學習手冊:“云安全”之云計算安全
云計算在IT技術領域大放異彩,成為***技術潮流的新技術。云計算的高速發展為試圖重新聚焦關鍵業務目標的企業帶來了許多利好,例如提高產品上市的速度、增加企業競爭的優勢以及降低資本和/或運行的開支等等。
為了管理好云計算風險,首先了解風險到底是什么將是非常重要的。
什么是風險?
所謂風險,也就是指我們不希望發生的事件發生的概率。
在信息安全領域,風險就是一個惡意或非惡意暴露機密信息事件、或威脅數據一致性以及干擾系統和信息可用性事件發生的概率。任何接入互聯網的組織都處于風險之中,他們都應考慮黑暗網絡的彈性特性和擴展私有云計算和公共云計算網絡的能力。
根據學習,發現云計算技術面臨著下面幾個方面層次的安全威脅:
一、技術風險
1. IaaS層風險分析
基礎設施即服務(IaaS)為用戶提供計算、存儲、網絡和其它基礎計算資源,用戶可以在上面部署和運行任意的軟件,包括操作系統和應用程序,用戶不用管理和控制底層基礎設施,但要控制操作系統、存儲、部署應用程序和具有對網絡組件(如主機防火墻)具有有限的控制權限的能力。許多最嚴重的IaaS風險很大程度是由于云管理員對操作系統,應用程序和云管理界面的錯誤配置或缺乏安全控制。
其中一個主要風險是缺乏安全的API,這些API是由云提供商提供以允許用戶與他們的服務以及服務管理更無縫的集成。盡管提供商負責提供安全的API和補丁,客戶應該自己對這些API進行評估,包括支持的傳輸方法以及什么樣的數據在與供應商的交互過程中被來回發送。API或應用程序的更新很容易導致兼容性問題,甚至也可能引發數據泄露的場景,因此客戶應該定期測試他們的程序和API交互的部分。
小招數:建議云客戶要在選定IaaS前徹底調研云服務提供商的安全控制和服務水平協議。客戶應盡可能利用多因素身份驗證,對數據進行加密以減少內部威脅,維護密鑰的控制權,并開始比以往任何時候都更關注在云環境中的可用日志。定期掃描基于云的系統漏洞也是一個***做法。
2. PaaS層風險分析
PaaS平臺資源的容器是基于操作系統的虛擬化,與IaaS基礎環境實現解耦,平臺自身的實現多數是應用較廣的開發框架和標準 API,能夠有效提升資源管理水平,有效避免廠商綁定;同時,合理調整單個操作系統之上容器密度的有效部署,可以更好提升資源使用率,降低硬件采購成本。
PaaS主要以容器云形式實現,容器云依賴容器基礎技術,目前常見的有Docker和garden兩種類型。
平臺即服務(PaaS)上進行網絡應用開發是存在著一定風險漏洞的。具體的威脅風險包括黑客、軟件設計缺陷或者不良的測試方法。這些風險有可能會利用漏洞來影響應用或大幅度降低應用的性能。
3. SaaS層風險分析
SaaS(Software-as-a-Service,軟件即服務),通過網絡在線交付服務,企業可以節省更多的成本,把更多的精力用在促進業務發展上而不必被ERP這些軟件的升級維護瑣事而困擾,極大的提升運營效率。
但是很多企業,尤其是大型企業,很不情愿使用SaaS正是因為安全問題,SaaS解決方案缺乏標準化,企業要保護核心數據,不希望這些核心數據由第三方來負責。以前看到過一篇文章,據說多達20%的SaaS部署項目之所以以失敗告終,原因是數據集成方面存在嚴重問題。因此,企業在采用某一種部署模式之前,需要認真分析各種部署模式在系統生命周期所有階段的優缺點,這一點還挺重要噠。
不同的云計算模式責任劃分不同,具體可參見下圖:
二、管理風險
1. 云服務無法滿足SLA
企業依靠服務等級協議(SLA)來要求云計算供應商為所提供的服務提供保障,并在發生服務故障時提出維權主張。比如,SLA明確規定了供應商的責任,在什么樣的時限內供應商應當能夠解決問題,以及發生停機時間和客戶失去業務情況下應當由供應商承擔的責任。但是,當談及云計算SLA時,問題的癥結往往在于細節。比如,涉及客戶退還的內容就是存在問題的。
2. 云服務不可持續風險
企業用戶必須確認保存在云中的數據是長期可用的。當出現問題時,用戶可以在多長時間內把你關心的數據交還給你。
3. 身份管理
業務專家理解和接受與云計算客戶和云計算供應商相關的風險。無論你擔任了什么樣的角色,要管理什么樣不想要發生的潛在事件,都必須實施風險管理。在云計算關系的特定情況下,雙方的風險管理工作都是必要的,其中企業用戶和云計算供應商都必須擁有成熟的風險管理計劃。成熟度是通過一個有管理、有周期性報告以及維持低風險狀態定量證據的計劃來證明的。
三、法律法規風險
1. 數據跨境
隨著大數據時代的來臨,傳統的存儲架構無法解決高速的數據增長,越來越多的企業使用大數據平臺存儲數據。大數據平臺大多是基于一些開源軟件開發而成,其復雜的架構,模塊的不穩定,數據的跨地域傳輸等特點,都會給大數據平臺的安全帶來極大的威脅。當使用云計算后,你將無法知道數據確切的存放位置,甚至不知道是被存放在了哪個國家。
2. 隱私保護
在使用云計算提供的服務時,雖然可以通過SSL對數據進行加密,但是由于云計算同時為多個用戶提供服務,你的數據很有可能與其他云客戶的數據存放在一起。
3. 犯罪取證
云計算同時為多個企業提供服務,同時記錄了多個企業使用云計算的情況,當某一個企業需要被調查時,這種多個企業使用云計算的日志被記錄在一起的情況增加了司法調查的難度。
這對云計算普及提出了更高的要求和更大的挑戰。在網絡安全等級保護制度中,云服務商和云租戶應該共同承擔安全責任,建設安全防護措施。而現有云環境下,除提供邊界的安全防護和基本虛擬網絡保護外,缺少更豐富的安全服務,更無法直接為租戶提供安全服務,云租戶難以便利實現其網絡安全防護,履行其安全職責,存在合規性風險。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
