浅谈云计算安全威胁与对策
云计算环境下的网络安全与防护措施
云计算环境下的网络安全与防护措施在云计算时代,网络安全问题变得日益突出。
随着企业和个人数据存储和处理的迁移到云平台,网络安全和防护措施的重要性越发凸显。
本文将探讨云计算环境下的网络安全威胁,并提出一些有效的防护措施。
一、云计算环境下的网络安全威胁1. 数据泄露:云计算环境中的数据存储和传输面临着被黑客攻击、物理设备失窃或人为操作失误等多种风险,因而数据泄露成为主要威胁之一。
2. 虚拟化漏洞:云计算环境中普遍采用虚拟化技术,而虚拟化漏洞可能导致攻击者逃离自己分配的虚拟机,对其他虚拟机进行攻击,进而实施恶意代码注入和信息窃取等行为。
3. 跨用户攻击:由于云计算环境中多个用户共享硬件资源,一些恶意用户可能利用安全漏洞,通过跨用户攻击获取其他用户的敏感数据。
4. 网络拒绝服务(DDoS)攻击:云计算环境中的多租户模式,使得一个用户的攻击行为可能影响到其他用户的服务,导致网络拒绝服务攻击的威胁变得更加严重。
二、云计算环境下的网络安全防护措施1. 加强身份验证:在云计算环境中,合理的身份验证机制是确保数据安全的基础。
采用多因素身份验证、单一登录(SSO)等技术,加强对用户身份的确认。
2. 加密通信和存储:通过使用加密协议(如SSL/TLS)和加密算法对数据传输和存储进行加密,确保数据在传输和存储过程中的安全。
3. 强化虚拟化安全:虚拟化环境下的安全性是云计算安全的重中之重。
通过合理的虚拟机监控和访问控制,以及及时的漏洞修复和安全补丁更新,从根本上降低虚拟化环境的安全风险。
4. 防范DDoS攻击:云计算环境中,采用DDoS攻击检测和防护系统,及时发现异常流量和攻击行为,并采取针对性的应对措施,保障网络的正常运行。
5. 安全审计与监控:建立完善的安全审计与监控机制,对云计算环境中的操作行为、网络行为进行实时监控和日志记录,及时发现异常情况和安全事件。
6. 人员培训和意识提升:加强对云计算安全的宣传和培训,提高用户和管理人员的安全意识,增强他们在云计算环境下的安全防护能力。
云计算的安全风险及其防范措施
云计算的安全风险及其防范措施一、云计算的安全风险云计算作为一种新兴的计算模式,已经成为了很多企业的首选。
然而,云计算的安全问题也开始成为越来越多人关注的话题。
那么,云计算有哪些安全风险呢?首先,云计算的核心是数据中心,而数据中心的运营平台存在黑客攻击的风险。
黑客可以通过各种手段获取进入数据中心的权限,甚至可以操控云平台上的虚拟机,导致企业的业务完全瘫痪。
其次,云计算平台的访问控制也存在风险。
由于云计算平台是虚拟化的,因此存在着多租户的情况。
一旦其中一位租户的密码被破解,黑客就可以轻而易举地访问其他租户的数据。
还有,云计算的虚拟化技术也会带来一些安全问题。
虚拟机的迁移过程中,数据的安全性很难得到保障。
此外,虚拟化技术本身也存在漏洞,黑客可以通过虚拟化技术来攻击云平台上的其他虚拟机。
最后,第三方服务商也是云计算安全的一个隐患。
因为第三方服务商既可以管理数据中心,也可以管理客户数据,因此,如何保证第三方服务商不泄露数据也是一个很重要的问题。
二、云计算的安全防范措施既然云计算存在这些安全风险,那么我们应该怎样来防范呢?以下是云计算的安全防范措施:1、数据分类处理企业应该对自己的数据进行分类处理。
有些数据是高度敏感的,需要被严格保护;而有些数据则不是那么重要,可以分享给其他人。
此外,还要根据数据的保密程度来采用不同的安全措施。
2、访问控制访问控制也是很重要的安全措施之一。
企业应该对云平台实施严格的访问控制策略,确保只有授权的人员才可以访问数据。
此外,企业还应该实施多层次的访问控制策略,包括密码认证、身份验证等。
3、数据加密数据加密是最基本也是最有效的安全措施之一。
无论是存储在云端的数据还是在传输过程中的数据,都应该采用加密算法进行保护。
这样,即使黑客获取了企业的数据,也无法破解数据的含义。
4、虚拟化安全虚拟化技术是云计算的核心技术,因此虚拟化安全也是非常重要的。
企业应该对虚拟化技术进行评估,减少虚拟化带来的风险,包括对虚拟机的监督、完善虚拟化接口、隔离虚拟机等。
云计算平台安全解决方案
云计算平台安全解决方案随着云计算技术的快速发展,越来越多的企业将关键业务和数据迁移到云平台上,以实现更高效的资源利用和灵活的业务扩展。
然而,云计算平台的安全性一直是企业和个人使用云计算的关注焦点之一。
本文将介绍云计算平台的安全问题,并提供一些解决方案。
1. 云平台安全风险分析在云计算平台中,主要存在以下几个安全风险:1.1 数据隐私泄露风险云平台存储了大量的企业和个人敏感数据,如客户信息、财务数据等。
如果这些数据被黑客或未授权的人员获取,将给企业和个人带来重大损失。
1.2 虚拟机安全问题云计算平台使用虚拟化技术,虚拟机之间的安全隔离成为一个重要问题。
如果一台虚拟机被攻击或感染病毒,可能会影响到其他虚拟机的安全。
1.3 虚拟化管理平台安全云计算平台的管理系统是整个平台的核心组件,如果管理系统存在漏洞或被黑客攻击,将对整个平台的安全性产生极大的威胁。
2. 针对以上安全问题,可以采取以下几个解决方案来提高云计算平台的安全性:2.1 加密和访问控制对敏感数据进行加密存储和传输,确保数据在传输和储存过程中不被窃取或篡改。
同时,设置严格的访问控制策略,限制只有授权的人员才能访问数据和云平台。
2.2 安全审计和监控建立完善的安全审计和监控机制,对云平台中的行为进行实时监控和日志记录。
及时发现和阻止潜在的安全威胁,对云平台的安全漏洞进行修补和漏洞扫描。
2.3 强化虚拟机隔离采用安全虚拟化技术,强化虚拟机之间的隔离,确保一台虚拟机的被攻击不会影响到其他虚拟机和整个云平台的安全性。
定期对虚拟机进行安全漏洞扫描和漏洞修补。
2.4 多地备份和灾备方案在云计算平台中,数据备份和灾备是非常重要的一环。
采用多地备份和灾备方案,确保数据不会因自然灾害或硬件故障而永久丢失。
同时,定期测试和验证备份和灾备方案的可行性。
2.5 安全意识培训加强员工和用户的安全意识培训,提高他们对云安全的认识和重视程度。
通过培训和教育,让员工了解云计算平台的安全风险,并掌握相应的应对措施。
云安全的相关风险和应对策略
云安全的相关风险和应对策略随着云计算技术的发展,云存储、云应用等云服务的普及,越来越多的个人和企业选择将数据和应用程序托管在云端。
这无疑极大地减轻了用户的负担,但是也带来了一系列的安全风险和隐患。
本文将从云安全的角度出发,分析云安全的风险,并提出一些对策,帮助用户更好地保障自己的信息安全。
一、云安全风险1.数据泄露云服务提供商通过互联网为用户提供数据存储和应用程序运行的能力,客户的数据将被存储在云服务提供商的服务器上。
然而,一旦这些数据泄露,用户的机密信息就会暴露给攻击者。
数据泄露的原因可能是恶意攻击者的网络攻击,如DDoS攻击、黑客攻击等,也可能是因为云服务提供者人员的疏忽,例如没有对数据进行足够的保护。
2.云服务提供商的安全性问题用户在选择云服务提供商时,应该重视云服务提供商的安全保障能力,这包括网络安全、信息安全、物理安全等多个方面。
有一些小型的云服务提供商可能没有足够的安全保障措施,这会使得用户数据面临着更大的安全风险,同时还会影响用户业务的稳定性。
3.管理风险云计算涉及到恶意攻击、数据泄露等多种安全问题,管理问题则是通过人力和流程妥善解决。
对于用户来说,管理风险能够减少安全风险,包括数据管理、应用程序管理、操作系统管理等。
二、面对云安全风险的策略1.选择可信的云服务提供商用户应该选择大品牌的云服务提供商,因为这些提供商拥有先进的安全技术和完善的安全管理体系,足以保障用户信息的安全。
作为用户,应该在选择云服务提供商的过程中,重视服务提供商的安全能力,并注意查阅安全报告,了解提供商的安全保障措施。
2.加强身份验证身份验证是信息安全中非常重要的一部分,对于云计算服务来说也不例外。
在使用云服务时,用户最好为自己的账号设置复杂的密码,并对自己的账号进行多层次验证,例如短信验证、密保问题验证等等。
这样可以更好地保障用户账号的安全。
3.实施数据加密为保障数据的安全,用户可以在上传数据到云端服务之前,先对数据进行加密处理,防止数据在运行过程遭到非法窃取。
云计算平台的网络安全风险与应对
云计算平台的网络安全风险与应对随着云计算技术的快速发展和广泛应用,云计算平台已成为企业和个人存储、处理和共享数据的重要工具。
然而,云计算平台的网络安全风险也日益凸显。
本文将探讨云计算平台的网络安全风险,并提出相应的应对措施。
一、云计算平台的网络安全风险1. 数据泄露风险云计算平台存储了大量的用户数据,包括个人隐私信息、商业机密等。
一旦云计算平台遭受黑客攻击或内部人员泄露,用户的数据将面临泄露的风险,给用户带来巨大的损失。
2. 虚拟化安全风险云计算平台采用虚拟化技术,将物理服务器划分为多个虚拟机,提供给不同的用户使用。
虚拟化技术的安全性直接影响到云计算平台的整体安全。
一旦虚拟机被攻击或者虚拟化管理软件存在漏洞,将导致整个云计算平台的安全受到威胁。
3. 数据完整性风险云计算平台上的数据可能会受到篡改或者损坏的风险。
黑客可以通过篡改数据或者破坏数据完整性来达到其目的,给用户带来严重的损失。
4. 服务可用性风险云计算平台的服务可用性是用户关注的重点之一。
一旦云计算平台遭受到分布式拒绝服务(DDoS)攻击或者其他网络攻击,将导致服务不可用,给用户带来不便和损失。
二、云计算平台网络安全的应对措施1. 加强身份认证和访问控制云计算平台应采用多层次的身份认证和访问控制机制,确保只有授权用户才能访问和操作云计算平台。
采用强密码、双因素认证等技术,提高身份认证的安全性。
2. 加密数据传输和存储云计算平台应采用加密技术对数据进行传输和存储,确保数据在传输和存储过程中不被窃取或篡改。
同时,定期备份数据,以防止数据丢失。
3. 定期进行安全审计和漏洞扫描云计算平台应定期进行安全审计和漏洞扫描,及时发现和修复潜在的安全漏洞。
同时,建立安全事件响应机制,及时应对安全事件,减少损失。
4. 建立灾备机制云计算平台应建立灾备机制,确保在发生灾难性事件时能够快速恢复服务。
采用冗余备份、异地备份等技术手段,提高系统的可用性和容错性。
5. 培训员工和用户的安全意识云计算平台提供商应加强对员工和用户的安全意识培训,提高其对网络安全的认识和防范能力。
云计算安全问题及应对措施
云计算安全问题及应对措施在数字化时代,云计算已成为企业信息化的必备工具。
云计算的优势在于能够提高工作效率,降低成本,实现资源共享和数据备份等功能。
但是,在享受云计算带来的便利时,我们也要注意云计算的安全问题。
本文将探讨云计算安全问题及应对措施。
一、云计算安全问题1.数据泄露数据泄露是云计算安全问题中最常见的问题之一。
由于云计算是基于网络连接的,所以数据在传输过程中极易被黑客拦截和窃取。
此外,一些云平台安全性较差,导致数据被攻击者获得。
企业数据泄露将导致重大的经济损失和商业机密泄露。
2.身份认证问题云计算需要用户进行身份认证才能使用服务,一些安全措施较差的云服务供应商可能存在身份认证漏洞,黑客可以轻易地窃取用户的账号和密码,进而入侵目标系统。
3.数据存储问题由于云计算能够实现方便的数据存储,企业将海量数据上传到云中,但是,一些供应商没有足够的保障对文件的安全存储。
数据存储在云中也可能面临硬件故障、黑客攻击、自然灾害等因素的威胁。
4.虚拟化安全问题云计算采用虚拟化技术实现资源的共享,这也给攻击者提供了机会。
虚拟机之间的安全隔离不够严格,一些攻击者可以利用虚拟化漏洞,入侵目标系统并窃取数据。
二、应对措施1.强化加密措施加密是保护数据最重要的安全措施之一。
对于敏感数据,尤其需要加强加密措施。
利用TLS协议和VPN技术等可有效加密,保证数据传输时的安全。
2.实施身份认证通过实施多种安全身份验证措施,如密码、指纹和访问限制等多项措施来加强身份认证。
此类措施可以有效地预防黑客和未授权用户入侵系统。
3.备份和灾备要在云存储的数据中实时备份和灾备,保障在数据被窃取或丢失等情况下,企业系统不会完全停滞或影响企业的员工和客户。
同时,备份和灾备应该针对企业的需求进行细致的规划。
4.采用虚拟化技术通过部署虚拟机监视器系统,可以实现虚拟化环境中的安全隔离,并及时监控并发现安全问题。
同时建议采用云服务提供商为客户提供虚拟网络接口和虚拟存储系统等安全解决方案。
云计算安全问题及解决方案
云计算安全问题及解决方案云计算作为一种新兴的信息技术,给各行各业带来了巨大的便利和创新。
然而,随着云计算的普及和应用,也出现了一系列的安全问题。
本文将讨论云计算中存在的安全问题,并提出相应的解决方案,以确保云计算的安全性。
一、云计算中的安全问题1. 数据保护与隐私问题在云计算中,用户的数据存储和处理都在云服务提供商的服务器上进行。
这就面临着数据泄露、未授权访问、数据归属权等问题,可能导致用户的隐私泄露和商业机密泄露。
2. 虚拟化安全问题云计算中采用了虚拟化技术,将物理服务器虚拟化为多个虚拟机,提高了资源利用率。
然而,虚拟化环境中存在着虚拟机间的隔离不足、虚拟机逃逸、资源竞争等问题,可能导致攻击者通过虚拟机进行攻击和数据窃取。
3. 身份认证与访问控制问题云计算中,用户和服务提供商之间需要进行身份认证,并且需要实现灵活的访问控制。
在实际应用中,身份认证和访问控制的实现不当可能导致未经授权的用户进行访问,从而对云服务的安全性造成威胁。
二、云计算安全解决方案1. 强化数据加密与隐私保护云计算用户在上传敏感数据之前,应该对数据进行加密处理。
同时,云服务提供商也应该加强对数据的加密和解密过程的安全性控制,确保数据在传输和存储过程中不受攻击者的篡改和窃取。
2. 加强虚拟化环境的安全管理云服务提供商应该采取有效的措施,实现虚拟机之间的隔离。
例如,采用安全的虚拟化技术、完善虚拟化软件的安全功能、定期更新和修补虚拟化软件漏洞等。
同时,用户也应该对云服务提供商的虚拟化环境进行评估和选择,确保虚拟化环境的安全性。
3. 强化身份认证与访问控制机制云计算用户应该选择合适的身份认证和访问控制机制,确保只有经过授权的用户才能进行访问。
例如,采用多因素身份认证、定期修改密码、及时禁用未使用的账号等。
云服务提供商也应该提供灵活和安全的身份认证和访问控制机制,以满足不同用户的需求。
4. 安全监控与漏洞修复云服务提供商应该建立完善的安全监控体系,及时检测和发现安全事件和漏洞。
云计算安全问题与防范措施
云计算安全问题与防范措施云计算近年来越来越受到重视,其快速、便捷、灵活的特点已经得到业界广泛认可。
然而,随着云计算的迅速发展,安全问题也越来越引人关注。
本文将探讨云计算的安全问题以及相应的防范措施。
一、云计算的安全问题1、数据隐私泄露云计算作为一种基于互联网技术的计算方式,数据的服务提供商可能容易泄露用户的数据隐私,尤其是一些敏感的个人信息,如身份证号码、银行卡号等。
这些数据一旦泄露将会给用户带来严重的损失。
2、网络安全漏洞云计算架构复杂,由多层次、多种类型的网络设备构成,因此很容易成为网络攻击的目标。
黑客可以通过攻击云计算服务商的服务器,获取用户数据,降低系统安全性,造成平台崩溃等情况。
3、系统性失败云计算的基础设施是复杂的,如果出现故障,可能会导致服务停止,数据丢失甚至瘫痪。
这些故障可能是由于供应商服务中断、软件故障、物理灾难等原因引起的。
4、虚拟机安全性云计算使用虚拟机技术,如果未经适当配置和管理,则可能会使其中的虚拟机之间形成信息隔离不足,从而会造成用户数据的丢失和混淆,以及未经授权访问等情况。
二、防范措施1、数据加密通过对敏感数据进行加密,可以防止黑客攻击,并保护数据不被窃取。
同时,企业应该采取多种加密策略,例如密钥管理和访问控制,以提高数据的安全性。
2、提高员工安全意识员工是安全体系中的一个重要环节。
对员工进行安全教育培训,提高他们的安全意识,也是防范云计算安全问题的一个有效手段。
3、控制云服务商企业应该完全把控云服务商,通过共同的保密协议、服务合同有限,来确保云服务提供商能够依照企业的需求提供合适的合规安全措施。
4、定期备份数据备份数据是防范数据丢失的一种非常重要的手段,尤其在云平台上进行备份能够更好地保护数据安全。
5、硬件防范企业应该根据相关标准要求,采用符合国际安全认证的硬件设备,此类设备不仅具有高强度、抗攻击性能,更具有更高的硬件防范能力。
三、总结稍加注意,在使用云计算过程中必须切实注意安全问题,互相协商的环境下进行优化选择服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
硕士研究生读书报告题目浅谈云计算安全威胁与对策作者姓名郑晟作者学号21151039指导教师尹可挺学科专业金融信息技术1102所在学院软件学院提交日期二○一一年十二月The Security Threats and Countermeasure of Cloud ComputingA Dissertation Submitted toZhejiang Universityin partial fulfillment of the requirements forthe degree ofMaster ofEngineeringMajor Subject: Software EngineeringAdvisor: Yin KetingByZheng ShengZhejiang University, P.R. China2011摘要随着云计算在全球大热,云计算安全的重要性也越发明显。
云计算由于其开放性及其复杂性,其潜在的漏洞各式各样,安全问题不得不令人担忧;此外,云中关键数据的高密度聚合,很可能会引来潜在的攻击,极有可能引发一系列问题。
本文通过对Google文档外泄事件这一典型案例的描述,阐述了云计算安全的重要性和必要性,并对目前安全方面存在的主要威胁进行了罗列和说明。
通过对其来源和可能造成的后果分析,在目前研究的基础上提出了针对的应对措施,以此来提高云计算的安全性。
关键词:云计算,云计算安全,安全威胁,对策AbstractWithcloud computing being popular inthe global,the importance of cloud computingsecurityis more obvious.Because ofopenness and complexity of cloud computing,there may beawide range of potential vulnerabilities,thesecurityissuesshouldbe concerned. Inaddition,key datainthe cloud polymerizing highly probably will cause potential attack,leading toaseries ofproblems.Throughtheevent that documents were leakedof Google, thispaper s tresses on the importance andnecessityof cloud computing security. Besides this paperlists and describes themain threats to security at presen t.Through analyzing its source andconsequences may caused, put forward solutions onthebaseofpresentstudy toimprove the safety of cloud computing.Keywords:software requirement,requirement analysis, system design.1引言随着1983年Sun公司提出“The Networkis the Computer(网络即是计算机)”的口号,云概念初步雏形化;直至2006年亚马逊公司推出的“Elastic Compute Cloud;EC2(弹性计算云)”服务,云计算得以正式问世。
不久,Google公司的Gmail、Picasa,IBM公司的“蓝云”计算平台等项目也接踵而至,云计算的热潮如燎原之火,迅速遍及全球。
如今,云计算在计算机领域可谓炙手可热,商业化、产业化已成为必然趋势,并衍生出诸如云存储、云安全、云监控等分支发展,持续在各不同领域大放异彩。
那么,什么是云?什么又是云计算?2 云计算2.1 概念云,其实是对网络、互联网的一种拟物修辞说法。
将大量的计算机资源用网络连接,对其进行统一管理和调度,从而构成一个计算机资源网,这个网络就是我们所说的云。
因此,云可以指互联网,也可以指分布在互联网中的各种计算中心,其中包含成千上万甚至更多台的计算机和服务器[1]。
云计算是网格计算(Grid Computing)、分布式计算(DistributedComputing)、并行计算(Parallel Computing)、效用计算(Utility Co mputing)、网络存储(NetworkStorage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机技术和网络技术发展融合的产物,是一种新型的计算模式[6]。
可以说,云计算是一种基于互联网的计算。
通过这种方式,软硬件资源和信息可以按需共享给各个计算机及其余设备,而计算任务则可以在互联网中由大量计算机构成的资源池中分布式运行,而不必拘泥于本地计算机或单一的远程服务器;相应的,用户可以根据自身需求,轻松获取所提供的计算能力、存储空间以及其余各种信息服务。
2.2 分类根据服务对象的不同,云计算一般可以分为共有云、私有云这两大类。
共有云是面向广域范围内服务对象的云计算服务,一般具有社会性、普遍性和公益性等特点;私有云是指社会单位为自身需要所建设的自有云计算服务模式,一般具有行业性特点[2]。
2.3 服务层次云计算服务可以分为以下3个层次的服务[6]:1)基础设施即服务(Infrastructure as aService; IaaS)用户通过Internet,就可以从完善的计算机基础设施中获取服务,如亚马逊公司的弹性计算云、IBM公司的蓝云以及Sun公司的云基础设施平台等。
2)软件即服务(Software as aService;SaaS)这是一种通过Internet提供软件的模式,用户不必购买软件,只需向云计算提供商租用基于Web的软件,用户只需通过浏览器就可以进行各项应用。
3)平台即服务(Platform as aService; PaaS)将软件研发的平台作为一种服务,以SaaS的模式提交给用户,PaaS 是SaaS模式的一种应用,如Google App Engine和微软的Azure平台。
3 云计算安全3.1 概念在云计算风靡全球的今天,由此衍生的“云安全”一词对众人来说,想必也是耳熟能详。
云安全有两个方面的含义:第一是云上的安全,即云计算安全,就是云计算自身存在的安全隐患,包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等,可以说云计算安全是云计算技术健康可持续发展的基础;第二是云计算技术在安全领域的具体应用,也称为安全云计算,通过采用云计算技术来提升安全系统的服务效能的安全解决方案,如基于云计算的防病毒技术、木马检测技术等[3]。
本文所关注的是第一方面,即云计算安全。
3.2 必要性关于云计算安全方面,一直存在两种不同的声音:一种认为,由云计算服务提供商组织安全专家和专业化服务团队,从而对整个系统实现安全管理,显然要比不专业的个人维护安全的多,因此采用云计算,其安全性能够增强不少;另一种说法则认为,由于云计算的开放性及其复杂性,其潜在的漏洞各式各样,安全问题反而更值得担忧,毕竟集中管理的云计算中心很可能成为黑客攻击的重点。
事实上,后者的担忧并非空穴来风,云计算的应用确实存在不少安全隐患,因此引发的事故确有先例。
2009年3月7日,众多GoogleDocs用户打开自己的账户后,发现多了不少陌生文件,而这些陌生文件的主人甚至不知道自己的文件已经被共享。
Google公司当天就发现了问题,并进行迅速处理,当用户再次打开账户时一切已经恢复正常,只是多了一封Google公司的道歉信。
这就是著名的Google文档外泄事件。
尽管Google公司对该事件的后续处理堪称迅速得宜,但公众对云计算的信任度一落千丈。
美国电子隐私信息中心还曾向监管机构提出申诉,要求美国联邦贸易委员会禁止Google提供云计算服务,直到其安全措施落实到位。
4 安全威胁由于云计算本身的流动性、无边界、虚拟化等特性,使其面临许多新的安全威胁,给传统的防护体系带来了极大冲击,主要威胁包括:1)云计算的滥用、恶用、拒绝服务攻击云计算以宽带网络和Web方式提供服务,针对它的拒绝服务攻击,使其可用性受到不小的挑战。
其次,云计算快速弹性的特征需要强大的网络和服务器资源支撑,而其按需服务的特征又对业务开通和服务变更等环节提出了灵活性的要求。
这两者结合,云计算不被滥用、恶用的前景堪忧,利用云计算服务破解密码、搭建僵尸网络的案例屡见不鲜。
2)不安全的接口和API云计算服务商需要提供大量的网络接口和API来整合业务、发展伙伴甚至直接提供业务。
但目前业界的安全实践,针对网络接口和API的安全测试仍不够成熟,带来了额外的安全入侵入口。
3)恶意的内部员工在业界的传统认知中,超过一半的安全事件源于内部人员。
云计算服务,某种程度上可以算是外包业务,工作上有权限、有能力接触并处理用户数据的范围被进一步扩大,增加了恶意的内部员工滥用数据和服务,甚至犯罪的可能性。
4)共享技术产生的问题资源的虚拟池化和共享是云计算的根本,所付出的最典型的代价,就是安全上的不足。
5)数据泄露数据泄露是云计算,尤其是公共云最担忧的问题之一。
云中关键数据的高密度聚合,可能会引来潜在的攻击者;而很多威胁都会导致云中数据的丢失和泄露。
6)账号和服务劫持在云环境中,一旦攻击者获取用户的账号信息,他们可以窃取用户的活动交易信息,操纵数据、捏造信息,还可能用劫持来的账号对其他用户发动新的攻击,造成用户的网络信誉受损。
7)未知的风险场景用户没有必要也没有足够的资源去洞悉云中所有的细节,而云计算服务商出于商业机密等考虑,也并不情愿分享关键信息。
如此一来,双方存在很大程度上的信息不对称,可能会滋生大量的未知安全风险。
5 可行的对策根据之前所提出的,云计算安全中面临的主要威胁,目前可着手针对的方向如下:1)在云计算服务设计阶段加强安全考量,加强抗拒绝服务性攻击的能力;严格设计首次注册和验证过程,对来自网络的投诉和监管机构的问询能够做到快速响应,监控公共黑名单。
2)加强接口和API在功能设计、开发、测试、上线等覆盖生命周期过程的安全实践,广泛采用加密、认证、访问控制、审计等安全措施,以及更加全面的安全测试用例。
3)从管理、合同、技术等方面同时入手,加强对内部员工的管制和应对措施。
4)在设计阶段,就根据客户的不同业务需求,设计可以支持不同安全等级、不同硬件分享策略的硬件分区和防御策略,并在运行阶段能有监控未经授权操作的技术支持。