《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 走進(jìn)云計(jì)算時(shí)代:全解析云計(jì)算安全問(wèn)題
走進(jìn)云計(jì)算時(shí)代:全解析云計(jì)算安全問(wèn)題
摘要: 云計(jì)算作為一個(gè)新名詞,,人們甚至還沒(méi)有弄清楚它的確切定義,云計(jì)算安全問(wèn)題就隨之而來(lái),,關(guān)于云計(jì)算安全的討論也屢見(jiàn)媒體和學(xué)術(shù)報(bào)章,。但是,,根據(jù)筆者的觀察,,很多人對(duì)云計(jì)算安全問(wèn)題的理解多有模糊之處,,對(duì)云計(jì)算安全問(wèn)題的本質(zhì)缺乏足夠的理解。本文就云計(jì)算安全問(wèn)題發(fā)表一下自己的看法,。文章分為五個(gè)部分,,第一部分是關(guān)于云計(jì)算安全問(wèn)題的范圍;第二部分涉及廣義的云計(jì)算安全問(wèn)題,即可靠性和可用性;第三部分介紹云計(jì)算對(duì)傳統(tǒng)信息安全領(lǐng)域的影響;第四部分討論解決云計(jì)算安全問(wèn)題的措施;第五部分是結(jié)語(yǔ),。
關(guān)鍵詞: 云計(jì)算 云安全 解決方法
Abstract:
Key words :

云計(jì)算" title="云計(jì)算">云計(jì)算作為一個(gè)新名詞,,人們甚至還沒(méi)有弄清楚它的確切定義,云計(jì)算安全問(wèn)題就隨之而來(lái),,關(guān)于云計(jì)算安全的討論也屢見(jiàn)媒體和學(xué)術(shù)報(bào)章。但是,,根據(jù)筆者的觀察,,很多人對(duì)云計(jì)算安全問(wèn)題的理解多有模糊之處,,對(duì)云計(jì)算安全問(wèn)題的本質(zhì)缺乏足夠的理解。本文就云計(jì)算安全問(wèn)題發(fā)表一下自己的看法,。文章分為五個(gè)部分,,第一部分是關(guān)于云計(jì)算安全問(wèn)題的范圍;第二部分涉及廣義的云計(jì)算安全問(wèn)題,即可靠性和可用性;第三部分介紹云計(jì)算對(duì)傳統(tǒng)信息安全領(lǐng)域的影響;第四部分討論解決云計(jì)算安全問(wèn)題的措施;第五部分是結(jié)語(yǔ),。

一,、云計(jì)算安全問(wèn)題究竟是什么問(wèn)題

  人們常把云計(jì)算服務(wù)比喻成電網(wǎng)的供電服務(wù)?!豆鹕虡I(yè)評(píng)論》前執(zhí)行主編Nick Carr在新書(shū)“The Big Switch”中比較了云計(jì)算和電力網(wǎng)絡(luò)的發(fā)展,,他認(rèn)為“云計(jì)算對(duì)技術(shù)產(chǎn)生的作用就像電力網(wǎng)絡(luò)對(duì)電力應(yīng)用產(chǎn)生的作用”一樣,電力網(wǎng)絡(luò)改進(jìn)了公司的運(yùn)行,,每個(gè)家庭從此可以享受便宜的能源,,而不必自己家里發(fā)電。他認(rèn)為云計(jì)算也會(huì)在下一個(gè)十年促成和電力網(wǎng)絡(luò)發(fā)展類(lèi)似的循環(huán),。也有人把云計(jì)算服務(wù)比喻成自來(lái)水公司的供水服務(wù),。原來(lái)每個(gè)家庭和單位自己挖水井、修水塔,,自己負(fù)責(zé)水的安全問(wèn)題,,例如避免受到污染,防止別人偷水等等,。

  從這些比喻當(dāng)中,,我們窺見(jiàn)了云計(jì)算的本質(zhì):云計(jì)算只不過(guò)是服務(wù)方式的改變!自己開(kāi)發(fā)程序服務(wù)于本單位和個(gè)人,是一種服務(wù)方式 ;委托專(zhuān)業(yè)的軟件公司開(kāi)發(fā)軟件滿足其自身的需求也是一種方式;隨時(shí)隨地享受云中提供的服務(wù),,而不關(guān)心云的位置和實(shí)現(xiàn)途徑,,是一種到目前為止最高級(jí)的服務(wù)方式。

  從這些比喻當(dāng)中,,我們還看出云計(jì)算的安全問(wèn)題:

  就像我們天天使用的自來(lái)水一樣,,我們究竟要關(guān)心什么安全問(wèn)題呢?第一,我們關(guān)心自來(lái)水公司提供的水是否安全,,自來(lái)水公司必然會(huì)承諾水的質(zhì)量,,并采取相應(yīng)的措施來(lái)保證水的安全。第二,,用戶本身也要提高水的使用安全,,自來(lái)水有多種,有僅供洗浴的熱水,,有供打掃衛(wèi)生的中水,,有供飲用的水等等,例如,,不能飲用中水,,要將水燒開(kāi)再用,,不能直接飲用,這些安全問(wèn)題都是靠用戶自己來(lái)解決,。還有嗎?如果要算的話,,還有第三個(gè)安全問(wèn)題,,那就是用戶擔(dān)心別人會(huì)把水費(fèi)記到自己的賬單上來(lái),,擔(dān)心自來(lái)水公司多收錢(qián),。

  和自來(lái)水供應(yīng)一樣,云計(jì)算的安全問(wèn)題也大致分為三個(gè)方面,。第一方面,,云計(jì)算的服務(wù)提供商他們的網(wǎng)絡(luò)是安全的嗎,有沒(méi)有別人闖進(jìn)去盜用我們的賬號(hào)?他們提供的存儲(chǔ)是安全的嗎?會(huì)不會(huì)造成數(shù)據(jù)泄密?這些都需要云計(jì)算服務(wù)提供商們要解決,、要向客戶承諾的問(wèn)題,。就像自來(lái)水公司要按照國(guó)家有關(guān)部門(mén)法規(guī)生產(chǎn)水一樣,約束云計(jì)算的服務(wù)提供商的行為和技術(shù),,也一定需要國(guó)家出臺(tái)相應(yīng)的法規(guī),。第二方面,客戶在使用云計(jì)算提供的服務(wù)時(shí)也要注意:在云計(jì)算服務(wù)提供商的安全性和自己數(shù)據(jù)的安全性上做個(gè)平衡,,太重要的數(shù)據(jù)不要放到云里,,而是藏在自己的保險(xiǎn)柜中;或?qū)⑵浼用芎笤俜诺皆浦校挥凶约翰拍芙饷軘?shù)據(jù),,將安全性的主動(dòng)權(quán)牢牢掌握在自己手中,,而不依賴于服務(wù)提供商的承諾和他們的措施。第三方面,,客戶要保管好自己的賬戶,,防止他人盜取你的賬號(hào)使用云中的服務(wù),而讓你埋單,。

  不難看出,,云計(jì)算所采用的技術(shù)和服務(wù)同樣可以被黑客利用來(lái)發(fā)送垃圾郵件,或者發(fā)起針對(duì)下載,、數(shù)據(jù)上傳統(tǒng)計(jì),、惡意代碼監(jiān)測(cè)等更為高級(jí)的惡意程序攻擊。所以,,云計(jì)算的安全技術(shù)和傳統(tǒng)的安全技術(shù)一樣:云計(jì)算服務(wù)提供商需要采用防火墻保證不被非法訪問(wèn);使用殺病毒軟件保證其內(nèi)部的機(jī)器不被感染;用入侵檢測(cè)和防御設(shè)備防止黑客的入侵;用戶采用數(shù)據(jù)加密,、文件內(nèi)容過(guò)濾等防止敏感數(shù)據(jù)存放在相對(duì)不安全的云里。

  不一樣的地方是隨著服務(wù)方式的改變,,在云計(jì)算時(shí)代,,安全設(shè)備和安全措施的部署位置有所不同;安全責(zé)任的主體發(fā)生了變化。在自家掘井自己飲用的年代,,水的安全性由自己負(fù)責(zé),,在自來(lái)水時(shí)代,,水的安全性由自來(lái)水公司作出承諾,,客戶只須在使用水的過(guò)程中注意安全問(wèn)題即可,。原來(lái),用戶自己要保證服務(wù)的安全性,,現(xiàn)在由云計(jì)算服務(wù)提供商來(lái)保證服務(wù)提供的安全性,。

二、廣義的云計(jì)算安全問(wèn)題

  關(guān)于云計(jì)算的安全性的討論,,見(jiàn)諸于很多場(chǎng)合,。人們往往將服務(wù)的可靠性(Reliability)、可用性(Availability)和安全性(Security)一起談?wù)?。但?yán)格講來(lái),,可用性和可靠消息是有很多差別的。

  可靠性指的是,,對(duì)于一個(gè)產(chǎn)品或一個(gè)過(guò)程,,如果它像您期望的那樣正確工作,你就可以說(shuō)它是可靠的,。更具體地,,在工程領(lǐng)域,可靠性是系統(tǒng)在規(guī)定時(shí)間內(nèi),、在規(guī)定的環(huán)境里,,按照預(yù)定的目的和方式正確運(yùn)行的可能性大小(概率)。

  可用性指的是,,在遇到問(wèn)題(例如一個(gè)零件失效)的時(shí)候,,系統(tǒng)保持提供服務(wù)的能力。如,,一個(gè)磁盤(pán)驅(qū)動(dòng)器失效之后,,系統(tǒng)在不中斷任何應(yīng)用的前提下,仍能提供數(shù)據(jù)訪問(wèn)能力,。對(duì)互聯(lián)網(wǎng)環(huán)境,,可用性至關(guān)重要,例如當(dāng)用戶訪問(wèn)一個(gè)網(wǎng)站的時(shí)候,,即使服務(wù)器繁忙,,也要給用戶一個(gè)合理的反饋,如“系統(tǒng)繁忙,,請(qǐng)稍等”,,不能沒(méi)有任何反應(yīng)。

  安全指的是沒(méi)有危險(xiǎn)和風(fēng)險(xiǎn),,免受打探和攻擊;安全性也是一種信心的體現(xiàn),,沒(méi)有懷疑和擔(dān)心,。在計(jì)算機(jī)領(lǐng)域,安全性是保證存儲(chǔ)在計(jì)算機(jī)上的數(shù)據(jù)不被沒(méi)有權(quán)限的人盜取和訪問(wèn),,絕大多數(shù)安全措施涉及到數(shù)據(jù)加密和口令,。

  不難看出,用戶在關(guān)鍵時(shí)刻無(wú)法訪問(wèn)云計(jì)算服務(wù)器的問(wèn)題屬于可用性或可靠性問(wèn)題,。例如,,微軟云計(jì)算平臺(tái)WindowsAzure運(yùn)作的中斷,亞馬遜的“簡(jiǎn)單存儲(chǔ)服務(wù)”(Simple StorageService,,S3)兩次中斷,,導(dǎo)致依賴于網(wǎng)絡(luò)單一存儲(chǔ)服務(wù)的網(wǎng)站被迫癱瘓,S3問(wèn)題阻止了新虛擬機(jī)在計(jì)算云上的注冊(cè),,以至于有些虛擬機(jī)無(wú)法啟動(dòng),,凡此種種,都屬于可用性和可靠性問(wèn)題,。當(dāng)然這類(lèi)問(wèn)題的背后,,有可能是微軟、亞馬遜的安全措施沒(méi)有到位,,遭受了黑客的攻擊所致;也可能是系統(tǒng)自身的可靠性沒(méi)有得到充分保證所致,。但其表現(xiàn)出來(lái)的問(wèn)題不是我們傳統(tǒng)意義上的安全問(wèn)題,而是可靠性和可用性問(wèn)題,。這里我們姑且將之納入到廣義的云安全" title="云安全">云安全里,。

  Linkup與博客平臺(tái)JournalSpace發(fā)生的云端失聯(lián)或云端消失的事故,還可能為你保管資料的公司突然關(guān)門(mén)大吉,,導(dǎo)致你不能繼續(xù)使用云端服務(wù),,都屬于廣義的云計(jì)算安全問(wèn)題。

  可靠性,、可用性和安全性一樣重要,,可靠性、可用性和安全性成為當(dāng)前云計(jì)算的主要威脅,,其重要性足以引起我們的高度關(guān)注,。

三、云計(jì)算對(duì)傳統(tǒng)安全帶來(lái)深遠(yuǎn)影響

  云計(jì)算是一種嶄新的服務(wù)模式,,它影響著傳統(tǒng)的信息安全領(lǐng)域,。特別對(duì)于傳統(tǒng)的反病毒和入侵檢測(cè)和防御廠商而言,他們利用云計(jì)算平臺(tái),,大大提升了他們的服務(wù)能力和水平,。

  趨勢(shì)科技關(guān)注云計(jì)算,探索如何將客戶端日漸龐大的資料庫(kù)擺在云端,借助威脅信息匯總的全球網(wǎng)絡(luò),,在Web 威脅到達(dá)網(wǎng)絡(luò)或計(jì)算機(jī)之前對(duì)其予以攔截;瑞星打出了“安全云”計(jì)算口號(hào),,利用云計(jì)算提升其對(duì)病毒樣本的收集能力,減少威脅的響應(yīng)時(shí)間;賽門(mén)鐵克等廠商設(shè)立專(zhuān)門(mén)的“蜜罐系統(tǒng)”,,來(lái)廣泛收集網(wǎng)絡(luò)中存在的攻擊行為;網(wǎng)絡(luò)安全廠商Websense在惡意代碼收集及應(yīng)急響應(yīng)方面也充分利用了云計(jì)算的特征,,其在全球范圍部署的蜜罐和網(wǎng)格計(jì)算的緊密結(jié)合,可以及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)中不斷出現(xiàn)的新型攻擊行為,,為其規(guī)則庫(kù)的及時(shí)更新提供了有力的支持,。

  以上都是關(guān)于傳統(tǒng)安全廠商利用云計(jì)算的優(yōu)勢(shì)以增強(qiáng)其傳統(tǒng)服務(wù)項(xiàng)目和產(chǎn)品的安全性,。

四,、云計(jì)算安全問(wèn)題的解決辦法

1.云計(jì)算用戶的安全辦法

  聽(tīng)取專(zhuān)家建議,選用相對(duì)可靠的云計(jì)算服務(wù)提供商,。用戶在享受云計(jì)算服務(wù)之前,,要清楚地了解使用云服務(wù)的風(fēng)險(xiǎn)所在?一般地,專(zhuān)家推薦使用那些規(guī)模大,、商業(yè)信譽(yù)良好的云計(jì)算服務(wù)提供商,。Gartner 咨詢公司副總裁DavidCearley表示,“使用云計(jì)算的局限是企業(yè)必須認(rèn)真對(duì)待的敏感問(wèn)題,,企業(yè)必須對(duì)云計(jì)算發(fā)揮作用的時(shí)間和地點(diǎn)所產(chǎn)生的風(fēng)險(xiǎn)加以衡量”,。企業(yè)通過(guò)減少對(duì)某些數(shù)據(jù)的控制,來(lái)節(jié)約經(jīng)濟(jì)成本,,意味著可能要把企業(yè)信息,、客戶信息等敏感的商業(yè)數(shù)據(jù)存放到云計(jì)算服務(wù)提供商的手中,對(duì)于信息管理者而言,,他們必須對(duì)這種交易是否值得做出選擇,。基于內(nèi)容感知的技術(shù)可以幫助用戶判斷什么數(shù)據(jù)可以上載,,什么數(shù)據(jù)不可以上載,,如果發(fā)現(xiàn)試圖將敏感數(shù)據(jù)傳到云端,系統(tǒng)將及時(shí)阻斷并報(bào)警,。

  增強(qiáng)安全防范意識(shí),。幸運(yùn)的是,一點(diǎn)點(diǎn)常識(shí)和一些簡(jiǎn)單的正確電腦操作練習(xí)可以將這類(lèi)安全性失誤的影響降至最低,,避免將你的機(jī)密資料放在云端上,,如果你真的放了,例如利用網(wǎng)上銀行時(shí),,避免在網(wǎng)絡(luò)咖啡廳,、學(xué)校或圖書(shū)館內(nèi)的公用電腦上進(jìn)行,也別太隨便給出自己真正的聯(lián)絡(luò)資料,,避免每個(gè)賬號(hào)都使用同一個(gè)密碼,,就算只更改一個(gè)字母也好。云計(jì)算下增強(qiáng)安全意識(shí),,清楚地認(rèn)識(shí)到風(fēng)險(xiǎn),,并采取必要的防范措施來(lái)確保安全。

  經(jīng)常備份,。存儲(chǔ)在云里的數(shù)據(jù),,要經(jīng)常備份,以免在云計(jì)算服務(wù)遭受攻擊,、數(shù)據(jù)丟失的情況下,,數(shù)據(jù)得不到恢復(fù)。

  建立企業(yè)的“私有云”,。當(dāng)數(shù)據(jù)重要到不放心放在別人管理的云里,,就建立自己的私有云。私有云也叫企業(yè)云,,它是居于企業(yè)防火墻以里的一種更加安全穩(wěn)定的云計(jì)算環(huán)境,,面向內(nèi)部用戶或者外部客戶提供云計(jì)算服務(wù),企業(yè)擁有云計(jì)算環(huán)境的自主權(quán),。與之相對(duì)應(yīng)的是“公共云”,,通過(guò)云計(jì)算提供商自己的基礎(chǔ)架構(gòu)直接向用戶提供服務(wù),用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)服務(wù),,但用戶不擁有云計(jì)算資源,。

  數(shù)據(jù)加密后放到云端保存。透明加密技術(shù)可以幫助企業(yè)強(qiáng)制執(zhí)行安全策略,,保證存儲(chǔ)在云里的數(shù)據(jù)只能是以密文的形式存在,,企業(yè)自主控制數(shù)據(jù)安全性,不再被動(dòng)依賴服務(wù)提供商的安全保障措施,。

2.云計(jì)算服務(wù)提供商的安全辦法

  國(guó)家對(duì)云計(jì)算服務(wù)提供商進(jìn)行規(guī)范和監(jiān)督,。美國(guó)加利福尼亞州公用事業(yè)委員會(huì)的CIO Carolyn Lawson認(rèn)為:“從政府的角度來(lái)講,我們不會(huì)將所有的數(shù)據(jù)信息都遷移到‘云’中,,因?yàn)槲覀兊臄?shù)據(jù)包括個(gè)人社會(huì)保障號(hào)碼,、駕駛執(zhí)照、還有子女信息等等,,公眾把他們的個(gè)人信息交給我們希望我們能夠很好的保護(hù)這些信息,。如果我們將這些信息交給一家云計(jì)算公司,而這家公司非法將這些信息出售的話,,我們?cè)撛趺唇鉀Q?我們要承擔(dān)這個(gè)責(zé)任”,。這充分顯示了云計(jì)算安全問(wèn)題的癥結(jié),,即云計(jì)算公司的安全可信度成了當(dāng)今云計(jì)算應(yīng)用的主要障礙。

  解決這個(gè)問(wèn)題的根本辦法不是依賴云計(jì)算提供商的自覺(jué)性,,而是依賴政府部門(mén)或相當(dāng)?shù)臋?quán)威部門(mén)強(qiáng)制要求云計(jì)算公司采用必要的措施,,保證服務(wù)的安全性。也許不久的將來(lái),,國(guó)家政府部門(mén)將制定相應(yīng)的法規(guī),,對(duì)云計(jì)算企業(yè)強(qiáng)制進(jìn)行合規(guī)性檢查,檢查包括廠商對(duì)客戶承諾的不合理性,、廠商信守承諾的程度,、廠商在對(duì)待客戶的數(shù)據(jù)的審計(jì)和監(jiān)管力度。像檢查自來(lái)水公司水的安全性那樣,,國(guó)家要對(duì)云計(jì)算廠商的安全性進(jìn)行規(guī)范和監(jiān)督,。

  云計(jì)算廠商采用必要的安全措施。云計(jì)算廠商內(nèi)部的網(wǎng)絡(luò)和我們大多數(shù)企業(yè)的網(wǎng)絡(luò)沒(méi)什么不一樣的地方,,其要實(shí)施的安全措施也是傳統(tǒng)的安全措施,。包括訪問(wèn)控制、入侵防御,、反病毒部署、防止內(nèi)部數(shù)據(jù)泄密和網(wǎng)絡(luò)內(nèi)容與行為監(jiān)控審計(jì)等,。

  云計(jì)算廠商采用分權(quán)分級(jí)管理,。為了防止云計(jì)算平臺(tái)供應(yīng)商“偷窺”客戶的數(shù)據(jù)和程序,可以采取分級(jí)控制和流程化管理的方法,。銀行是一個(gè)很好的例子,,銀行雖然儲(chǔ)存著所有客戶銀行卡的密碼,但即使是銀行內(nèi)部員工,,也無(wú)法獲取客戶的密碼信息;同時(shí),,銀行系統(tǒng)內(nèi)也有一系列流程防止出現(xiàn)“內(nèi)鬼”。例如,,將云計(jì)算的運(yùn)維體系分為兩級(jí),,一級(jí)是普通的運(yùn)維人員,他們負(fù)責(zé)日常的運(yùn)維工作,,但是無(wú)法登錄物理主機(jī),,也無(wú)法進(jìn)入受控的機(jī)房,接觸不到用戶數(shù)據(jù);二級(jí)是具備核心權(quán)限的人員,,他們雖然可以進(jìn)入機(jī)房也可以登錄物理主機(jī),,但受到運(yùn)維流程的嚴(yán)格控制。

五,、結(jié)語(yǔ)

  云計(jì)算改變了服務(wù)方式,,但并沒(méi)有顛覆傳統(tǒng)的安全模式。所不同的是,在云計(jì)算時(shí)代,,安全設(shè)備和安全措施的部署位置有所不同;安全責(zé)任的主體發(fā)生了變化,。原來(lái),用戶自己要保證服務(wù)的安全性,,現(xiàn)在由云計(jì)算服務(wù)提供商來(lái)保證服務(wù)提供的安全性,。和云計(jì)算安全問(wèn)題同樣重要,云計(jì)算的可靠性和可用性值得高度關(guān)注,。云計(jì)算提供給傳統(tǒng)安全廠商以極大的優(yōu)勢(shì)來(lái)提高服務(wù)質(zhì)量和水平,。解決云計(jì)算安全問(wèn)題的辦法和傳統(tǒng)的解決安全問(wèn)題的辦法一樣,也是策略,、技術(shù)和人的三個(gè)要素的組合,。

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。