云計算面臨的安全問(wèn)題及防護措施

云計算面臨的安全問(wèn)題

云計算服務(wù)基于寬帶網(wǎng)絡(luò )特別是互聯(lián)網(wǎng)提供，面臨各類(lèi)傳統安全威脅，且安全問(wèn)題隨系統規?；环糯?。另一方面，云計算與傳統的計算模式相比具有開(kāi)放性、分布式計算與存儲、無(wú)邊界、虛擬性、多租戶(hù)、數據的所有權和管理權分離等特點(diǎn)，同時(shí)，云中包含大量軟件和服務(wù)，以各種標準為基礎，數據量龐大，系統非常復雜，因而在技術(shù)、管理和法律等方面面臨新的安全挑戰。此外，云計算系統中存放著(zhù)海量的重要用戶(hù)數據，對攻擊者來(lái)說(shuō)具有更大的誘惑力，如果攻擊者通過(guò)某種方式成功攻擊云系統，將會(huì )給云計算服務(wù)提供商和用戶(hù)帶來(lái)重大損失，因此，云計算的安全性面臨著(zhù)比以往更為嚴峻的考驗。與傳統IT安全比較，云計算特有的安全問(wèn)題主要有以下三個(gè)方面：

(1 )云計算平臺導致的安全問(wèn)題。云計算平臺聚集了大量用戶(hù)和數據資源，更容易吸引黑客攻擊，而故障一旦發(fā)生，其影響范圍多，后果更加嚴重。此外，其開(kāi)放性對接口的安全也提出了更高的要求。另外，云計算平臺上集成了多個(gè)租戶(hù)，多租戶(hù)之間的信息資源如何安全隔離也成為云計算安全的突出問(wèn)題。

(2)虛擬化環(huán)境下的技術(shù)及管理問(wèn)題。傳統的基于物理安全邊的防護機制難以有效保護基于共享虛擬化環(huán)境下的用戶(hù)應用及信息安全。另外，云計算的系統如此之大，而且主要是通過(guò)虛擬機進(jìn)算，一旦出現故障，如何快速定位問(wèn)題所在也是一個(gè)重大挑戰。

(3) 云計算這種全新的服務(wù)模式將資源的所有權、管理權及使權進(jìn)行了分離，因此用戶(hù)失去了對物理資源的直接控制，會(huì )面臨與服務(wù)商協(xié)作的一些安全問(wèn)題，如用戶(hù)是否會(huì )面臨服務(wù)退出障礙，不完整和不安全的數據刪除會(huì )對用戶(hù)造成損害，因此如何界定用戶(hù)與服務(wù)提供商的不同責任也是一個(gè)重要問(wèn)題。

云計算安全防護

1 基礎設施安全

基礎設施安全包括服務(wù)器系統安全、網(wǎng)絡(luò )管理系統安全、域名系統安全、網(wǎng)絡(luò )路由系統安全、局域網(wǎng)和VLAN配置等。主要的安全措施包括安全冗余設計、漏洞掃描與加固，IPS/IDS、DNSSec等?？紤]到云計算環(huán)境的業(yè)務(wù)持續性，設備的部署還須要考慮到高可靠性的支持，諸如雙機熱備、配置同步，鏈路捆綁聚合及硬件Bypass 等特性，實(shí)現大流量匯聚情況下的基礎安全防護。

2 數據安全

云數據安全包含的內容遠遠不只是簡(jiǎn)單的數據加密。數據安全的需求隨著(zhù)三種服務(wù)模式，四種部署模式(公共云、私有云、社區云、混合云)以及對風(fēng)險的承受能力而變化。滿(mǎn)足云數據安全的要求，需要應用現有的安全技術(shù)，并遵循健全的安全實(shí)踐，必須對各種防范措施進(jìn)行全盤(pán)考慮，使其構成一道彈性的屏障。主要安全措施包括對不同用戶(hù)數據進(jìn)行虛擬化的邏輯隔離、使用身份認證及訪(fǎng)問(wèn)管理技術(shù)措施等，從而保障靜態(tài)數據和動(dòng)態(tài)數據的保密性、完整性、可用性、真實(shí)性、授權、認證和不可抵賴(lài)性。

3 虛擬化安全

虛擬化的安全包括兩方面的問(wèn)題：一是虛擬技術(shù)本身的安全，二是虛擬化引入的新的安全問(wèn)題。虛擬技術(shù)有許多種，最常用的是虛擬機(VM)技術(shù)，需考慮VM內的進(jìn)程保護，此外還有Hypervisor 和其他管理模塊這些新的攻擊層面?？梢圆捎玫陌踩胧┯校禾摂M鏡像文件的加密存儲和完整性檢查、VM 的隔離和加固、VM 訪(fǎng)問(wèn)控制、虛擬化脆弱性檢查、VM 進(jìn)程監控、VM的安全遷移等。

4 身份認證與訪(fǎng)問(wèn)管理(IAM，Identity and AccessManagement)

IAM 是用來(lái)管理數字身份并控制數字身份如何訪(fǎng)問(wèn)資源的方法、技術(shù)和策略，用于確保資源被安全訪(fǎng)問(wèn)的業(yè)務(wù)流程和管理手段，從而實(shí)現對企業(yè)信息資產(chǎn)進(jìn)行統一的身份認證、授權和身份數據集中化的管理與審計。IAM是保證云計算安全運行的關(guān)鍵所在。傳統的IAM 管理范疇，例如自動(dòng)化管理用戶(hù)賬號、用戶(hù)自助式服務(wù)、認證、訪(fǎng)問(wèn)控制、單點(diǎn)登錄、職權分離、數據保護、特權用戶(hù)管理、數據防丟失保護措施與合規報告等，都與云計算的各種應用模式息息相關(guān)。

IAM并不是一個(gè)可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個(gè)由各種技術(shù)組件、過(guò)程和標準實(shí)踐組成的體系架構。標準的企業(yè)級IAM 體系架構包含技術(shù)、服務(wù)和過(guò)程等幾個(gè)層面，其部署體系架構的核心是目錄服務(wù)，目錄服務(wù)是機構用戶(hù)群的身份、證書(shū)和用戶(hù)屬性的信息庫。

5 應用安全

由于云環(huán)境的靈活性、開(kāi)放性以及公眾可用性等特性，給應用安全帶來(lái)了很多挑戰。云計算的應用主要通過(guò)Web 瀏覽器實(shí)現。因此，在云計算中，對于應用安全，尤其需要注意的是Web 應用的安全。要保證SaaS 的應用安全，就要在應用的設計開(kāi)發(fā)之初，制定并遵循適合SaaS 模式的安全開(kāi)發(fā)生命周期規范和流程，從整體生命周期上去考慮應用安全?？梢圆捎玫姆雷o措施有訪(fǎng)問(wèn)控制、配置加固、部署應用層防火墻等。