)模型非常重要，正如云安全聯(lián)盟所說(shuō)：“IaaS是所有云服務(wù)的基礎(chǔ)，PaaS建立在IaaS之上，而SaaS則建立在PaaS之上。”

IaaS云計(jì)算安全架構(gòu)
此基礎(chǔ)架構(gòu)為云網(wǎng)絡(luò)提供存儲(chǔ)和網(wǎng)絡(luò)組件。它在很大程度上依賴于應(yīng)用程序編程接口（API），以允許企業(yè)管理和與云交互。但是，云API往往是不安全的，因?yàn)樗鼈兪情_放的，并且可以在網(wǎng)絡(luò)上輕松訪問(wèn)。

CSP處理基礎(chǔ)架構(gòu)和抽象層的安全性。企業(yè)的安全義務(wù)包括堆棧的其余部分，包括應(yīng)用程序。

在IaaS環(huán)境中部署網(wǎng)絡(luò)數(shù)據(jù)包代理（NPB）可以查看云網(wǎng)絡(luò)中的安全問(wèn)題。NPB的直接流量和數(shù)據(jù)到適當(dāng)?shù)木W(wǎng)絡(luò)性能管理（NPM）和安全工具。除了部署NPB以收集有線數(shù)據(jù)外，企業(yè)還應(yīng)記錄電報(bào)以查看網(wǎng)絡(luò)中端點(diǎn)發(fā)生的問(wèn)題。

IaaS云計(jì)算服務(wù)模型需要以下額外的安全功能：

• 虛擬Web應(yīng)用程序防火墻放置在網(wǎng)站前面以防止惡意軟件。
• 基于虛擬網(wǎng)絡(luò)的防火墻位于云網(wǎng)絡(luò)的邊緣，可以保護(hù)周邊。
• 虛擬路由器
• 入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)（IDS / IPS）
• 網(wǎng)絡(luò)細(xì)分
• SaaS云計(jì)算安全架構(gòu)
• SaaS集中托管可通過(guò)瀏覽器訪問(wèn)的軟件和數(shù)據(jù)。企業(yè)通常與CSP協(xié)商法律合同中的擔(dān)保所有權(quán)條款。

云訪問(wèn)安全代理（CASB）在發(fā)現(xiàn)SaaS云服務(wù)模型中的安全問(wèn)題時(shí)發(fā)揮著核心作用，因?yàn)樗涗?，審核，提供訪問(wèn)控制，并且通常包括加密功能。

SaaS云環(huán)境的其他安全功能包括：

• 記錄
• IP限制
• API網(wǎng)關(guān)
• PaaS云計(jì)算安全架構(gòu)
• CSA將PaaS定義為“在沒(méi)有購(gòu)買和管理底層硬件和軟件以及配置托管功能的成本和復(fù)雜性的情況下部署應(yīng)用程序”。

CSP保護(hù)了大部分PaaS云服務(wù)模型。但是，應(yīng)用程序的安全性取決于企業(yè)。保護(hù)PaaS云的基本組件包括：

• 記錄
• IP限制
• API網(wǎng)關(guān)
• CASB