對(duì)于企業(yè)來(lái)講,云計(jì)算在給其帶來(lái)機(jī)遇的同時(shí),也帶來(lái)了很多長(zhǎng)期的挑戰(zhàn),比如可擴(kuò)展性、技術(shù)更新和成本問(wèn)題等。然而,云計(jì)算所面臨的真正問(wèn)題不是能力方面,而是安全;而安全的主要問(wèn)題,又在于人的看法。
云安全更容易被忽視
事實(shí)證明,云安全的重要性相比傳統(tǒng)的數(shù)據(jù)中心安全有過(guò)之而無(wú)不及。但現(xiàn)實(shí)中,其所得到的重視程度卻并不能與之相匹。那么這是怎樣的原因造成的呢?場(chǎng)所不同。傳統(tǒng)數(shù)據(jù)中心占地面積大,容易被人接受,而云技術(shù)看不到摸不著,很容易被人忽視。
不在身邊的數(shù)據(jù)中心,安全易忽視
而且,企業(yè)的IT團(tuán)隊(duì)將云服務(wù)交給云供應(yīng)商,這就更容易讓人產(chǎn)生懈怠。傳統(tǒng)數(shù)據(jù)中心是一個(gè)機(jī)構(gòu),用戶可以隨時(shí)查看其物理層面的任何狀況;而云計(jì)算則是完全抽象的理念,其任何異常狀況的出現(xiàn)都可能是一次安全事故。
為了解決這一問(wèn)題,我們可以從云基礎(chǔ)設(shè)施即服務(wù)(IaaS)來(lái)看當(dāng)今時(shí)代的云環(huán)境,尋找能夠提高用戶云安全并保持下去的方法。
虛擬機(jī)管理程序
對(duì)于在同一物理硬件中運(yùn)行多個(gè)虛擬機(jī) 的情況,管理程序是其核心所在。其主要功能為幫助處于同一硬件間不同虛擬機(jī)安全分離互不干涉。
IaaS提供很多安全服務(wù)
而這樣做的最大好處在于虛擬機(jī)管理程序可以幫助有效的降低可能被攻擊面,提高虛擬機(jī)安全性,防止攻擊者跳過(guò)虛擬機(jī)管理程序直接接觸虛擬機(jī),降低風(fēng)險(xiǎn)。
虛擬機(jī)管理程序并非新技術(shù),其存在已有數(shù)十年。而隨著不斷測(cè)試及發(fā)展,這一技術(shù)的安全性越發(fā)強(qiáng)大。與操作系統(tǒng)不同,云服務(wù)的漏洞不可能每天都能有所發(fā)現(xiàn),很難有明確的報(bào)告用于確認(rèn)漏洞,采用虛擬機(jī)管理程序降低風(fēng)險(xiǎn)無(wú)疑是可靠的。
透明度
在過(guò)去,有時(shí)搭建一個(gè)服務(wù)器之后卻忘了將其添加到庫(kù)。這種失誤會(huì)直接導(dǎo)致很嚴(yán)重的安全事故發(fā)生,但這在云環(huán)境里卻幾乎是不可能發(fā)生的事情。因?yàn)樵骗h(huán)境幾乎是完全透明的,用戶無(wú)法避開服務(wù)器、工作站、防火墻或者云環(huán)境中的其他設(shè)備。
在云端,危險(xiǎn)動(dòng)作透明可見
此外,云環(huán)境的基礎(chǔ)網(wǎng)絡(luò)和安全架構(gòu)幾乎是完全開放的,但也正因?yàn)橥耆梢姡@一架構(gòu)的安全情況明顯增強(qiáng)。在如此透明的云計(jì)算環(huán)境中使用正確的工具來(lái)收集和管理數(shù)據(jù),該過(guò)程所涉及的危險(xiǎn)動(dòng)作都可由云合作伙伴所發(fā)覺(jué),解決問(wèn)題也就更能有的放矢。
配置管理
在云端,配置管理是一個(gè)需要高度安全環(huán)境的重要元素。從安全角度來(lái)看,比如當(dāng)用戶需要啟動(dòng)了一個(gè)新的服務(wù)器時(shí),配置會(huì)被預(yù)定后很快完成。而在傳統(tǒng)環(huán)境下,這一過(guò)程可能需要數(shù)個(gè)小時(shí),會(huì)涉及到多個(gè)層面。而云端化后這一改變雖不起眼,這卻是硬件供應(yīng)商所無(wú)法解決的問(wèn)題。
小動(dòng)作,大變化
云環(huán)境可以幫助用戶迅速打包復(fù)制所用配置,無(wú)論是作為服務(wù)器的一部分還是機(jī)器配置過(guò)程自動(dòng)化的一部分。無(wú)論用戶創(chuàng)建多少新的工作,在云端都會(huì)呈現(xiàn)配置后的最新狀態(tài),這一過(guò)程是全自動(dòng)的,可以為用戶節(jié)省很多時(shí)間,有著非常積極的作用。
云端安全審查
以美國(guó)為例,美國(guó)的聯(lián)邦信息安全管理法案(Federal Information Security Management Act defines,F(xiàn)ISMA)定義了一個(gè)云部署時(shí)全面的安全框架系統(tǒng)和服務(wù)。而這一法案旨在為云提供商提供一個(gè)標(biāo)準(zhǔn)化的管理。并且為云操作中添加一些特定操作增加安全性。
安全審查,步步為營(yíng)
該法案規(guī)定,所有云產(chǎn)品必須滿足安全要求。這就意味著在使用云計(jì)算的初始時(shí)期就可以獲得一個(gè)超出目前范圍的安全保障。FISMA所提供的框架經(jīng)過(guò)了大量的驗(yàn)證來(lái)滿足云基礎(chǔ)設(shè)施要求。
作為客戶,還必須要接受審查和云提供商的安全評(píng)估及控制,必須提供一個(gè)全面的安全計(jì)劃,這一計(jì)劃將被用于減少用戶的操作過(guò)程。而這種審查制度可有效減少50%的云事故。
合作與責(zé)任
在業(yè)務(wù)置于云端后,云服務(wù)提供商與用戶的關(guān)系絕不僅僅是商業(yè)合作,而且還會(huì)是重要的安全合作伙伴。安全是雙方共同的責(zé)任。云提供商還需要負(fù)責(zé)基礎(chǔ)設(shè)施的程序管理,負(fù)責(zé)操作系統(tǒng)和應(yīng)用程序運(yùn)行,虛擬機(jī)管理等。
IaaS重要,卻不是全部
而客戶則需要控制云端訪問(wèn)情況,比如一些應(yīng)用程序數(shù)據(jù)、身份驗(yàn)證、授權(quán)等都屬于用戶的責(zé)任范圍。用戶需要增加數(shù)據(jù)的加密級(jí)別,并且盡量注意數(shù)據(jù)在傳輸和接受過(guò)程的安全情況。需要用正確的方式保障訪問(wèn)安全,以免無(wú)意中造成巨大的損失。
在IaaS云環(huán)境方面的安全是一個(gè)十分復(fù)雜的問(wèn)題,提供固定的基礎(chǔ)設(shè)施也并非容易的事情。用戶需要花費(fèi)更多的世界和精力來(lái)專注于安全和環(huán)境問(wèn)題。
云安全重要,需更多合作
IaaS提供商可以提供硬件基礎(chǔ)設(shè)施和軟件方面的虛擬機(jī)技術(shù),而PaaS和SaaS方面則需要更多的服務(wù)提供商來(lái)進(jìn)行幫助,這會(huì)涉及到用戶的系統(tǒng)和數(shù)據(jù)安全。也意味著更多應(yīng)用層的安全控制需要用戶來(lái)做出努力。我們不可能指望IaaS提供商來(lái)解決PaaS和SaaS安全問(wèn)題。
總而言之,云安全不是一個(gè)簡(jiǎn)單可以做到的事情。如果僅僅指望云提供商來(lái)保護(hù)你的安全,那么安全就形同空談。
京公網(wǎng)安備 11010502049343號(hào)