云计算环境下如何确保数据安全性
云计算环境下的数据安全隐患如何防范
云计算环境下的数据安全隐患如何防范在当今数字化的时代,云计算已经成为了企业和个人存储、处理和共享数据的重要手段。
然而,随着云计算的广泛应用,数据安全隐患也日益凸显。
如何有效地防范这些隐患,保障数据的安全和隐私,成为了一个亟待解决的重要问题。
云计算环境下的数据安全隐患主要包括以下几个方面:首先,数据的保密性面临威胁。
在云计算中,用户的数据存储在云服务提供商的服务器上,这意味着数据可能被未经授权的人员访问。
如果云服务提供商的安全措施不够完善,或者内部员工存在恶意行为,用户的数据就有可能被泄露。
其次,数据的完整性容易受到破坏。
数据在传输和存储过程中,可能会因为网络故障、恶意攻击等原因而发生丢失或篡改,导致数据的完整性受损。
再者,数据的可用性也存在风险。
如果云计算服务出现故障,如服务器宕机、网络中断等,用户可能无法及时访问和使用自己的数据,从而影响业务的正常运行。
此外,法律法规和合规性问题也是云计算环境下数据安全的一个重要挑战。
不同国家和地区的法律法规对数据的存储、处理和传输有着不同的要求,如果企业在使用云计算服务时未能遵守相关法规,可能会面临法律风险。
那么,我们应该如何防范这些数据安全隐患呢?第一,加强用户身份认证和访问控制。
云服务提供商应该采用多种身份认证方式,如密码、指纹、短信验证码等,确保只有合法的用户能够访问数据。
同时,要对用户的访问权限进行严格的控制,根据用户的角色和职责分配相应的权限,避免用户越权访问数据。
第二,对数据进行加密处理。
在数据传输和存储过程中,采用加密技术对数据进行加密,可以有效地防止数据被窃取和篡改。
即使数据被非法获取,由于没有解密密钥,也无法读取其中的内容。
第三,建立数据备份和恢复机制。
定期对数据进行备份,并将备份数据存储在不同的物理位置,以防止数据丢失。
同时,要制定完善的数据恢复计划,确保在数据发生丢失或损坏时能够快速恢复数据。
第四,选择可靠的云服务提供商。
在选择云服务提供商时,要对其安全措施、信誉度、服务水平等进行全面的评估。
云计算安全如何确保数据在云端的保密性
云计算安全如何确保数据在云端的保密性云计算作为一种新兴的信息技术,已经在各个行业得到广泛应用。
然而,随着云计算的普及,数据在云端存储和处理的安全问题也日益受到关注。
其中,数据保密性是一个重要的方面,即确保用户的数据在云端得到保护,不被未授权的访问者泄露。
本文将从不同的角度探讨云计算安全如何确保数据在云端的保密性。
一、身份认证和访问控制身份认证和访问控制是保证数据在云端保密性的重要手段。
通过对用户进行身份验证,只有经过授权的用户才能访问云上的数据。
这可以通过用户密码、指纹识别或者其他的多因素身份验证来实现。
同时,建立细粒度的访问控制策略,对用户进行分类和权限管理,限制其对敏感数据的访问。
二、数据加密保护数据加密是云计算保护数据保密性的一种常见方式。
在数据传输过程中,使用传输层安全协议(TLS)或安全套接层协议(SSL)对数据进行加密传输,以防止数据在传输过程中被窃取或篡改。
在数据存储过程中,对数据进行加密处理,确保数据在云端存储时也能保持其完整性和机密性。
通过加密技术,即使数据被非法获取,也无法读取或使用其中的内容。
三、安全审计和监控安全审计和监控对于确保数据在云端的保密性至关重要。
云服务提供商需要建立完善的安全审计机制,对用户的访问行为和操作进行监控和记录。
通过审计和监控,可以及时发现异常行为,以便采取相应的安全措施。
此外,安全日志的记录和分析也是确保数据保密性的有效手段,可用于快速追踪和恢复数据泄露事件。
四、物理安全保护物理安全是数据在云端保密性的基础。
云服务提供商应该采取一系列的物理安全措施,如严格控制数据中心的进出口、使用监控设备和报警系统、限制人员进入敏感区域等,以确保云端设施的安全性。
同时,定期进行安全演练和评估,保证物理环境的安全性。
五、安全培训和意识提升除了上述技术手段外,加强用户的安全培训和提高安全意识也是确保数据保密性的重要环节。
云服务提供商可以开展相关安全培训,帮助用户了解云计算的安全特性和风险,并提醒用户注意数据保密的重要性。
云计算安全如何确保你的数据在云端的安全性
云计算安全如何确保你的数据在云端的安全性在云计算技术的帮助下,越来越多的企业将其大量的计算和存储数据转移到云端,以期望获得更高效、更灵活的IT解决方案。
云计算安全问题也变得越来越重要,data breaches事件的报道已经引起了更多人的关注。
在这篇文章中,我们将探讨云计算安全问题,并介绍一些如何确保您的数据在云端的安全性的措施。
一、什么是云计算安全云计算安全旨在保护云计算中使用的资源和数据免受未经授权的访问和泄露等攻击。
云计算安全管理需要考虑物理安全、网络安全、数据安全、虚拟化安全等多个方面的问题。
在云计算中,数据和应用程序是存储在提供商的数据中心中,而不是存储在本地数据中心中。
这种存储方式给企业带来了许多好处,例如更高的可扩展性和更低的成本。
但是这种云存储的方式也有其劣势,例如,数据和应用程序经常需要在网络上传输,因此容易受到网络攻击和未经授权的访问。
二、云安全的挑战云计算的安全问题涉及到多个方面。
以下是一些最常见的挑战:1. 网络安全作为云端计算的重要组成部分,网络是最容易受到攻击的地方,例如黑客攻击和DDoS攻击等。
而一旦网络被攻击,可能会导致大量的数据丢失和信息泄露。
2. 数据安全在云环境中,数据被传输到云供应商的服务器和中心,并存储在这些位置中。
这给数据安全带来了许多挑战。
黑客可能会攻击数据传输线路或云端服务器,以获取敏感数据并在黑市上出售。
3. 虚拟化安全云供应商可能会使用虚拟机来存储和管理客户数据。
虚拟化环境中可能存在漏洞和弱点,因此黑客可能会利用这些漏洞攻击客户数据。
4. 物理安全云供应商的数据中心应该有保护物理安全的措施。
例如,数据中心应该有摄像头和安全围栏等设备,可以防止不必要的人员进入数据中心。
三、如何确保云安全尽管云安全面临许多挑战,但是还有一些最佳实践和措施可以帮助企业确保其云环境的安全。
以下是一些最重要的实践和措施:1. 加密企业可以使用数据加密技术保护其在云中存储的敏感数据。
云计算平台中数据保护的常见问题解决方案
云计算平台中数据保护的常见问题解决方案云计算已经成为现代企业数据管理的重要组成部分。
然而,随着云计算的普及,数据保护问题也变得越来越重要。
如何在云计算平台中保护数据的安全性和完整性,是每个企业都需要考虑的重要问题。
本文将介绍云计算平台中数据保护的常见问题,并提供一些解决方案。
1. 数据传输的安全性在数据从本地系统传输到云平台的过程中,数据的安全性是一项重要的关注点。
为了确保数据在传输过程中不会被窃取或篡改,可以采取以下几种解决方案:- 使用加密技术:在数据传输过程中,对数据进行加密可以有效防止数据的泄露和篡改。
可以使用传输层安全协议(TLS)或虚拟专用网络(VPN)等技术来加密数据。
- 实施访问控制:通过实施访问控制策略,只允许授权用户或设备访问和传输数据。
这样可以避免未经授权的人员获取敏感数据。
- 添加数据完整性校验:在数据传输过程中添加数据完整性校验,可以帮助检测数据是否在传输过程中被篡改。
可以使用哈希算法或数字签名等技术来实现数据完整性验证。
2. 数据存储的安全性一旦数据存储在云计算平台中,如何保证数据的安全性和机密性成为另一个关键问题。
以下几种解决方案可用于保护数据存储的安全性:- 强化访问控制:在云平台中实施严格的访问控制措施,例如使用身份认证、角色与权限管理等,以确保只有授权人员能够访问和操作数据。
- 加密数据:对存储在云平台上的敏感数据进行加密,可以在数据被窃取或泄露时保护数据的机密性。
可以使用端到端的加密以保护数据在存储和传输过程中的安全。
- 实施备份和恢复策略:确保定期备份数据,以防止数据因硬件故障、自然灾害或恶意攻击而丢失。
同时,还需要测试和验证备份数据的恢复能力。
3. 数据隔离和分区在云计算平台上,多个用户的数据可能存储在共享的物理环境中。
因此,如何确保数据隔离和分区,使不同用户的数据不会相互干扰,也是一个重要的问题。
以下是几个解决方案:- 虚拟化和容器化技术:使用虚拟化或容器化技术将不同用户的数据隔离在各自的虚拟环境中,从而有效地分割数据和资源。
云计算安全措施及注意事项
云计算安全措施及注意事项云计算已经成为现代企业信息技术的重要组成部分,它为企业带来了许多便利,但也带来了一系列安全隐患。
为了保护企业和用户的数据安全,采取恰当的安全措施和注意事项是至关重要的。
本文将介绍云计算安全的基本措施,并提供了一些注意事项,以帮助企业更好地保护其云计算环境。
一、云计算安全措施1. 身份和访问管理身份和访问管理是云计算环境中最基本且最关键的安全措施之一。
通过建立严格的身份验证和授权机制,只有授权的用户才能访问和操作云环境中的资源。
此外,采用多因素身份验证、基于角色的访问控制和定期检查权限清单等方法能够提高安全性。
2. 数据加密数据加密是确保云环境中数据安全的重要手段之一。
在数据传输过程中,采用加密协议如SSL/TLS可以防止数据被窃取或篡改。
在数据存储过程中,采用加密算法如AES可以确保数据在云服务提供商的存储系统中安全存放。
此外,对于敏感数据,企业可以进行端到端的加密,以确保只有授权的用户才能解密和访问。
3. 安全监控与日志审计安全监控和日志审计是及时发现和应对安全事件的重要手段。
企业应建立完善的监控系统来实时监测云环境中的安全状况,包括网络流量、系统日志、用户行为等方面。
同时,定期审计日志,检查异常活动和潜在的安全风险,并采取相应的措施进行应对。
4. 网络安全和防火墙云环境中的网络安全是保护云计算系统的重要环节。
采用合适的防火墙技术,设立网络隔离和流量控制机制,可以防止未经授权的访问和入侵。
此外,定期更新和修补软件、及时监测和处理网络漏洞等也是保持网络安全的重要措施。
二、云计算安全的注意事项1. 选择可信赖的云服务提供商选择可信赖的云服务提供商是确保云环境安全的第一步。
企业在选择云服务提供商时,应该充分考虑其安全性能和信誉度。
重要的评估指标包括数据隔离能力、身份认证和访问控制机制、数据备份和恢复策略等。
2. 注意数据隐私和合规性云计算环境中的数据隐私和合规性是一个非常重要的问题。
云计算环境下的数据安全保护措施详解
云计算环境下的数据安全保护措施详解随着云计算技术的不断发展和普及,越来越多的组织和个人将其业务和数据迁移到云平台上。
然而,云计算环境下的数据安全仍然是一个重要的关注点。
因此,本文将详细介绍云计算环境下的数据安全保护措施,以帮助读者更好地保护其数据。
1. 加密技术加密技术是数据安全保护的基础。
在云计算环境中,数据加密可以分为两个方面:数据传输加密和数据存储加密。
数据传输加密通过使用SSL / TLS等传输层安全协议来保护数据在传输过程中的安全性。
数据存储加密则通过对数据进行加密,并且只有经过授权的用户才能解密和访问。
2. 访问控制和身份验证访问控制和身份验证是确保只有授权用户能够访问和操作数据的关键措施。
在云计算环境中,采用强密码和多因素身份验证是一种常见的做法。
此外,角色和权限管理也是确保只有有权员工才能访问和操作敏感数据的重要手段。
3. 数据备份和灾难恢复数据备份和灾难恢复是保障数据安全和业务连续性的重要环节。
在云计算环境中,定期对数据进行备份,并将备份数据存储在不同地理位置的云服务器上,以防止数据丢失。
此外,建立有效的灾难恢复计划和测试,以确保在发生灾难事件时可以及时恢复数据和服务。
4. 安全审计和监控安全审计和监控是实时监测和检测云计算环境中潜在安全风险的关键措施。
通过对云平台的访问日志、事件日志和安全日志进行审计和监控,可以及时发现和响应可能的安全威胁。
此外,使用安全信息和事件管理系统(SIEM)等技术工具,可以自动化地收集、分析和报告安全事件,提高安全响应效率。
5. 物理安全保护物理安全保护是确保云计算环境中数据安全的另一个重要方面。
云服务提供商应采取必要的措施来保护其数据中心的物理安全,如设备锁定、视频监控、入侵检测和防火墙等。
此外,保持数据中心的供电和网络连通性也是确保数据安全和业务连续性的关键。
6. 响应和应急计划事故响应和应急计划是保护云计算环境中数据安全的最后一道防线。
云服务提供商应制定并定期测试应急响应计划,以及包括数据恢复、恢复业务、通信和公共关系等方面的详细步骤。
云计算安全措施
云计算安全措施随着云计算技术的快速发展和广泛应用,云计算安全问题日益凸显。
为了保障用户使用云计算服务的安全性,云计算提供商采取了一系列有效的安全措施。
本文将介绍云计算安全的常见措施,涵盖身份认证、数据加密、访问控制、多重备份以及网络安全等方面。
一、身份认证在云计算环境中,身份认证是确保用户和系统安全的重要一环。
云计算提供商通过各种方式对用户进行身份识别和验证,如用户名和密码、双因素认证等。
通过强化身份认证机制,可以有效防止未经授权的访问和数据泄露。
二、数据加密数据加密是保护云计算中重要数据的一种常见手段。
云计算提供商采用对称加密或非对称加密算法,将敏感数据进行加密处理后存储在云端,只有授权用户才能解密并访问。
同时,通信过程中的数据传输也会通过加密算法进行保护,避免数据被窃取或篡改。
三、访问控制云计算提供商通过访问控制机制,限制用户对云计算资源的操作权限,确保用户只能访问到其具备权限的资源。
这种措施可以有效防止内部恶意用户的非法操作和信息泄露,保护云计算环境的整体安全。
四、多重备份数据备份是云计算安全的一项重要措施。
云计算提供商通过多重备份的方式,将用户的数据存储在不同的地点和设备上,以防止单点故障和数据丢失。
同时,定期的备份策略和灾难恢复计划也能够保证在意外情况下能够快速恢复数据和系统。
五、网络安全保障云计算网络的安全性对于整个云计算环境的稳定运行至关重要。
云计算提供商采取一系列网络安全措施,如入侵检测系统(IDS)、防火墙、虚拟专用网络(VPN)等,以确保网络流量的合法性和安全性。
此外,对于网络设备的定期检查和更新也是保持网络安全的必要步骤。
结语云计算安全措施是为保证云计算环境的数据和系统安全而采取的一系列防护措施。
通过身份认证、数据加密、访问控制、多重备份以及网络安全等方式,可以有效地防范安全威胁和风险。
云计算提供商在提供服务的同时,也需不断加强对安全措施的改进和更新,以应对不断演变的安全威胁,确保用户在云计算环境中的安全使用体验。
云计算数据安全性的关键技术解析
云计算数据安全性的关键技术解析云计算作为一种新兴的信息技术,已经在各个行业得到广泛应用。
然而,随之而来的数据安全性问题也成为云计算发展中的一个重要考虑因素。
本文将对云计算数据安全性的关键技术进行解析,以期提高云计算在数据安全方面的能力。
1.数据加密技术数据加密技术是保障云计算数据安全性的重要手段之一。
通过对云端和终端之间的数据进行加密,可以有效防止数据在传输和存储过程中被非法获取。
常见的数据加密技术包括对称加密和非对称加密。
对称加密指的是使用同一个密钥进行数据的加密和解密,而非对称加密则需要使用公钥和私钥进行加密和解密操作。
2.身份认证和访问控制技术确保云计算系统中数据的安全,身份认证和访问控制技术起到至关重要的作用。
通过对用户身份进行认证,并根据不同用户的权限进行访问控制,可以有效防止未经授权的用户访问敏感数据。
常见的身份认证技术包括基于密码、指纹、虹膜等生物特征的认证方式,而访问控制技术则可以根据用户角色和权限进行精细化控制。
3.数据备份和容灾技术在云计算环境中,数据备份和容灾技术对于保障数据的安全性至关重要。
通过将数据备份到多个地点,并实时监测数据的完整性和一致性,可以防止数据丢失或损坏对业务造成的影响。
同时,采用容灾技术可以提供数据的高可用性,确保业务在故障发生时的及时恢复。
常见的数据备份和容灾技术包括数据冗余备份、数据镜像和快照等手段。
4.数据隐私保护技术云计算环境中的数据隐私保护技术可以有效防止敏感数据被非法获取或滥用。
其中,数据加密技术是其中的重要手段之一,通过对数据进行加密,可以在云计算系统内外部都保持数据的隐私性。
此外,还可以采用匿名化处理、数据脱敏和访问控制等技术,保护用户的隐私数据不被泄露。
5.安全监控和事件管理技术云计算环境中,安全监控和事件管理技术可以对云端的异常行为进行实时监测,及时发现和应对潜在的安全威胁。
通过建立安全监控系统,可以对用户的请求进行实时监控,记录异常行为并触发相应的安全警报。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
遇到电子商务法问题?赢了网律师为你免费解惑!访问>>云计算环境下如何确保数据安全性(中国电子商务研究中心讯)原来局限在私有网络的资源和数据现在暴露在互联网上,并且这些资源和数据放到了第三方云计算提供商所有的共享公共网络上。
与第一个风险因素相关的例子是2008年12月报道的亚马逊Web 服务(AWS )漏洞注1。
在一篇博客文章中,作者详细说明了在数字签名算法中的一个漏洞,通过HTTp对亚马逊SimpleDB数据库(Amazon SimpleDB )、亚马逊弹性计算云(Amazon Elastic Compute Cloud,EC2 )或亚马逊简单队列服务(Amazon Simple Queue Service,SQS)执行查询(Query,又称REST )请求。
”尽管采用HTTpS (代替HTTp )可能会降低完整性风险,但是不使用HTTpS (却使用HTTp )的用户却面临着越来越大的风险,他们的数据可能在传输中被莫名其妙地修改。
注1:这个问题于2008年12月18日报告在Colin percival的博客Daemonic Dispatches”上,参见AWS signature version 1 is insecure”在亚马逊Web服务网站上并没有公开承认这个问题,也没有对percival的博客文章做公开回应。
确保适当的访问控制由于资源的一部分(也可能是资源的全部)现在暴露在互联网上,公共云使用机构的数据将面临日益增长的风险。
对云计算提供商的网络运行进行审计(更不用说基于自身网络进行实时监控)基本上是不太可能的,哪怕是事后审计也很困难。
能够获取的网络层面的日志和数据不多,而且全面进行调查并收集取证数据的能力也是相当有限的。
与第二个风险因素相关的例子是Ip地址再使用(再分配)的问题。
一般来说,当用户不再需要已分配的Ip地址时,云计算提供商不再保留用户的Ip地址。
当地址变为可用后,地址通常再分配给其他用户使用。
从云计算提供商的角度看,这么做是有道理的。
Ip地址数量有限,同时也是用于收费的资产。
然而从用户安全的角度出发,Ip地址再分配使用可能会带来问题。
用户无法确信他们对资源的网络访问能随着Ip地址的释放一并终止,从DNS中的Ip地址改变到DNS缓存清理,这之间显然存在一段时间延迟。
从ARp表中改变物理地址(例如MAC )到将ARp地址从缓存中清除也会有一定的滞后时间,因此在老的地址被清除之前,还是会一直存在于ARp缓存中。
这意味着即使地址可能已经变化,原先的地址在缓存中依旧有效,因此用户还是可以访问到那些理应不存在的资源。
近期,最大的云计算提供商之一接到了许多与未失效Ip地址相关的问题报告。
这极有可能是2008年3月亚马逊网络极力宣扬其弹性Ip地址能力的一个推动因素注2。
(使用弹性Ip地址,分配给用户5个可路由的Ip地址,而这些地址由用户控制分派。
)此外,根据Simson Garfinkel:现有负载均衡系统中所存在一个问题导致任何超过231字节内容的TCp/Ip连接都会终止。
这就意味着超过2GB的目标内容必须在亚马逊简单存储服务(S3 )中分几次执行,每次执行都对应着相同目标内容的不同字节区域注3。
然而,未失效Ip地址以及对资源的未授权网络访问等问题并不仅仅出现在可路由的Ip地址上(例如那些提供互联网直接访问的资源)。
这个问题也存在于提供商为用户提供的内部网络以及非可路由Ip地址的分配上注4。
虽然资源可能无法通过互联网直接获得,但出于管理的目的,这些资源必须可通过专用地址在提供商网络上进行访问。
(每个公共的或者面向互联网的资源都有其私有地址。
)你的云计算提供商的其他用户有可能从内部通过云计算提供商的网络获得你的资源,虽然他们未必会故意这么做注5。
正如在《华盛顿邮报》中报道的,亚马逊Web服务存在着对其资源滥用的问题,危及公众及其他用户注6。
市面上的一些产品注7可以帮助减轻Ip地址再使用的问题,但除非云计算提供商把这些产品作为服务提供给用户,否则用户将不得不寻求第三方的产品并支付费用,以解决由云计算提供商所带来的问题。
确保面向互联网资源的可用性越来越多的数据以及越来越多的机构人员都依赖外部托管以确保云计算提供的资源的可用性,人们对网络安全的依赖程度在逐渐上升。
因此你的机构一定可以接受我们在之前部分列举的三个风险因素。
BGp注8前缀劫持(例如对网络层可达信息的篡改)为第三个风险因素提供了很好的示例。
前缀劫持包括在未经他人允许的情况下通报属于他人的自治系统注9地址空间。
这样的通报常常是由于配置错误而产生的,但这些错误的配置可能仍然影响你的基于云计算的资源的可用性。
根据在2006年2月提交给北美网络运营商集团(NANOG )的一份研究显示,这种配置错误每个月会发生数百次注10。
这种错误配置最出名的实例是在2008年2月发生的。
当时巴基斯坦电信公司由于操作失误,把YouTube假路由通报给其位于中国香港的pCCW电信合作伙伴。
由于网站上有据称亵渎的视频,YouTube在巴基斯坦是被封锁的。
这次事件的直接结果是YouTube在全球范围内无法使用长达两个小时注11。
除了配置错误,还有其他的蓄意攻击。
虽然出于蓄意攻击的前缀劫持情况远少于配置错误,但这种问题还是会产生,并阻碍对数据的访问。
根据提交给NANGO的同份研究报告显示,这种前缀劫持攻击每月出现的次数在100次以内。
虽然这种攻击并不新颖,但无疑会随着云计算的广泛使用而增多,也有可能变得十分普遍。
随着云计算使用的增长,基于云计算的资源可用性对用户的价值也在逐渐增长。
这种对用户不断增长的价值也导致了不断增长的恶意行为风险,给这些资源的可用性带来了巨大的威胁。
DNS注12攻击也是与第三个风险因素相关的例子。
事实上,与云计算相关的DNS攻击有若干种形式。
虽然DNS攻击并不新颖也不直接与云计算相关,但是由于不断增加的外部DNS查询(减少了水平分割”DNS配置的影响注13 )以及越来越多的机构人员愈加依赖网络安全以确保其使用的基于云计算的资源的可用性,导致在网络层面上DNS和云计算的问题对于机构的风险也在逐步上升。
虽然在2008年绝大多数网络安全的关注集中在Kaminsky Bug”注14(CVE-2008-1447中DNS Insufficient Socket Entropy Vulnerability”)上,但其他的DNS问题也同样影响云计算。
DNS协议和DNS的实施过程注15中存在着漏洞,DNS缓存中毒攻击也十分普遍,这种攻击欺骗DNS服务器接受错误的信息。
虽然很多人认为DNS缓存中毒攻击在几年前就已经平息,但事实并非如此,这些攻击如今仍然是个大问题,尤其是在云计算领域内。
基本的缓存中毒攻击的变体包括重定向目标域名服务器(NS ),将域名服务器记录重定向到其他的目标域,并在真正的域名服务器之前进行响应(称之为动态域名服务器伪造)。
与第三个风险因素相关的最后一个例子是拒绝服务(DoS )攻击和分布式拒绝服务(DDoS )攻击。
同样地,虽然DoS/DDoS攻击并不新颖并且与云计算没有直接的联系,但由于机构网络外部资源使用的增加,在网络层面上这些攻击和云计算的问题对机构的风险也在逐步上升。
例如,在亚马逊Web服务上关于持续DDoS攻击的消息不断,使得这些服务曾一度中断几小时无法供用户使用注16。
(亚马逊并没有承认其服务中断是由DDoS攻击所导致。
)然而,当使用基础设施即服务(IaaS )时,DDoS攻击的风险就不仅仅存在于外部(例如面向互联网)了。
通过IaaS提供商的网络供用户(分散于IaaS供应商的企业网络)使用的部分中也存在着内部DDoS 攻击。
内部(不可路由的)网络是分享的资源,用户可以借此访问其非公众事务(例如Amazon Machine Image,AMI ),并通过提供商对其网络和资源(如物理服务器)进行管理。
如果我是个不守规矩的用户,没有任何机制可以阻止我通过访问这个内部网络来查找或者攻击其他用户,抑或攻击IaaS提供商的基础设施,而且供应商也很可能没有部署任何侦查控制手段,更不用说针对此类攻击向用户预警了。
其他用户唯一能做的预防措施只有加固他们的事务(如AMI ),并使用提供商的防火墙功能(如亚马逊Web服务)增强业务的安全性。
用域替换已建立的网络区域及层面模型在基础设施即服务(IaaS )和平台即服务(paaS )中,已有的网络区域及层面不再存在。
这些年来,网络安全往往依赖于域进行构建,例如内联网与外联网,开发与生产,为了改善安全隔离网络流量等。
这种模式是基于排他性的,只有具有特定角色的个人和系统才可以访问特定的区域。
类似地,特定层面内的系统往往只可以访问特定层面。
例如,表示层的系统不允许直接与数据库层的系统进行通信,而只能与在应用域内授权的系统进行通信。
建立在公共IaaS和paaS上的软件即服务(SaaS )云计算也有类似的特征。
然而,在私有IaaS上建立的公共SaaS (例如 )可按照传统的隔离模式,但通常不与用户分享拓扑信息。
典型的网络区域及层面模式在公共云计算中被安全组”、安全域”或者虚拟数据中心”所取代,新的模式在层与层之间有逻辑隔离,但在精确性以及提供的保护方面不如早先的模式。
例如,亚马逊云计算中安全组特性允许你的虚拟机(VM )可以通过虚拟防火墙相互访问,虚拟防火墙具有基于Ip地址(特定的地址或子网)、数据包类型(TCp、UDp或者ICMp )以及端口(或者端口范围)进行流量过滤的功能。
域名现在广泛应用于各种网络环境中,实现基于DNS的特定应用命名和寻址的目的。
例如Google的App Engine基于域名对应用程序进行了逻辑分组,如及。
在网络区域及层面的已有模式中,不仅仅开发系统逻辑上与生产系统在网络层面上相隔离,这两个系统在主机层面上也是物理隔离的(例如它们运行在逻辑分隔的网络域中,且运行于物理隔离的服务器上)。
然而在云计算中,这种隔离不复存在。
在基于域分割的云计算模型中,只为寻址提供了逻辑隔离。
由于测试域和生产域很可能刚好在同一个物理服务器上,于是不再有任何物理隔离的需要”。
此外,早先的逻辑网络隔离也不复存在;现在的测试域和生产域在主机层面上同时运行在相同的物理服务器上,只靠VM监控(管理程序)实现逻辑隔离。
网络层减灾基于前面部分对风险因素的讨论,我们可以做些什么以降低这些不断增长的风险因素呢?首先要注意到,网络层面风险的存在与使用哪方面的云计算服务是无关的。
因此风险等级的确定并不取决于使用哪种服务,而是取决于你的机构是否打算或者正在使用公共云、私有云还是混合云。
虽然有些IaaS云计算提供虚拟的网络域,这还是无法与内部私有云计算环境相比的,后者可以执行全面的状态监视以及其他网络安全监测。