企业云计算应用中的安全风险防范 云和虚拟化
云计算是网格计算、分布式计算、和并行计算的进一步发展,目前已成为各行业关注的焦点。它是一种基于互联网的超级计算模式,建立了一种按需访问可配置的资源(如网络、服务器、存储、应用程序和服务)的机制,具有强大的计算和存储能力。
随着云计算的普及,安全问题逐步上升,成为制约其发展的重要因素。2011年4月,亚马逊云计算中心崩溃,造成亚马逊云服务中断连续四天,应答服务、新闻服务和位置跟踪等服务都受到影响。同月,索尼云计算服务器遭受一系列的黑客攻击,丢失了七千七百万个帐户的信息。帐户信息包括姓名、出生日期、电子邮件地址和登录信息。
因此,要让企业大规模应用云计算技术与平台,将自己的数据放心地交付于云服务提供商管理,就必须全面分析并着手解决云计算所面临的各种安全风险。
1、云计算面临的主要安全风险
2008年,美国的信息技术研究询公司Gartner发布了《云计算风险评估》报告,主要从供应商全能力角度分析了云计算面临的风险,列出了云计算技术存在的主要安全风险,如表1所示。
表1 Gartner列出的云计算七大风险
2009年云安全联盟CSA发布《云计算关键领域安全指南》,主要从攻击者角度归纳了云计算环境可能面临的主要威胁,提出12个关键安全关注域,之后发布了一份云计算安全风险简明报告,将安全指南浓缩为7个最常见、危害程度最大的威胁,如表2所示。
表2 CSA列出的云计算七大风险
2、主要安全风险防范的分析
2.1服务器与数据库安全
采用云计算的服务或应用,首先服务器和前端的数据库必须可信,之后,企业才能利用云计算所提供的相应的服务。采用云计算服务的企业可以将数据储存在互联网服务供应商(ISP)所提供的存储介质上,从而大幅降低成本。因此在服务器端保证信息交换、数据处理的机密性,完整性和身份验证非常重要的。
2.2网络安全
考虑到云计算的应用,可能的网络连接方式包括有线和无线。
对于大型企业,云计算服务提供商最好构建采用专线或者租用线路模型。因此需要在网络上使用加密系统和认证机制,从而维护信息安全。此外,采用云计算的企业的安全威胁不止来自外部,也可能出现在企业内部。因此为保证信息安全和服务质量的,企业和云运算服务提供商必须达成服务级别协议(SLA)。服务级别协议中必须对服务质量和安全性有明确和准确的定义。
对于中小企业,云计算服务商往往采用虚拟专用网络(VPN)向他们提高服务。对于那些没有保密信息的传输,通过互联网会是最好的选择,但是这种服务是不安全的。
随着无线通信应用的发展,移动云计算也成为当前的一个发展方向。移动云计算是指通过移动互联网络以按需、易扩展的方式获得所需的基础设施、平台、软件(或应用)等IT资源或(信息)服务的交付与使用模式。无线网络具有如低成本,低功耗,高扩展,和更多的灵活性等优势。然而,信息在传送过程中容易被截获、欺骗、篡改。因此,信息安全风险更为突出。
2.3用户认证
管理用户帐户和相应的授权访问权限非常重要。很多企业采用单点登录(single sign on,SSO),或者给每位员工不同的帐户以访问不同系统。这是一种不合适的方法。此外,管理授权的访问权限也是一个关键。
通过集中的身份和访问管理,云计算的用户能够以一种标准的方法保护影响信息安全的操作和信息,从而满足安全需要,增加效率和避免风险。
云计算的用户认证与授权措施需要具备如下的能力:
1)身份管理。在用户身份生命周期中,有效地管理用户身份和访问资源的权限,具体包括:
用户身份生命周期管理,包括用户自注册、自管理和自动化的用户身份标识部署服务。
用户身份控制,包括访问和权限控制、单点登录和审计。
2)访问授权。在用户身份生命周期内提供随时的访问。用户身份生命周期可能跨越多种环境和安全域,可以通过集中的身份、访问、认证和审查,监测、管理并降低身份识别和访问的风险。
2.4云端的数据安全
无论是底层的IaaS,还是中间层的PaaS或者最高层的SaaS,云存储都是云应用实现的关键。云端的数据安全必须达到如下要求:
1)存储和系统保护:服务提供商必须提供存储系统保护避免发生数据损坏和系统故障的可能。
2)数据保护:存储的数据必须不允许未经授权的用户或入侵者访问,员工的访问也必须符合授权和认证的要求。此外,服务提供者必须保证数据的完整性。
3、结语
云计算具有广阔的发展前景,越来越多的企业正在采用云计算模式。但同时其所面临的安全风险也是前所未有的。虽然云计算应用中的安全问题现在还有很多亟待解决,但各种解决方案的推出,将大大减少这些威胁,云计算的发展必将进一步影响世界。