云计算安全浅析
云计算安全问题与风险防范措施
云计算安全问题与风险防范措施近年来,随着云计算技术的迅猛发展,越来越多的企业和个人选择将存储、数据处理和应用程序迁移到云平台上。
云计算的强大便利性给我们带来了前所未有的便利和效益,但与此同时,也带来了诸多安全问题和风险。
本文将就云计算的安全问题进行探讨,并提出相应的风险防范措施。
首先,云计算存在的安全问题之一是数据泄露。
由于云存储是通过网络访问的,数据在传输和存储过程中容易受到黑客攻击和窃取的风险。
特别是对于那些处理敏感信息的企业,数据泄露将带来巨大的损失和声誉危机。
为了防止数据泄露,企业应采取有效的措施来加强对数据的保护。
一方面,数据在传输过程中应进行加密,确保安全传输;另一方面,数据在被储存在云平台上时,应实施访问控制和身份验证等措施,仅授权人员能够获取和修改数据。
其次,云计算的另一个安全问题是数据丢失。
由于云计算的数据存储是集中在云端服务器上,一旦服务器发生故障或数据中心遭遇灾害,可能导致数据无法恢复或完全丢失。
因此,数据备份是防范数据丢失的关键。
企业应定期对数据进行备份,并将备份数据存储在云外或异地备份。
这样即使云端数据发生意外,企业仍能通过备份数据恢复。
在云计算中,云平台商负责数据存储和应用程序的运行,这也引发了另一个安全问题,即可信度问题。
企业在选择云服务提供商时,需考虑其可信度和安全性。
云平台商的数据中心应具备完善的物理安全措施,如视频监控、门禁系统和灭火设备等,以保障数据的安全。
此外,企业还应与云平台商签订保密协议,明确责任和义务,确保数据的保密性。
此外,云计算的另一个潜在安全问题是虚拟化安全。
云计算平台利用虚拟化技术将多个服务器虚拟化为一个物理服务器来运行应用程序,这无疑增加了安全风险。
如果虚拟化层存在漏洞,攻击者可以通过攻击虚拟化层来获取敏感信息或操纵云平台。
为了应对虚拟化安全问题,企业应定期评估云平台的安全性,并确保虚拟化软件和操作系统的及时更新和修补。
最后,云计算的安全问题还包括服务可用性和业务连续性。
云计算安全趋势分析
云计算安全趋势分析在当今数字化的时代,云计算已经成为企业和个人不可或缺的一部分。
它为我们带来了高效、便捷和灵活的数据存储与处理方式,但与此同时,云计算的安全问题也日益凸显。
随着技术的不断发展和威胁的不断演变,了解云计算安全的趋势对于保障我们的数据和业务至关重要。
一、云计算安全威胁的不断变化过去,云计算面临的主要威胁可能是外部的黑客攻击和数据泄露。
然而,如今的威胁形势变得更加复杂和多样化。
内部人员的误操作或恶意行为成为了一个不容忽视的问题。
员工可能由于疏忽或缺乏安全意识,误将敏感数据上传到不安全的云环境,或者故意泄露公司机密。
另外,随着云计算服务的普及,针对云服务提供商的供应链攻击也逐渐增多。
攻击者可能通过攻击云服务提供商的合作伙伴或供应商,从而间接获取到云用户的数据。
同时,新型的恶意软件和勒索软件也在不断涌现,专门针对云计算环境进行攻击。
这些恶意软件可能会加密云存储中的数据,要求用户支付赎金才能恢复,给企业带来巨大的经济损失和业务中断风险。
二、云原生安全的兴起随着云计算的发展,云原生技术得到了广泛的应用。
云原生应用的特点是快速部署、弹性扩展和持续集成/持续部署(CI/CD)。
然而,这也给安全带来了新的挑战。
为了应对这些挑战,云原生安全应运而生。
云原生安全强调在应用开发的早期阶段就将安全考虑在内,通过采用微隔离、容器安全、服务网格等技术,保障云原生应用的安全运行。
微隔离技术可以对云环境中的工作负载进行精细的访问控制,防止攻击者在云内横向移动。
容器安全则专注于保护容器化应用的构建、部署和运行过程,防止容器被入侵或恶意利用。
服务网格可以对云原生应用中的服务间通信进行安全管理,实现加密、认证和授权等功能。
三、人工智能在云计算安全中的应用人工智能(AI)和机器学习技术正在改变云计算安全的格局。
通过对大量的安全数据进行分析和学习,AI 可以帮助企业快速检测和响应安全威胁。
例如,AI 可以用于识别异常的用户行为,如突然的大量数据下载或异常的登录地点。
云计算环境下的数据安全问题分析
云计算环境下的数据安全问题分析随着云计算的兴起,越来越多的企业、组织和个人选择将自己的数据存储在云端。
这种模式带来了很多便利,但也带来了一系列的数据安全问题。
本文将从云计算环境下的数据安全问题的现状、原因和应对措施三个方面进行分析。
一、云计算环境下的数据安全问题现状云计算环境下的数据安全问题主要表现在以下方面:1. 数据泄露。
由于云服务商的安全机制不够完善,或者用户的操作不当,导致用户的数据可能被攻击者窃取、绕过或利用漏洞盗取。
2. 数据丢失。
云服务商的硬件故障、意外停电、天灾地变等因素,可能导致用户的数据丢失而无法恢复。
3. 数据被篡改。
云服务商或者攻击者通过各种方式篡改或者破坏用户的数据,使得数据不再可靠性。
4. 不合规性问题。
一些行业的数据需要严格按照规定存储,如果使用云存储服务不符合标准,则会被罚款或侵犯隐私。
以上种种问题都表明当前云计算环境下的数据安全形势比较严峻。
二、云计算环境下的数据安全问题原因造成云计算环境下的数据安全问题的原因主要有以下四个方面:1. 用户安全意识不足。
大多数用户并不知晓云服务商所承诺的一些安全保障并不能完全保证数据安全。
2. 云服务商自身安全问题。
部分云服务商虽然采取了相关安全措施,但是还是会因为技术不足或者财务问题而疏漏安全措施。
另外,云服务商的商业拓展心态也会影响其为用户提供更好的安全保障。
3. 攻击者技术手段高超。
随着黑客技术的不断发展,窃取云数据已经不再是难题,这些攻击者利用漏洞、伪造身份等方式可以轻易地获取到敏感数据。
4. 法规限制不完善。
国内对于云计算的数据安全法规还相对薄弱。
目前在相关法律法规方面需要更多的完善和发展。
三、云计算环境下的数据安全问题应对措施为了有效应对云计算环境下的数据安全问题,我们可以从以下几个方面入手:1. 加强内部安全验证。
企业、组织和个人用户可定期更改密码,利用多因素身份验证等方式提高账号安全的保障。
2. 选择可信赖的云服务商。
云计算安全风险分析
云计算安全风险分析随着科技的不断发展,云计算作为一种新兴的技术模式正在逐步取代传统的计算方式。
虽然云计算为人们带来了许多便利和效益,但与此同时,也伴随着一系列的安全风险。
本文将对云计算的安全风险进行分析,并探讨相应的解决方案。
一、数据泄露风险云计算的核心之一是数据的存储和处理,然而,云计算中的数据并不在用户的本地设备上,而是存储在云服务提供商的服务器上。
因此,数据泄露风险成为云计算安全的重要挑战之一。
一旦云服务提供商的服务器被攻击,用户的数据就可能被窃取或篡改,极大地威胁到个人隐私和企业机密信息的安全。
解决方案:1.加密数据传输与存储:云计算中的数据传输和存储过程中,采用加密技术确保数据的安全性。
可以使用SSL/TLS协议对数据进行加密传输,同时在存储阶段也可以使用数据加密算法对数据进行加密存储。
2.访问控制管理:云服务提供商应该提供有效的访问控制机制,限制用户对敏感数据的访问,确保只有授权用户才能获取相关数据。
3.数据备份与容灾:云计算平台应定期进行数据备份,并实施容灾方案,以应对可能发生的数据丢失或服务器故障问题。
二、虚拟化技术带来的安全隐患云计算使用虚拟化技术将物理服务器虚拟化为多个虚拟服务器,提供更高的资源利用率和灵活性。
然而,这种虚拟化技术也带来了一系列的安全隐患。
解决方案:1.虚拟机监控:云计算平台应该加强对虚拟机的监控,及时发现和处理虚拟机中可能存在的安全漏洞,尽量减少虚拟机被黑客攻击的风险。
2.网络隔离:云服务提供商应该在虚拟化环境中实施有效的网络隔离措施,防止攻击者通过虚拟机之间的网络通信进行攻击。
3.安全审计:建立完善的安全审计机制,对云计算平台的安全性进行有效监测和审计,及时发现和处理潜在的安全威胁。
三、共享资源带来的安全风险云计算平台上的资源是共享的,用户可以通过云计算平台共享计算资源、存储容量等。
然而,共享资源也带来了一定的安全风险。
解决方案:1.数据隔离:云服务提供商应该对不同用户之间的数据进行隔离,确保不同用户的数据不会相互受到影响。
云计算安全隐患分析
云计算安全隐患分析云计算作为一种新兴的信息技术,已经广泛应用于各个领域,为企业和个人提供了便利和高效的服务。
然而,在云计算普及的背后,也存在着一些安全隐患。
本文将对云计算安全隐患进行分析,并提出相应的解决方案。
一、数据隐私泄露风险在云计算环境下,用户的数据存储在云服务提供商的服务器上,而不再存储在本地设备上。
这种集中式存储的方式可能会导致数据隐私泄露的风险。
云服务提供商可能会利用用户的数据进行商业用途或不当传播,给用户的隐私带来威胁。
解决方案:1.选择可信赖的云服务提供商,对其隐私政策和安全措施进行全面了解。
2.采取数据加密措施,确保用户数据在传输和存储过程中都得到保护。
二、虚拟化技术漏洞云计算的核心技术之一是虚拟化技术,它可以将一台物理服务器划分为多个虚拟机,每个虚拟机可以独立运行一个操作系统和应用程序。
然而,虚拟化技术本身存在一些漏洞,可能导致虚拟机之间的互相攻击,甚至窃取主机或其他虚拟机的数据。
解决方案:1.及时进行安全补丁和更新,修复虚拟化平台中的漏洞。
2.合理设置虚拟机的访问权限和网络隔离机制,防止虚拟机之间的攻击。
三、数据备份与恢复问题在云计算环境下,用户的数据通常会备份到多个服务器,并且云服务提供商会定期对数据进行备份。
然而,若云服务提供商的备份策略不当或备份过程中发生故障,可能会导致数据丢失或无法及时恢复的问题。
解决方案:1.选择提供及时且可靠数据备份服务的云服务提供商。
2.用户也应自行对重要数据进行备份,以防止由于云服务提供商的原因造成数据丢失。
四、身份认证与访问控制不当云计算环境下,用户需要通过身份认证才能获得访问云服务的权限。
若身份认证和访问控制措施不严格,恶意攻击者有可能冒充合法用户,获取非法访问权限,并对云服务进行破坏或数据篡改。
解决方案:1.采用多层次的身份认证机制,如用户账号和密码、短信验证码、指纹识别等,确保身份信息的安全性。
2.建立完善的访问控制策略,根据用户角色和权限设置合理的访问权限。
云计算安全问题及应对措施
云计算安全问题及应对措施在数字化时代,云计算已成为企业信息化的必备工具。
云计算的优势在于能够提高工作效率,降低成本,实现资源共享和数据备份等功能。
但是,在享受云计算带来的便利时,我们也要注意云计算的安全问题。
本文将探讨云计算安全问题及应对措施。
一、云计算安全问题1.数据泄露数据泄露是云计算安全问题中最常见的问题之一。
由于云计算是基于网络连接的,所以数据在传输过程中极易被黑客拦截和窃取。
此外,一些云平台安全性较差,导致数据被攻击者获得。
企业数据泄露将导致重大的经济损失和商业机密泄露。
2.身份认证问题云计算需要用户进行身份认证才能使用服务,一些安全措施较差的云服务供应商可能存在身份认证漏洞,黑客可以轻易地窃取用户的账号和密码,进而入侵目标系统。
3.数据存储问题由于云计算能够实现方便的数据存储,企业将海量数据上传到云中,但是,一些供应商没有足够的保障对文件的安全存储。
数据存储在云中也可能面临硬件故障、黑客攻击、自然灾害等因素的威胁。
4.虚拟化安全问题云计算采用虚拟化技术实现资源的共享,这也给攻击者提供了机会。
虚拟机之间的安全隔离不够严格,一些攻击者可以利用虚拟化漏洞,入侵目标系统并窃取数据。
二、应对措施1.强化加密措施加密是保护数据最重要的安全措施之一。
对于敏感数据,尤其需要加强加密措施。
利用TLS协议和VPN技术等可有效加密,保证数据传输时的安全。
2.实施身份认证通过实施多种安全身份验证措施,如密码、指纹和访问限制等多项措施来加强身份认证。
此类措施可以有效地预防黑客和未授权用户入侵系统。
3.备份和灾备要在云存储的数据中实时备份和灾备,保障在数据被窃取或丢失等情况下,企业系统不会完全停滞或影响企业的员工和客户。
同时,备份和灾备应该针对企业的需求进行细致的规划。
4.采用虚拟化技术通过部署虚拟机监视器系统,可以实现虚拟化环境中的安全隔离,并及时监控并发现安全问题。
同时建议采用云服务提供商为客户提供虚拟网络接口和虚拟存储系统等安全解决方案。
云计算的安全问题与解决方法
云计算的安全问题与解决方法随着互联网的发展以及信息技术的不断进步,云计算已成为当今信息领域中的热门话题之一。
云计算作为一种新型的计算方式,具有资源共享、高效灵活等优势,而这些优势也让云计算变得更易受到黑客攻击。
为了保证云计算系统的安全,我们需要对云计算的安全问题进行分析,并制定相应的解决方法。
一、云计算的安全问题1.1 数据隐私泄露对于云计算服务提供商来说,大量的用户数据存储在他们的云服务中,包括个人隐私、商业机密等。
但是,由于安全措施不到位或是系统漏洞,很容易造成数据泄露。
泄露的数据将被黑客用于非法目的,给用户和企业带来巨大的损失。
1.2 DDoS攻击DDoS攻击是互联网上最常见的攻击方式之一。
这种攻击方式旨在消耗目标服务器的资源,导致系统瘫痪甚至瘫痪。
在云计算环境中,由于多个虚拟机共享一个物理服务器,一旦其中一个虚拟机受到DDoS攻击,整个物理服务器可能会被带崩溃。
1.3 虚拟化安全问题云计算时将资源进行虚拟化,为用户提供更为便捷的资源使用体验。
但是,虚拟化也带来了一些安全问题。
未来的虚拟化系统将会变得越来越庞大,因此,他们有可能成为病毒、恶意软件等攻击的目标。
二、云计算的解决方法2.1 数据加密为了避免用户数据泄露,云服务供应商需要采取多种方式来保护数据的隐私。
其中一种主要的方式就是数据加密。
将数据加密存储在云端,只有数据的拥有者才能访问和解密,大幅度保护了用户数据的隐私,提高了用户对云计算的信心。
2.2 强化防御DDoS攻击是云计算面临的最大威胁之一。
为了更好地应对这种威胁,云服务应该加强防范,采取更加严格的安全措施。
例如,云服务供应商可以通过配置负载均衡器或者增加网关的数量等方式来增强防御能力。
此外,云服务供应商还可以引入机器学习技术,通过数据分析的方法来寻找异常流量,及早发现潜在的风险。
2.3 虚拟化安全为了提供更好的安全保护,云服务供应商可以使用虚拟化技术来进行强化。
具体地说,他们可以将虚拟机隔离开来,防止病毒在不同的虚拟机之间传播。
云计算安全问题及解决方案
云计算安全问题及解决方案云计算作为一种新兴的信息技术,给各行各业带来了巨大的便利和创新。
然而,随着云计算的普及和应用,也出现了一系列的安全问题。
本文将讨论云计算中存在的安全问题,并提出相应的解决方案,以确保云计算的安全性。
一、云计算中的安全问题1. 数据保护与隐私问题在云计算中,用户的数据存储和处理都在云服务提供商的服务器上进行。
这就面临着数据泄露、未授权访问、数据归属权等问题,可能导致用户的隐私泄露和商业机密泄露。
2. 虚拟化安全问题云计算中采用了虚拟化技术,将物理服务器虚拟化为多个虚拟机,提高了资源利用率。
然而,虚拟化环境中存在着虚拟机间的隔离不足、虚拟机逃逸、资源竞争等问题,可能导致攻击者通过虚拟机进行攻击和数据窃取。
3. 身份认证与访问控制问题云计算中,用户和服务提供商之间需要进行身份认证,并且需要实现灵活的访问控制。
在实际应用中,身份认证和访问控制的实现不当可能导致未经授权的用户进行访问,从而对云服务的安全性造成威胁。
二、云计算安全解决方案1. 强化数据加密与隐私保护云计算用户在上传敏感数据之前,应该对数据进行加密处理。
同时,云服务提供商也应该加强对数据的加密和解密过程的安全性控制,确保数据在传输和存储过程中不受攻击者的篡改和窃取。
2. 加强虚拟化环境的安全管理云服务提供商应该采取有效的措施,实现虚拟机之间的隔离。
例如,采用安全的虚拟化技术、完善虚拟化软件的安全功能、定期更新和修补虚拟化软件漏洞等。
同时,用户也应该对云服务提供商的虚拟化环境进行评估和选择,确保虚拟化环境的安全性。
3. 强化身份认证与访问控制机制云计算用户应该选择合适的身份认证和访问控制机制,确保只有经过授权的用户才能进行访问。
例如,采用多因素身份认证、定期修改密码、及时禁用未使用的账号等。
云服务提供商也应该提供灵活和安全的身份认证和访问控制机制,以满足不同用户的需求。
4. 安全监控与漏洞修复云服务提供商应该建立完善的安全监控体系,及时检测和发现安全事件和漏洞。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云计算安全浅析朱源,闻剑峰(中国电信股份有限公司上海研究院,上海,200122)摘要:云计算是近年来互联网讨论最为热烈的技术,被认为是互联网发展趋势。
随着云计算的深入应用,云计算安全问题成为最引人关注的焦点之一。
本文结合云计算的特点,重点介绍了数据安全、应用安全,以及虚拟化安全在云计算环境下面临的威胁,以及相应的对策。
关键字:云计算;基础设施即服务;平台即服务;软件即服务;应用安全;云服务提供商1 云计算概述云计算是一种新兴的共享基础架构的方法,由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。
这些组件可以迅速策划、置备、部署和退役,并且可以迅速扩充或缩减,提供按需的、效用计算类似的分配和消费模式。
云计算具有按需自服务、宽带接入、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点,这些特点直接影响到了云计算环境的安全威胁和相关的安全保护策略。
云计算具备了众多的好处,从规模经济到应用可用性,云计算绝对能在应用环境带来一些积极的因素。
如今,在广大云计算提供商和支持者的推崇下,众多企业用户已开始跃跃欲试。
然而,云计算也带来了一些新的安全问题,由于众多用户共享IT基础架构,安全的重要性确实非同小可。
2云计算安全参考模型从IT网络和安全专业人士的视角出发,我们可以用统一分类的一组公用的、简洁的词汇来描述云架构对安全架构的影响,在这个统一分类的方法中,云服务和架构可以被解构,也可以被映射到某个安全、可操作控制、风险评估和管理框架等诸多要素的补偿模型中去,进而符合合规性标准。
云模型安全控制模型合规模型物理平台安全,闭路电视,安保基于主机的防火墙、HIDS/HIPS.文件日志管理、加密软件和硬件腐蚀、接口NIDS/NIPS 、防火墙、DPI 、Ant-DDos 、QOS.DNSSEC 、oauth GRC.IAM 、VAM 、补丁管理、配置管理、监控DLP 、CMF 、数据库活动监控、加密软件开发什么周期管理、二进制分析、扫描、web 应用防火墙找到差距图1 云计算安全参考模型云计算模型之间的关系和依赖性对于理解云计算的安全非常关键,IaaS (基础设施即服务)是所有云服务的基础,PaaS (平台即服务)建立在IaaS 之上,而SaaS (软件即服务)又建立在PaaS 之上,之间关系如图1所示。
IaaS 涵盖了从机房设备到其中的硬件平台等所有的基础设施资源层面。
PaaS 位于IaaS 之上,增加了一个层面用以与应用开发、中间件能力以及数据库、消息和队列等功能集成。
PaaS 允许开发者在平台之上开发应用,开发的编程语言和工具由PaaS 支持提供。
SaaS 又位于底层的IaaS 和PaaS 之上。
SaaS 能够提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力。
云安全架构的一个关键特点是云服务提供商所在的等级越低,云服务用户自己所要承担的安全能力和管理职责就越多。
本文针对云计算安全领域中的数据安全、应用安全和虚拟化安全进行了重点阐述,如表1所示。
表1 云安全内容矩阵另外,需要特别指出的是,本文在论述云计算安全内容矩阵的时候,始终遵循CIA三要素相结合的原则,即保密性、完整性和可用性。
3 数据安全云用户和云服务提供商应避免数据丢失和被窃,无论是使用哪种云计算的服务模式(SaaS/PaaS/IaaS),数据安全变的越来越重要。
以下会针对数据传输安全、数据隔离和数据残留等方面展开讨论。
3.1数据传输安全在使用公共云时,对于传输中的数据最大的威胁就是不采用加密算法。
通过Internet传输数据,采用的传输协议也要能保证数据的完整性。
如果采用加密数据和使用非安全传输协议的方法也可以达到保密的目的,但无法保证数据的完整性。
3.2数据隔离加密磁盘上的数据或生产数据库中数据很重要(静止的数据),这可以用来防止恶意的云服务提供商、恶意的邻居“租户”及某些类型应用的滥用。
但是静止数据加密比较复杂,如果仅使用简单存储服务进行长期的档案存储,用户加密他们自己的数据然后发送密文到云数据存储商那里是可行的。
但是对于PaaS或者SaaS应用来说,数据是不能被加密,因为加密过的数据会妨碍索引和搜索。
到目前为止还没有可商用的算法实现数据全加密。
PaaS和SaaS应用为了实现可扩展、可用性、管理以及运行效率等方面的“经济性”,基本都采用多租户模式,因此被云计算应用所用的数据会和其他用户的数据混合存储(如Google的BigTable)。
虽然云计算应用在设计之初已采用诸如“数据标记”等技术以防非法访问混合数据,但是通过应用程序的漏洞,非法访问还是会发生,最著名的案例就是2009年3月发生的谷歌文件非法共享。
虽然有些云提供商请第三方审查应用程序或应用第三方应用程序的安全验证工具加强应用程序安全,但出于经济性考虑,无法实现单租户专用数据平台,因此唯一可行的选择就是不要把任何重要的或者是敏感的数据放到公共云中。
3.3数据残留数据残留是数据在被以某种形式擦除后所残留的物理表现,存储介质被擦除后可能留有一些物理特性使数据能够被重建。
在云计算环境中,数据残留更有可能会无意中泄露敏感信息。
因此云服务提供商应保证云用户能鉴别信息所在的存储空间被释放或再分配给其他云用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
云服务提供商应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他云用户前得到完全清除。
4应用安全由于云环境其灵活性、开放性、以及公众可用性这些特性,给应用安全带来了很多挑战。
提供商在云主机上部署的Web应用程序应当充分考虑来自互联网的威胁。
4.1 终端用户安全对于使用云服务的用户,应该保证自己计算机的安全。
在用户的终端上部署安全软件,包括反恶意软件、防病毒、个人防火墙,以及IPS类型的软件。
目前,浏览器已经普遍成为云服务应用的客户端,但不幸的是所有的因特网浏览器毫无例外地存在软件漏洞,这些软件漏洞加大了终端用户被攻击的风险,从而影响云计算应用的安全。
因此云用户应该采取必要措施保护浏览器免受攻击,在云环境中实现端到端的安全。
云用户应使用自动更新功能,定期完成浏览器打补丁和更新工作。
随着虚拟化技术的广泛应用,许多用户现在喜欢在桌面或笔记本电脑上使用虚拟机来区分工作(公事与私事)。
有人使用VMware Player来运行多重系统(比如使用Linux作为基本系统),通常这些虚拟机甚至都没有达到补丁级别。
这些系统被暴露在网络上更容易被黑客利用成为流氓虚拟机。
对于企业客户,应该从制度上规定连接云计算应用的PC机禁止安装虚拟机,并且对PC机进行定期检查。
4.2 SaaS应用安全SaaS应用提供给用户的能力是使用服务商运行在云基础设施之上的应用,用户使用各种客户端设备通过浏览器来访问应用。
用户并不管理或控制底层的云基础设施,例如网络、服务器、操作系统、存储、甚至其中单个的应用能力,除非是某些有限用户的特殊应用配置项。
SaaS模式决定了提供商管理和维护整套应用,因此SaaS提供商应最大限度地确保提供给客户的应用程序和组件安全。
客户通常用只需负责操作层安全功能包括用户和访问管理。
所以选择SaaS提供商特别需要慎重,目前对于提供商评估通常的做法是根据保密协议,要求提供商提供有关安全实践的信息。
该信息应包括设计、架构、开发、黑盒与白盒应用程序安全测试和发布管理。
有些客户甚至请第三方安全厂商进行渗透测试(黑盒安全测试),以获得更为详实的安全信息;不过渗透测试通常费用很高而且也不是所有提供商都同意这种测试。
还有一点需要特别注意的是SaaS提供商提供的身份验证和访问控制功能,通常情况下这是客户管理信息风险唯一的安全控制措施。
大多数服务,包括谷歌都会提供基于Web的管理用户界面。
最终用户可以分派读取和写入权限给其他用户。
然而这个特权管理功能可能不先进的,细粒度访问可能会有弱点,也可能不符合组织的访问控制标准。
用户应该尽量了解云特定访问控制机制,并采取必要步骤,保护在云中的数据。
应实施最小化特权访问管理,以消除威胁云应用安全的内部因素。
所有有安全需求的云应用都需要用户登录,有许多安全机制可提高访问安全性,比如说通行证或智能卡,而最为常用的方法是可重用的用户名和密码。
对于密码的强度最小(例如需要的长度和字符集过短),也没有密码管理(过期,历史)很容导致密码失效,而这恰恰是攻击者获得信息的首选方法,从而容易被猜到的密码。
因此云服务提供商应能够提供高强度密码;定期修改密码,时间长度必须基于数据的敏感程度;不能使用旧密码等可选功能。
在目前的SaaS应用中,提供商将客户数据(结构化和非结构化数据)混合存储是普遍的做法,通过唯一的客户标识符,在应用中的逻辑执行层可以实现客户数据逻辑上的隔离,但是当云服务提供商的应用升级时,可能会造成这种隔离在应用层执行过程中变得脆弱。
因此,客户应了解SaaS提供商使用的虚拟数据存储架构和预防机制,以保证多租户在一个虚拟环境所需要的隔离。
SaaS提供商应加强在软件安全性和实践的安全措施,这些措施应贯穿于整个软件生命开发周期。
4.3 PaaS应用安全PaaS云提供给用户的能力是在云基础设施之上部署用户创建或采购的应用,这些应用使用服务商支持的编程语言或工具开发,用户并不管理或控制底层的云基础设施,包括网络、服务器、操作系统或存储等,但是可以控制部署的应用,以及应用主机的某个环境配置。
PaaS应用安全包含2个层次:PaaS平台自身的安全;客户部署在PaaS平台上应用的安全。
SSL是大多数云安全应用的基础,目前众多黑客社区都在研究SSL,相信SSL在不久的将来将成为一个主要的病毒传播媒介。
PaaS提供商必须明白当前的形势,并采取可能的办法来缓解SSL攻击,避免应用被暴露在默认攻击之下。
用户必须要确保自己有一个变更管理项目,在应用提供商指导下进行正确应用配置或打配置补丁,及时确保SSL补丁和变更程序能够迅速发挥作用。
PaaS提供商通常都会负责平台软件包括运行引擎的安全,如果PaaS应用使用了第三方应用、组件或WEB服务,那么第三方应用提供商则需要负责这些服务的安全。
因此用户需要了解自己的应用到底依赖于哪个服务,以及对第三方提供商的风险评估。
到目前为止,云服务提供商借口平台的安全使用的信息会被黑客利用而拒绝共享;尽管如此,客户应尽可能地要求云服务提供商增加信息透明度以利于风险评估和安全管理。
在多租户PaaS的服务模式中,最核心的安全原则就是多租户应用隔离。
云用户应确保自己的数据只能有自己的企业用户和应用程序访问。
提供商维护PaaS的平台运行引擎的安全,在多租户模式下必须提供“沙盒”架构,平台运行引擎的“沙盒”特性可以集中维护客户部署在PaaS平台上应用的保密性和完整性。