當前位置：云計算 → 云安全 → 正文

云計算面臨的主要安全風險

責任編輯：editor03 |來源：企業網D1Net 2014-06-04 14:26:02 本文摘自：比特網

云計算是網格計算、分布式計算、和并行計算的進一步發展，目前已成為各行業關注的焦點。它是一種基于互聯網的超級計算模式，建立了一種按需訪問可配置的資源(如網絡、服務器、存儲、應用程序和服務)的機制，具有強大的計算和存儲能力。

隨著云計算的普及，安全問題逐步上升，成為制約其發展的重要因素。2011年4月，亞馬遜云計算中心崩潰，造成亞馬遜云服務中斷連續四天，應答服務、新聞服務和位置跟蹤等服務都受到影響。同月，索尼云計算服務器遭受一系列的黑客攻擊，丟失了七千七百萬個帳戶的信息。帳戶信息包括姓名、出生日期、電子郵件地址和登錄信息。

因此，要讓企業大規模應用云計算技術與平臺，將自己的數據放心地交付于云服務提供商管理，就必須全面分析并著手解決云計算所面臨的各種安全風險。

1、云計算面臨的主要安全風險

2008年，美國的信息技術研究詢公司Gartner發布了《云計算風險評估》報告，主要從供應商全能力角度分析了云計算面臨的風險，列出了云計算技術存在的主要安全風險，如表1所示。

表1 Gartner列出的云計算七大風險

2009年云安全聯盟CSA發布《云計算關鍵領域安全指南》，主要從攻擊者角度歸納了云計算環境可能面臨的主要威脅，提出12個關鍵安全關注域，之后發布了一份云計算安全風險簡明報告，將安全指南濃縮為7個最常見、危害程度最大的威脅，如表2所示。

表2 CSA列出的云計算七大風險

2、主要安全風險防范的分析

2.1服務器與數據庫安全

采用云計算的服務或應用，首先服務器和前端的數據庫必須可信，之后，企業才能利用云計算所提供的相應的服務。采用云計算服務的企業可以將數據儲存在互聯網服務供應商(ISP)所提供的存儲介質上，從而大幅降低成本。因此在服務器端保證信息交換、數據處理的機密性，完整性和身份驗證非常重要的。

2.2網絡安全

考慮到云計算的應用，可能的網絡連接方式包括有線和無線。

對于大型企業，云計算服務提供商最好構建采用專線或者租用線路模型。因此需要在網絡上使用加密系統和認證機制，從而維護信息安全。此外，采用云計算的企業的安全威脅不止來自外部，也可能出現在企業內部。因此為保證信息安全和服務質量的，企業和云運算服務提供商必須達成服務級別協議(SLA)。服務級別協議中必須對服務質量和安全性有明確和準確的定義。

對于中小企業，云計算服務商往往采用虛擬專用網絡(VPN)向他們提高服務。對于那些沒有保密信息的傳輸，通過互聯網會是最好的選擇，但是這種服務是不安全的。

隨著無線通信應用的發展，移動云計算也成為當前的一個發展方向。移動云計算是指通過移動互聯網絡以按需、易擴展的方式獲得所需的基礎設施、平臺、軟件(或應用)等IT資源或(信息)服務的交付與使用模式。無線網絡具有如低成本，低功耗，高擴展，和更多的靈活性等優勢。然而，信息在傳送過程中容易被截獲、欺騙、篡改。因此，信息安全風險更為突出。

2.3用戶認證

管理用戶帳戶和相應的授權訪問權限非常重要。很多企業采用單點登錄(single sign on，SSO)，或者給每位員工不同的帳戶以訪問不同系統。這是一種不合適的方法。此外，管理授權的訪問權限也是一個關鍵。

通過集中的身份和訪問管理，云計算的用戶能夠以一種標準的方法保護影響信息安全的操作和信息，從而滿足安全需要，增加效率和避免風險。

云計算的用戶認證與授權措施需要具備如下的能力：

1)身份管理。在用戶身份生命周期中，有效地管理用戶身份和訪問資源的權限，具體包括：

用戶身份生命周期管理，包括用戶自注冊、自管理和自動化的用戶身份標識部署服務。

用戶身份控制，包括訪問和權限控制、單點登錄和審計。

2)訪問授權。在用戶身份生命周期內提供隨時的訪問。用戶身份生命周期可能跨越多種環境和安全域，可以通過集中的身份、訪問、認證和審查，監測、管理并降低身份識別和訪問的風險。

2.4云端的數據安全

無論是底層的IaaS，還是中間層的PaaS或者最高層的SaaS，云存儲都是云應用實現的關鍵。云端的數據安全必須達到如下要求：

1)存儲和系統保護：服務提供商必須提供存儲系統保護避免發生數據損壞和系統故障的可能。

2)數據保護：存儲的數據必須不允許未經授權的用戶或入侵者訪問，員工的訪問也必須符合授權和認證的要求。此外，服務提供者必須保證數據的完整性。