2024云密码应用指南

云环境内的密码应用指南目次范 引用文 术语和定 术 缩略 云计算概 云计算的主要特 服务模 云环境内的密码应 概 IaaS服务模式下的密码应 PaaS服务模式下的密码应 SaaS服务模式下的密码应 云环境内的密码应用指南GB/T5271.8-20018GB/T25069-2010GB/T31167-2014信息安全技术云计算服务安全指南GB/T31168-2014GB/T31915-2015信息安全技术弹性计算应用接口GB/T32400-2015GM/Z0001-2013云计算cloud通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理cloudservicecloudservice虚拟化虚拟机监视器一种虚拟资源的管理软件，协调多个客户操作系统对宿主机硬件资源的访问，并虚拟机镜像virtualmachine配置虚拟机所需的元数据集合，包括CPU密钥加密解密 4云计算概述按需自助服务。在不需或较少云服务商的人员参与情况下，客户能根据需要获个客户试用。这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分服务可计量。云计算按照多种计量方式自动控制或量化资源，计量对象可以是（IaaS：IaaS户的操作系统和应用程序可以迁移到云提供商的硬件，这些硬件有可能取代公司的数据中心基础设施。用户无需管理或者控制底层的云基础设施，但是可以（PaaS运行环境配置。PaaS允许云消费者创建自己的云应用。从根本上来说，云提供（SaaS力。这些应用可以借助不同终端设备通过一个瘦客户机端口进行访问。用户无IaaSIaaSHypervisorAPI调用进在完成虚拟机模板的创建时云服务商就使用其私钥对虚拟机模板进行数字签名，由云服务商生成一对公钥和私钥，云服务商保有私钥，而云用户使用云服务商在认证时，云服务商使用加密函数和私钥计算出一个消息认证码，然后将虚拟云用户使用虚拟机模板、云服务商公钥和加密函数进行运算，得到另一个消息通过比较计算出的验证码与从云服务商处接收到的验证码是否一致，可验证虚IaaS云用户通过访问hypervisor的管理接口来实现虚拟机的启动操作及其后续的生对虚拟机管理接口的API云用户需要生成一对公/私钥对，用于APISSHTLS此安全会话来实现API的安全调用。SSH技术和密钥技术来实现安全会话的创建。虚拟机将公钥添加到协议(FTP,SCP)中或添加到控制台命令支持的SSH登录实例的应用程序用户可以通过创建安全会话和强身份认证机制与这些应用程序安全地交互。所采用的最常见的技术是传输层安全（TLS）协议。TLS让服务实例和客户端可以IaaSIaaS云用户需要数据存储服务。数据存储服务需要覆盖各种静态数据IaaS为了存储虚拟机实例上运行的应用程序生成的结构化数据，IaaS云用户可使用云服务商的数据库服务，并通过对数据库管理系统实例进行加密以满足其业务和安全需求，数据库级加密或用户级加密。用户级加密又称为数据库级加密。用户能够选择进行加密。对于不同的数据库对象，数据库级加密或用户级加密需要使用不同PaaSPaaS云服务为用户提供计算平台和必要的应用程序开发工具来开发和部署应用程PaaS云服务的安全，可应用于以下两个场景：PaaS平台在与部署的应用程序和/PaaS云服务时能够保证应用程序静态数据和处理/生成的动态数据得到安PaaSPaaS平台与部署的应用程序和/或开发工具实例进行通信时能建立安全的交SSL/TLSPaaSPaaS云平台之间的安全通信。PaaS为使应用程序静态数据和处理/生成的动态数据能够得到安全的存储，可采用文件SaaSSaaS云服务提供了对云提供商托管的应用程序的访问功能。SaaS云服务中的密码SaaS云用户通过创建安全会话和强身份认证机制与应用程序安全地交互，并根SaaS云用户的数据存储在云提供商处，且与其他租户共享资源环境。为防止数据泄露，SaaS用户需以加密形式存储应用程序生成/处理的数据。SaaSSaaS如果数据库的所有字段都需要加密，考虑到加密操作的规模性，则可由云提供如果每位云用户都只需要对一部分字段进行选择性加密，由于各个用户选择的SaaS云服务商提供的。为了高效地加密