一、云计算的特征

　　云计算已经得到了政府和各个行业信息技术管理层的高度重视。虽然对云计算的定义和特征、应用等存在各种不同的看法和流派，较为公认的一个云计算描述是美国技术和标准研究院的五个关键特征：^[1][2]

　　C1: 按需的自服务。不同于传统网络服务或普通IT服务的一个鲜明特征就是云计算服务是不用人工干预的自助服务，例如服务开通、配置变更、缴费、取消等。

　　C2: 宽带接入。该特征要求云计算服务主要通过网络提供，并且应该涵盖大多数的客户端，例如各种电脑、上网本、智能手机等。

　　C3: 虚拟池化的资源。该特征来源于云计算服务的多客户性质。在同一套物理资源之上，给多个客户提供服务，需要将原来孤立的、个体的物理资源通过虚拟化映射成为虚拟的、功能模块化的、面向多用户服务的资源池。并由系统统一地、动态地、按需地再分配给各个客户。由此而来的另外一个结果就是客户不再关心、也基本上无法知道自己的某个服务在某个时刻运行在哪个物理位置的物理硬件之上。这些资源包括CPU计算能力、内存、存储、流程进程过程、网络带宽、虚拟机、备份数据、维护人员等等。

　　C4: 快速弹性架构。这个特征被认为是云计算带来的最大好处之一。用户不再为系统扩容跟不上用户需求预测而苦恼，也不用为短期项目完工后闲置的IT资源而担心。系统规模扩大、减小，对于云计算服务的用户来说，变成了鼠标点击事件，就好像云里的服务和虚拟资源是无限的、召之即来、挥之即去的。

　　C5: 可测量的服务。这里强调的是“服务”，它应该是可以测量的、有明确价格和收费政策的。在使用过程中，各种服务(例如存储、带宽、活动用户账号、各种计算资源等)的使用、监视、控制等对于服务提供者和用户都是透明的。

　　目前，IT业界从传统的软硬件业务模式正在明显地转向服务模式，从网络信息安全的角度看，这个转变带来的影响是深远的。对新的计算方式的安全威胁的顾虑非常普遍。按照IDC 2008年8月份的调查结果^[3]，在人们对按需-云计算(Cloud/On-Demand)的担心问题排序中，安全问题高居第一，下面依次是性能、可用性、集成问题、可定制能力等。其它多个咨询机构和权威组织的调查结果也都反映了类似的担心。

　　二、 安全威胁

　　帮助人们解决对云计算安全威胁的担心的第一步就是正确的识别安全威胁，然后研究开发出正确的威胁消减方案。作为当前业界最为活跃的云计算安全专业组织 – 云安全联盟CSA在2010年3月份发表了自己的研究成果 – 云计算的七大威胁，获得了广泛的引用和认可。

　　* Threat #1: Abuse and Nefarious Use of Cloud Computing

　　云计算的滥用、恶用、拒绝服务攻击

　　* Threat #2: Insecure Interfaces and APIs

　　不安全的接口和API

　　* Threat #3: Malicious Insiders

　　恶意的内部员工

　　* Threat #4: Shared Technology Issues

　　共享技术产生的问题

　　* Threat #5: Data Loss or Leakage

　　数据泄漏

　　* Threat #6: Account or Service Hijacking

　　账号和服务劫持

　　* Threat #7: Unknown Risk Profile

　　未知的风险场景

　　接下来，我们分别较为详细的分析每个安全威胁的场景和可行的对策。