企業(yè)云計(jì)算應(yīng)用中的安全風(fēng)險(xiǎn)防范

責(zé)任編輯:editor004

2014-06-04 17:01:02

摘自:e-works

云計(jì)算是網(wǎng)格計(jì)算、分布式計(jì)算、和并行計(jì)算的進(jìn)一步發(fā)展,目前已成為各行業(yè)關(guān)注的焦點(diǎn)。通過集中的身份和訪問管理,云計(jì)算的用戶能夠以一種標(biāo)準(zhǔn)的方法保護(hù)影響信息安全的操作和信息,從而滿足安全需要,增加效率和避免風(fēng)險(xiǎn)。

云計(jì)算是網(wǎng)格計(jì)算、分布式計(jì)算、和并行計(jì)算的進(jìn)一步發(fā)展,目前已成為各行業(yè)關(guān)注的焦點(diǎn)。它是一種基于互聯(lián)網(wǎng)的超級(jí)計(jì)算模式,建立了一種按需訪問可配置的資源(如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用程序和服務(wù))的機(jī)制,具有強(qiáng)大的計(jì)算和存儲(chǔ)能力。

隨著云計(jì)算的普及,安全問題逐步上升,成為制約其發(fā)展的重要因素。2011年4月,亞馬遜云計(jì)算中心崩潰,造成亞馬遜云服務(wù)中斷連續(xù)四天,應(yīng)答服務(wù)、新聞服務(wù)和位置跟蹤等服務(wù)都受到影響。同月,索尼云計(jì)算服務(wù)器遭受一系列的黑客攻擊,丟失了七千七百萬個(gè)帳戶的信息。帳戶信息包括姓名、出生日期、電子郵件地址和登錄信息。

因此,要讓企業(yè)大規(guī)模應(yīng)用云計(jì)算技術(shù)與平臺(tái),將自己的數(shù)據(jù)放心地交付于云服務(wù)提供商管理,就必須全面分析并著手解決云計(jì)算所面臨的各種安全風(fēng)險(xiǎn)。

1、云計(jì)算面臨的主要安全風(fēng)險(xiǎn)

2008年,美國的信息技術(shù)研究詢公司Gartner發(fā)布了《云計(jì)算風(fēng)險(xiǎn)評(píng)估》報(bào)告,主要從供應(yīng)商全能力角度分析了云計(jì)算面臨的風(fēng)險(xiǎn),列出了云計(jì)算技術(shù)存在的主要安全風(fēng)險(xiǎn),如表1所示。

表1 Gartner列出的云計(jì)算七大風(fēng)險(xiǎn)
企業(yè)云計(jì)算應(yīng)用中的安全風(fēng)險(xiǎn)防范

2009年云安全聯(lián)盟CSA發(fā)布《云計(jì)算關(guān)鍵領(lǐng)域安全指南》,主要從攻擊者角度歸納了云計(jì)算環(huán)境可能面臨的主要威脅,提出12個(gè)關(guān)鍵安全關(guān)注域,之后發(fā)布了一份云計(jì)算安全風(fēng)險(xiǎn)簡明報(bào)告,將安全指南濃縮為7個(gè)最常見、危害程度最大的威脅,如表2所示。

表2 CSA列出的云計(jì)算七大風(fēng)險(xiǎn)
企業(yè)云計(jì)算應(yīng)用中的安全風(fēng)險(xiǎn)防范

  2、主要安全風(fēng)險(xiǎn)防范的分析

2.1服務(wù)器與數(shù)據(jù)庫安全

采用云計(jì)算的服務(wù)或應(yīng)用,首先服務(wù)器和前端的數(shù)據(jù)庫必須可信,之后,企業(yè)才能利用云計(jì)算所提供的相應(yīng)的服務(wù)。采用云計(jì)算服務(wù)的企業(yè)可以將數(shù)據(jù)儲(chǔ)存在互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)所提供的存儲(chǔ)介質(zhì)上,從而大幅降低成本。因此在服務(wù)器端保證信息交換、數(shù)據(jù)處理的機(jī)密性,完整性和身份驗(yàn)證非常重要的。

2.2網(wǎng)絡(luò)安全

考慮到云計(jì)算的應(yīng)用,可能的網(wǎng)絡(luò)連接方式包括有線和無線。

對(duì)于大型企業(yè),云計(jì)算服務(wù)提供商最好構(gòu)建采用專線或者租用線路模型。因此需要在網(wǎng)絡(luò)上使用加密系統(tǒng)和認(rèn)證機(jī)制,從而維護(hù)信息安全。此外,采用云計(jì)算的企業(yè)的安全威脅不止來自外部,也可能出現(xiàn)在企業(yè)內(nèi)部。因此為保證信息安全和服務(wù)質(zhì)量的,企業(yè)和云運(yùn)算服務(wù)提供商必須達(dá)成服務(wù)級(jí)別協(xié)議(SLA)。服務(wù)級(jí)別協(xié)議中必須對(duì)服務(wù)質(zhì)量和安全性有明確和準(zhǔn)確的定義。

對(duì)于中小企業(yè),云計(jì)算服務(wù)商往往采用虛擬專用網(wǎng)絡(luò)(VPN)向他們提高服務(wù)。對(duì)于那些沒有保密信息的傳輸,通過互聯(lián)網(wǎng)會(huì)是最好的選擇,但是這種服務(wù)是不安全的。

隨著無線通信應(yīng)用的發(fā)展,移動(dòng)云計(jì)算也成為當(dāng)前的一個(gè)發(fā)展方向。移動(dòng)云計(jì)算是指通過移動(dòng)互聯(lián)網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的基礎(chǔ)設(shè)施、平臺(tái)、軟件(或應(yīng)用)等IT資源或(信息)服務(wù)的交付與使用模式。無線網(wǎng)絡(luò)具有如低成本,低功耗,高擴(kuò)展,和更多的靈活性等優(yōu)勢(shì)。然而,信息在傳送過程中容易被截獲、欺騙、篡改。因此,信息安全風(fēng)險(xiǎn)更為突出。

2.3用戶認(rèn)證

管理用戶帳戶和相應(yīng)的授權(quán)訪問權(quán)限非常重要。很多企業(yè)采用單點(diǎn)登錄(single sign on,SSO),或者給每位員工不同的帳戶以訪問不同系統(tǒng)。這是一種不合適的方法。此外,管理授權(quán)的訪問權(quán)限也是一個(gè)關(guān)鍵。

通過集中的身份和訪問管理,云計(jì)算的用戶能夠以一種標(biāo)準(zhǔn)的方法保護(hù)影響信息安全的操作和信息,從而滿足安全需要,增加效率和避免風(fēng)險(xiǎn)。

云計(jì)算的用戶認(rèn)證與授權(quán)措施需要具備如下的能力:

1)身份管理。在用戶身份生命周期中,有效地管理用戶身份和訪問資源的權(quán)限,具體包括:

用戶身份生命周期管理,包括用戶自注冊(cè)、自管理和自動(dòng)化的用戶身份標(biāo)識(shí)部署服務(wù)。

用戶身份控制,包括訪問和權(quán)限控制、單點(diǎn)登錄和審計(jì)。

2)訪問授權(quán)。在用戶身份生命周期內(nèi)提供隨時(shí)的訪問。用戶身份生命周期可能跨越多種環(huán)境和安全域,可以通過集中的身份、訪問、認(rèn)證和審查,監(jiān)測(cè)、管理并降低身份識(shí)別和訪問的風(fēng)險(xiǎn)。

2.4云端的數(shù)據(jù)安全

無論是底層的IaaS,還是中間層的PaaS或者最高層的SaaS,云存儲(chǔ)都是云應(yīng)用實(shí)現(xiàn)的關(guān)鍵。云端的數(shù)據(jù)安全必須達(dá)到如下要求:

1)存儲(chǔ)和系統(tǒng)保護(hù):服務(wù)提供商必須提供存儲(chǔ)系統(tǒng)保護(hù)避免發(fā)生數(shù)據(jù)損壞和系統(tǒng)故障的可能。

2)數(shù)據(jù)保護(hù):存儲(chǔ)的數(shù)據(jù)必須不允許未經(jīng)授權(quán)的用戶或入侵者訪問,員工的訪問也必須符合授權(quán)和認(rèn)證的要求。此外,服務(wù)提供者必須保證數(shù)據(jù)的完整性。

3、結(jié)語

云計(jì)算具有廣闊的發(fā)展前景,越來越多的企業(yè)正在采用云計(jì)算模式。但同時(shí)其所面臨的安全風(fēng)險(xiǎn)也是前所未有的。雖然云計(jì)算應(yīng)用中的安全問題現(xiàn)在還有很多亟待解決,但各種解決方案的推出,將大大減少這些威脅,云計(jì)算的發(fā)展必將進(jìn)一步影響世界。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)