云計算安全、數(shù)據(jù)安全一直以來就是企業(yè)級用戶所關(guān)心的重要問題之一,從云計算安全聯(lián)盟,也就是我們常說的CSA組織的調(diào)查結(jié)果也不難發(fā)現(xiàn),當今IT行業(yè)當中云計算安全已經(jīng)成為了用戶數(shù)據(jù)安全的“罪魁禍首”,然而在這當中,數(shù)據(jù)泄露、數(shù)據(jù)丟失和數(shù)據(jù)劫持三類則包攬了“前三甲”。
有很多行業(yè)專家不止一次的指出,企業(yè)用戶在準備“上云”之前,首先要做的不是倉促的把數(shù)據(jù)和項目放上云端,而是應(yīng)該清楚的認識自己內(nèi)部所部署的云計算平臺,所經(jīng)歷的云計算服務(wù)當中最大的安全威脅是什么,這些威脅點究竟在哪里。
數(shù)據(jù)泄露首當其沖
CSA在其一篇調(diào)查報告當中曾經(jīng)描述了黑客是如何通過侵入一臺虛擬機來獲取同一服務(wù)器上的其他虛擬機所使用的私有密鑰。不過,其實不懷好意的黑客未必需要如此煞費苦心,就能確保這種攻擊得逞。要是多租戶云服務(wù)數(shù)據(jù)庫設(shè)計不當,哪怕某一個用戶的應(yīng)用程序只存在一個漏洞,都可以讓攻擊者獲取這個用戶的數(shù)據(jù),而且還能獲取其他用戶的數(shù)據(jù)。
CSA報告認為:“你落實到位的措施可能可以緩解一種威脅,但是會加大遭遇另一種威脅的風(fēng)險。”用戶可以對數(shù)據(jù)進行加密,以減小泄露的風(fēng)險,不過一旦用戶丟失了加密密鑰,就再也無法查看數(shù)據(jù)了。反過來說,如果用戶決定對數(shù)據(jù)進行異地備份以減小數(shù)據(jù)丟失風(fēng)險,卻就又加大了數(shù)據(jù)泄露的幾率。
數(shù)據(jù)丟失
數(shù)據(jù)丟失對于整個云計算環(huán)境來說也是非常大的一個威脅,用戶非常有可能親眼目睹自己的數(shù)據(jù)遭到攻擊或者丟失,同時近些年我們所看到的很多自然災(zāi)害,比如洪水、地震、臺風(fēng)等等對于基礎(chǔ)架構(gòu)的破壞也使得數(shù)據(jù)丟失成為了云計算用戶非常急切想要改善的重點問題。
專家表示,數(shù)據(jù)丟失帶來的問題不僅僅可能影響企業(yè)與客戶之間的關(guān)系。按照法規(guī),企業(yè)必須存儲某些數(shù)據(jù)存檔以備核查,然而這些數(shù)據(jù)一旦丟失,企業(yè)由此有可能陷入困境,遭到政府的處罰。
什么?數(shù)據(jù)也會被劫持!
是的,你沒看錯,對于云計算平臺來說,用戶數(shù)據(jù)也會遭到劫持。如果黑客獲取了企業(yè)的登錄資料,其就有可能竊聽相關(guān)活動和交易,并操縱數(shù)據(jù)、返回虛假信息,將企業(yè)客戶引到非法網(wǎng)站。
你的賬戶或服務(wù)實例可能成為攻擊者新的大本營。他們進而會利用你的良好信譽,對外發(fā)動攻擊。在2010年亞馬遜公司就曾經(jīng)遭受遇到過跨站腳本XSS的非法攻擊,造成了大量數(shù)據(jù)被劫持。
對于云計算服務(wù)當中數(shù)據(jù)劫持這種問題,關(guān)鍵在于平臺服務(wù)如何更好的保護登陸資料,以免被不法分子盜取利用,企業(yè)應(yīng)考慮禁止用戶與服務(wù)商之間共享賬戶登錄資料。可能的話,企業(yè)應(yīng)該盡量采用安全性高的雙因子驗證技術(shù)。
不安全的API接口
對于云計算來說,API接口的重要程度無須贅述,對于整個平臺和服務(wù)來說,一個安全的API接口就顯得尤為重要了,IT管理員們會利用API對云服務(wù)進行配置、管理、協(xié)調(diào)和監(jiān)控。API對一般云服務(wù)的安全性和可用性來說極為重要。企業(yè)和第三方因而經(jīng)常在這些接口的基礎(chǔ)上進行開發(fā),并提供附加服務(wù)。
企業(yè)要明白使用、管理、協(xié)調(diào)和監(jiān)控云服務(wù)會在安全方面帶來什么影響。安全性差的API會讓企業(yè)面臨涉及機密性、完整性、可用性和問責(zé)性的安全問題。
拒絕服務(wù)攻擊
沒錯,也就是我們常說的DDoS攻擊,它也被列為了云計算平臺的一個重要敵人,這么多年來DDoS一直都是互聯(lián)網(wǎng)安全的最大敵人,在云計算時代,許多企業(yè)會需要一項或多項服務(wù)保持7×24小時的可用性,在這種情況下這個威脅顯得尤為嚴重。DDoS引起的服務(wù)停用會讓服務(wù)提供商失去客戶,還會給按照使用時間和磁盤空間為云服務(wù)付費的用戶造成慘重損失。
雖然攻擊者可能無法完全摧垮服務(wù),但是“還是可能讓計算資源消耗大量的處理時間,以至于對提供商來說運行成本大大提高,只好被迫自行關(guān)掉服務(wù)。”如此一來,提高了運維成本不說,其實對于云計算平臺的安全性也是一個極大的威脅。
危險來自內(nèi)部人員
如果管理云計算平臺的是一個“不懷好意”的內(nèi)部人員,那么你想想,你的用戶數(shù)據(jù)還會安全嗎?這些人可能是在職,可能是離任的員工,也可能是企業(yè)業(yè)務(wù)的合作伙伴等等,其實看似天方夜譚的一個數(shù)據(jù)威脅在現(xiàn)實的平臺管理過程當中確實真實存在的。
不懷好意地訪問網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)。在云服務(wù)設(shè)計不當?shù)膱鼍跋拢粦押靡獾膬?nèi)部人員可能會造成較大的破壞。從基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺即服務(wù)(PaaS)到軟件即服務(wù)(SaaS),不懷好意的內(nèi)部人員擁有比外部人員更高的訪問級別,因而得以接觸到重要的系統(tǒng),最終訪問數(shù)據(jù)。
在云服務(wù)提供商完全對數(shù)據(jù)安全負責(zé)的場合下,權(quán)限控制在保證數(shù)據(jù)安全方面有著很大作用。云計算專家認為:“就算云計算服務(wù)商實施了加密技術(shù),如果密鑰沒有交由客戶保管,那么系統(tǒng)仍容易遭到不懷好意的內(nèi)部人員攻擊。”
濫用云服務(wù)
對于這點來說只需要幾個例子就可以闡述清楚,比如壞人利用云服務(wù)破解普通計算機很難破解的加密密鑰。另一個例子是,惡意黑客利用云服務(wù)器發(fā)動分布式拒絕服務(wù)攻擊、傳播惡意軟件或共享盜版軟件。這其中面臨的挑戰(zhàn)是,云服務(wù)提供商需要確定哪些操作是服務(wù)濫用,并且確定識別服務(wù)濫用的最佳流程和方法。
輕易與“他人”共享資源
資源共享,成為了云計算時代我們常聽到的一個詞匯,然而這對于平臺安全和用戶數(shù)據(jù)安全來說也就成為了一個不小的威脅,云服務(wù)提供商經(jīng)常共享基礎(chǔ)設(shè)施、平臺和應(yīng)用程序,并以一種靈活擴展的方式來交付服務(wù),共享技術(shù)的安全漏洞很有可能存在于所有云計算的交付模式中,無論構(gòu)成數(shù)據(jù)中心基礎(chǔ)設(shè)施的底層部件(如處理器、內(nèi)存和GPU等)是不是為多租戶架構(gòu)(IaaS)、可重新部署的平臺(PaaS)或多用戶應(yīng)用程序(SaaS)提供了隔離特性。
如果極其重要的數(shù)據(jù)中心組成部分,比如虛擬機管理程序、共享平臺組件或者應(yīng)用程序受到攻擊,那么由此可能導(dǎo)致整個環(huán)境遭受到損害。因此,采用一個更為深入全面的整體防御策略就顯得尤為重要了,同時,通過計算、存儲、網(wǎng)絡(luò)、應(yīng)用、安全執(zhí)行、監(jiān)控等諸多層面的解決方案來全方位的保證云計算平臺的安全運行和數(shù)據(jù)安全是企業(yè)級服務(wù)提供商們需要著重考慮的問題。
京公網(wǎng)安備 11010502049343號