在云計算的三種模型中(IaaS，PaaS，SaaS)，集成的特色功能、復雜性與開放性(可增強性)以及安全等方面各有不同，總體來說云服務提供商所在的等級越低(IaaS 最低，SaaS 最高) ，云服務用戶自己所要承擔的安全能力和管理職責就越多。

IaaS 幾乎不提供應用相關的特色功能，但卻有極大地“可擴展性” 。

因此 IaaS在除了保護基礎設施自身之外的安全保護能力和功能更少。IaaS 模型要求云用戶自己管理和安全保護操作系統(tǒng)、應用和內容。

IaaS涵蓋了從機房設備到其中的硬件平臺等所有的基礎設施資源層面。IaaS層的安全，并由于物理資產由運營商提供并且在運營商機房，客戶的信息承載的資產在物理上失去控制，數(shù)據(jù)遷移到服務提供商的云平臺，以及，IaaS 采用虛擬化技術，提供多租戶服務，諸多客戶共享基礎設施，因此產生了一些新的安全問題：

1. 接入認證安全。自服務門戶的密碼是否會被他人獲取，從而控制客戶的虛擬主機。OS 的遠程桌面 是否有人可以非法進入或盜取密碼進入客戶系統(tǒng)，應該要求做到身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼控制、資源控制等。

2. 傳輸安全。在用戶訪問自己資源的時候，是否能保證數(shù)據(jù)不被惡意監(jiān)聽

3. 數(shù)據(jù)安全。虛擬化下的多租戶環(huán)境是否會導致數(shù)據(jù)泄露。

4. 服務商安全管理問題。是否有法規(guī)約束服務提供商的管理行為。運營商的服務人員是否會非法進入客戶的系統(tǒng)，獲取客戶的數(shù)據(jù)

同樣在系統(tǒng)穩(wěn)定性和可用性方面，客戶也會有這樣的擔心：

1、 系統(tǒng)可靠性問題。IaaS 平臺是否能保證不間斷服務?平臺是否有備份措施?網(wǎng)絡是否能保證連通性

2、 系統(tǒng)性能。IaaS 處理性能是否足夠?網(wǎng)絡帶寬是否足夠，能保證使用體驗

3、 虛機間干擾。其他虛機用戶的問題是否會影響我的主機?比如病毒、DDOS 攻擊，比如病毒或廣播風暴。

產生這些問題的根本原因是：網(wǎng)絡遠程訪問、虛擬化、多租戶以及運行在非客戶自己資產。網(wǎng)絡遠程訪問就會帶來傳輸安全、接入認證、接入可靠性等問題，虛擬化、多租戶帶來性能保障、互相影響、互相隔離的問題，運行在非客戶自有資產就帶來了第三方服務人員的權限問題等管理問題。

當然，使用IaaS云對安全問題同樣有有利的一面，特別是針對中小企業(yè)。由于集約化經(jīng)營，使安全更專業(yè)，安全安成本低。主要體現(xiàn)在以下幾個方面：

1、 專業(yè)技術人員和安全專家。

IaaS 基礎設施運營商，有安全專家和可以專業(yè)安全維護隊伍。對中小 企業(yè)而言，很難建立安全隊伍，更不用說安全專家。一方面安全專家代價高，另外一方面安全方 面靠一兩個人很難做的很好。

2、 集中的補丁關注和分發(fā)機制。

IaaS 基礎設施運營商可以對所有的資源池客戶提供補丁監(jiān)控和補丁 分發(fā)機制，可以及時知道業(yè)界發(fā)布的新的安全補丁，并及時下發(fā)到各客戶機上面。而中小企業(yè)很 難做到這一點。

3、 更完備的動態(tài)可調度的安全資源。

IaaS 基礎設施可以調用虛擬防火墻、DDOS 清洗設備、IDP 等設 施，而中小企業(yè)全部去部署這些設備也不太現(xiàn)實。

4、 規(guī)模化經(jīng)營，可以降低安全成本。

上述的人員、安全機制、安全設備都通過復用、規(guī)模化經(jīng)營可 以大大降低每個用戶的平均成本，可以讓每個企業(yè)承擔的起。

要使客戶能夠接受 IaaS 云服務模式，就必須解決安全上存在的問題，打消客戶顧慮，使客戶放心的把系統(tǒng)遷移到運營商的 IaaS 平臺上來。