云計算面臨的安全問題及防護(hù)措施

云計算面臨的安全問題

云計算服務(wù)基于寬帶網(wǎng)絡(luò)特別是互聯(lián)網(wǎng)提供，面臨各類傳統(tǒng)安全威脅，且安全問題隨系統(tǒng)規(guī)模化而被放大。另一方面，云計算與傳統(tǒng)的計算模式相比具有開放性、分布式計算與存儲、無邊界、虛擬性、多租戶、數(shù)據(jù)的所有權(quán)和管理權(quán)分離等特點(diǎn)，同時，云中包含大量軟件和服務(wù)，以各種標(biāo)準(zhǔn)為基礎(chǔ)，數(shù)據(jù)量龐大，系統(tǒng)非常復(fù)雜，因而在技術(shù)、管理和法律等方面面臨新的安全挑戰(zhàn)。此外，云計算系統(tǒng)中存放著海量的重要用戶數(shù)據(jù)，對攻擊者來說具有更大的誘惑力，如果攻擊者通過某種方式成功攻擊云系統(tǒng)，將會給云計算服務(wù)提供商和用戶帶來重大損失，因此，云計算的安全性面臨著比以往更為嚴(yán)峻的考驗。與傳統(tǒng)IT安全比較，云計算特有的安全問題主要有以下三個方面：

(1 )云計算平臺導(dǎo)致的安全問題。云計算平臺聚集了大量用戶和數(shù)據(jù)資源，更容易吸引黑客攻擊，而故障一旦發(fā)生，其影響范圍多，后果更加嚴(yán)重。此外，其開放性對接口的安全也提出了更高的要求。另外，云計算平臺上集成了多個租戶，多租戶之間的信息資源如何安全隔離也成為云計算安全的突出問題。

(2)虛擬化環(huán)境下的技術(shù)及管理問題。傳統(tǒng)的基于物理安全邊的防護(hù)機(jī)制難以有效保護(hù)基于共享虛擬化環(huán)境下的用戶應(yīng)用及信息安全。另外，云計算的系統(tǒng)如此之大，而且主要是通過虛擬機(jī)進(jìn)算，一旦出現(xiàn)故障，如何快速定位問題所在也是一個重大挑戰(zhàn)。

(3) 云計算這種全新的服務(wù)模式將資源的所有權(quán)、管理權(quán)及使權(quán)進(jìn)行了分離，因此用戶失去了對物理資源的直接控制，會面臨與服務(wù)商協(xié)作的一些安全問題，如用戶是否會面臨服務(wù)退出障礙，不完整和不安全的數(shù)據(jù)刪除會對用戶造成損害，因此如何界定用戶與服務(wù)提供商的不同責(zé)任也是一個重要問題。

云計算安全防護(hù)

1 基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全包括服務(wù)器系統(tǒng)安全、網(wǎng)絡(luò)管理系統(tǒng)安全、域名系統(tǒng)安全、網(wǎng)絡(luò)路由系統(tǒng)安全、局域網(wǎng)和VLAN配置等。主要的安全措施包括安全冗余設(shè)計、漏洞掃描與加固，IPS/IDS、DNSSec等。考慮到云計算環(huán)境的業(yè)務(wù)持續(xù)性，設(shè)備的部署還須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步，鏈路捆綁聚合及硬件Bypass 等特性，實現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。

2 數(shù)據(jù)安全

云數(shù)據(jù)安全包含的內(nèi)容遠(yuǎn)遠(yuǎn)不只是簡單的數(shù)據(jù)加密。數(shù)據(jù)安全的需求隨著三種服務(wù)模式，四種部署模式(公共云、私有云、社區(qū)云、混合云)以及對風(fēng)險的承受能力而變化。滿足云數(shù)據(jù)安全的要求，需要應(yīng)用現(xiàn)有的安全技術(shù)，并遵循健全的安全實踐，必須對各種防范措施進(jìn)行全盤考慮，使其構(gòu)成一道彈性的屏障。主要安全措施包括對不同用戶數(shù)據(jù)進(jìn)行虛擬化的邏輯隔離、使用身份認(rèn)證及訪問管理技術(shù)措施等，從而保障靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)的保密性、完整性、可用性、真實性、授權(quán)、認(rèn)證和不可抵賴性。

3 虛擬化安全

虛擬化的安全包括兩方面的問題：一是虛擬技術(shù)本身的安全，二是虛擬化引入的新的安全問題。虛擬技術(shù)有許多種，最常用的是虛擬機(jī)(VM)技術(shù)，需考慮VM內(nèi)的進(jìn)程保護(hù)，此外還有Hypervisor 和其他管理模塊這些新的攻擊層面?？梢圆捎玫陌踩胧┯校禾摂M鏡像文件的加密存儲和完整性檢查、VM 的隔離和加固、VM 訪問控制、虛擬化脆弱性檢查、VM 進(jìn)程監(jiān)控、VM的安全遷移等。

4 身份認(rèn)證與訪問管理(IAM，Identity and AccessManagement)

IAM 是用來管理數(shù)字身份并控制數(shù)字身份如何訪問資源的方法、技術(shù)和策略，用于確保資源被安全訪問的業(yè)務(wù)流程和管理手段，從而實現(xiàn)對企業(yè)信息資產(chǎn)進(jìn)行統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中化的管理與審計。IAM是保證云計算安全運(yùn)行的關(guān)鍵所在。傳統(tǒng)的IAM 管理范疇，例如自動化管理用戶賬號、用戶自助式服務(wù)、認(rèn)證、訪問控制、單點(diǎn)登錄、職權(quán)分離、數(shù)據(jù)保護(hù)、特權(quán)用戶管理、數(shù)據(jù)防丟失保護(hù)措施與合規(guī)報告等，都與云計算的各種應(yīng)用模式息息相關(guān)。

IAM并不是一個可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個由各種技術(shù)組件、過程和標(biāo)準(zhǔn)實踐組成的體系架構(gòu)。標(biāo)準(zhǔn)的企業(yè)級IAM 體系架構(gòu)包含技術(shù)、服務(wù)和過程等幾個層面，其部署體系架構(gòu)的核心是目錄服務(wù)，目錄服務(wù)是機(jī)構(gòu)用戶群的身份、證書和用戶屬性的信息庫。

5 應(yīng)用安全

由于云環(huán)境的靈活性、開放性以及公眾可用性等特性，給應(yīng)用安全帶來了很多挑戰(zhàn)。云計算的應(yīng)用主要通過Web 瀏覽器實現(xiàn)。因此，在云計算中，對于應(yīng)用安全，尤其需要注意的是Web 應(yīng)用的安全。要保證SaaS 的應(yīng)用安全，就要在應(yīng)用的設(shè)計開發(fā)之初，制定并遵循適合SaaS 模式的安全開發(fā)生命周期規(guī)范和流程，從整體生命周期上去考慮應(yīng)用安全?？梢圆捎玫姆雷o(hù)措施有訪問控制、配置加固、部署應(yīng)用層防火墻等。