云計算還存在哪些技術或管理方面的風險?
安全問題是企業(yè)開展云計算業(yè)務的關鍵。最近幾年,業(yè)界主流云服務商接連發(fā)生的安全事件暴露了云計算應用安全在服務可用性、內(nèi)容安全與隱私保護方面存在諸多隱患。作為一種新型的計算模式,云計算的運營有別于傳統(tǒng)IT業(yè)務,面臨新的安全風險,主要包括技術風險和管理風險。
風險,也就是指我們不希望發(fā)生的事件發(fā)生的概率。在信息安全領域,風險就是一個惡意或非惡意暴露機密信息事件、或威脅數(shù)據(jù)一致性以及干擾系統(tǒng)和信息可用性事件發(fā)生的概率。任何接入互聯(lián)網(wǎng)的組織都處于風險之中,他們都應考慮黑暗網(wǎng)絡的彈性特性和擴展私有云計算和公共云計算網(wǎng)絡的能力。
從技術角度來看,云服務系統(tǒng)和傳統(tǒng)IT系統(tǒng)類似,傳統(tǒng)IT系統(tǒng)中各個層次存在的安全問題在云環(huán)境中仍然存在,如系統(tǒng)的物理安全、主機、網(wǎng)絡等基礎設施安全、應用安全等。云服務器中,硬件平臺通過虛擬化為多個應用共享。由于傳統(tǒng)安全策略主要適用于物理設備,如物理主機、網(wǎng)絡設備、磁盤陣列等,而無法管理到每個虛擬機、虛擬網(wǎng)絡等,使得傳統(tǒng)的基于物理安全邊界的防護機制難以有效保護共享虛擬化環(huán)境下的用戶應用及信息安全。
用戶在使用云服務器的過程中,不可避免地要通過互聯(lián)網(wǎng)將數(shù)據(jù)從其主機移動到云上,并登錄到云上進行數(shù)據(jù)的管理。在此過程中,如果沒有采取足夠的安全措施,將面臨數(shù)據(jù)泄漏和被篡改的安全風險。
業(yè)務專家理解和接受與云計算客戶和云計算供應商相關的風險。無論你擔任了什么樣的角色,要管理什么樣不想要發(fā)生的潛在事件,都必須實施風險管理。在云計算關系的特定情況下,雙方的風險管理工作都是必要的,其中企業(yè)用戶和云計算供應商都必須擁有成熟的風險管理計劃。成熟度是通過一個有管理、有周期性報告以及維持低風險狀態(tài)定量證據(jù)的計劃來證明的。
用戶的數(shù)據(jù)和業(yè)務應用處于云計算系統(tǒng)中,其業(yè)務流程將依賴于云計算服務提供商所提供的服務,這對服務提供商的云平臺服務連續(xù)性、SLA和IT流程、安全策略、事件處理和分析能力等提出了挑戰(zhàn)。同時,當發(fā)生系統(tǒng)故障時,如何保證用戶數(shù)據(jù)的快速恢復也成為一個重要問題。
隨著大數(shù)據(jù)時代的來臨,傳統(tǒng)的存儲架構無法解決高速的數(shù)據(jù)增長,越來越多的企業(yè)使用大數(shù)據(jù)平臺存儲數(shù)據(jù)。大數(shù)據(jù)平臺大多是基于一些開源軟件開發(fā)而成,其復雜的架構,模塊的不穩(wěn)定,數(shù)據(jù)的跨地域傳輸?shù)忍攸c,都會給大數(shù)據(jù)平臺的安全帶來極大的威脅。當使用云計算后,你將無法知道數(shù)據(jù)確切的存放位置,甚至不知道是被存放在了哪個國家。
這對云計算普及提出了更高的要求和更大的挑戰(zhàn)。在網(wǎng)絡安全等級保護制度中,云服務商和云租戶應該共同承擔安全責任,建設安全防護措施。而現(xiàn)有云環(huán)境下,除提供邊界的安全防護和基本虛擬網(wǎng)絡保護外,缺少更豐富的安全服務,更無法直接為租戶提供安全服務,云租戶難以便利實現(xiàn)其網(wǎng)絡安全防護,履行其安全職責,存在合規(guī)性風險。
