云计算安全(Cloud computing security),有时也简称为“云安全”(Cloud security),是一个演化自电脑安全、网络安全、甚至是更广泛的信息安全的子领域,而且还在持续发展中。云安全是指一套广泛的政策、技术、与布署的控制方法, 以用来保护资料、应用程序、与云计算的基础设施。云安全无法与“基于云”(cloud-based)的安全软件(安全即服务,Security as a Service)混为一谈,后者是如商业软件厂商所提供的基于云的杀毒或弱点管理服务。
与云计算安全性有关的议题或疑虑有很多,但总的来说可将其分为两大类:云服务提供商(提供软件即服务、平台即服务、或基础设施即服务的组织)必须面对的安全议题,以及这些供应商的客户必须面对的安全议题。在大部分的情况下, 服务提供商必须确认其云基础设施是安全的,所以客户的资料与应用程序能够被妥善地保护;另一方面,客户必须确认服务提供商已经采取了适当的措施,以保护他们的信息安全。
虽然云安全议题可被分类成各种面向(Gartner 宣称有 7 大安全面向;Cloud Security Alliance 则指出 13 项安全疑虑),但这些面向可被归结为 3 大领域:安全与隐私、规范遵循、以及法律或契约议题。
为了确保资料是安全的(不能被未授权的用户访问,或单纯地丢失),以及资料隐私是有被保护的,云服务提供商必须致力于以下事项:
为了妥善保护资料,来自于某一客户的资料必须被适当地与其他客户的资料隔离;资料存储在原来的地方,或是从一个地方移至其它地方,都必须确保它们的安全。云服务提供商必须有相关的系统,以防止资料外泄或被第三方任意访问。适当的职责分权以确保审核与与/或监控不会失效,即便是云服务提供商中有特权的用户也一样。
每一家企业都有自己用来控管计算资源与信息访问的身份管理系统(英语:Identity management system)。云服务提供商可以用联邦制或SSO技术来集成客户的身份管理系统到其基础设施上,或是提供自己的身份管理方案。
云服务提供商必须确保实体机器有足够的安全防护,并且当访问这些机器中所有与客户相关的资料时,不只会受到限制,而且还要留下访问的记录文件。
云服务提供商必须确保客户可以定期、如预期地访问他们的资料和应用程序。
云服务提供商必须确保透过云所提供的应用程序服务是安全的,外包或包的代码必须通过测试与可用性的验收程序。它还需要在正式营运环境中创建适当的应用层级安全防护 (页面存档备份,存于互联网档案馆)措施 (分布式网站应用层级防火墙)。
最后,云服务提供商必须确保所有敏感性资料(如信用卡号码)是被遮罩住的,并且仅允许被授权的用户访问。此外, 包括数字证书和身份识别,以及服务提供商在云中针对客户活动所收集或产生的资料,都必须受到保护。但是以微软为例,微软英国分公司的常务董事Gordon Frazer在Office 365的发表会上坦承,不管位于全球任何地点的云资料,都会因美国爱国者法案(USA PATRIOT Act)的要求而无法受到隐私保护。因为微软的公司总部位于美国,它必须符合地方法律。
关于资料的存储与使用有众多的规范,包括Payment Card Industry Data Security Standard(英语:Payment Card Industry Data Security Standard)(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)、沙宾法案等。这些规范中有许多都需要定期的回报和审核追踨。云服务提供商必须协助他们的客户可以适当地遵守这些规范。
云服务提供商必须有商业连续性(英语:Business continuity planning)与资料撤销(英语:Data recovery)计划,以确保在发生灾害或紧急情况的情况下可以继续提供服务,并且可以撤销任何丢失的资料。这些计划必须和客户分享并可让客户审视。
除了产生日志与审核追踪,云服务提供商必须与客户合作,只要客户有需要,就必须确保这些日志与审核追踪会被适当地保全、维护,并当有法庭调查(如EDiscovery(英语:EDiscovery))的需要时能够取用。
除了顺应客户的需求,由云服务提供商负责维运的数据中心也可能要遵循规范的要求。
除了遵从上面枚举的安全和规范议题,云服务提供商和客户依照责任来协商订定条款(例如,当有资料丢失的事件发生时该如何协商解决)、知识产权、与服务的终止(何时会将资料和应用程序还给客户)。
法律问题可能还包括公务机关对记录保存的要求,许多中间机构必须依法使用特定的方式来保存电子记录。这些可能是由立法单位或法律要求的机构所制定的规则和惯例,公众在使用云计算和云存储时,都必须要考虑到这些议题。
