引言:
“云計算”產生之初到今,對其安全問題的質疑就從未停止過,云計算是火起來了,但云安全問題也頗為頭疼。企業在關心自己的數據不會被肆意獲取、篡改外,最關心的還是自己的私有信息不會被有意或無意的泄漏。
當企業把數據交給云計算服務商后,具有數據優先訪問權的并不是企業自己,而是云計算服務商。如此一來,就不能排除企業數據被泄露的可能性。而除了云計算服務商之外,大量覬覦云端數據的黑客們他們不停的挖掘著服務商Web應用上的漏洞,以期望打開缺口,獲得有價值的數據。
雖然云計算可以讓企業用廉價的成本獲得以往無法想象的高計算能力、高可用性、隨需應變的動態資源分配特性、更快的市場響應服務,甚至更加綠色環保、節能減排等技術價值。但是在擁抱云計算的同時云計算面對的風險也是不容忽視,如果不能很好的解決安全問題,會不會成為過眼“浮云”呢?
云計算的七大安全隱患
在云計算下的三種類型的服務分別為IaaS,PaaS和SaaS,提供基礎設施云服務、平臺云服務和軟件云服務,在IaaS云環境下應用軟件是用戶自己來設計、PaaS云中是基于平臺來設計,而SaaS云中有直接可以使用的云軟件。但是不論是哪種形式的云服務數據都將保存在云中,根據全球知名市場分析公司Gartner發布的一份研究報告,數據存放在云中存在著七大安全風險:
1. 數據被未知的超級用戶訪問風險
使用云計算后,企業的數據存放在云中,再也不能像將數據存放在企業本地時可以通過物理控制、邏輯控制、人員控制對數據的訪問進行控制。存在云計算提供者的超級用戶有可能對企業的數據進行查看與修改的風險;
2. 合規性檢查風險
傳統合規性檢查時要求對企業內部的數據提供安全保障,云計算環境下數據被存放在企業外部,存在無法對數據安全性進行合規性檢查的風險;
3. 數據存儲位置未知風險
當使用云計算后,你將無法知道數據確切的存放位置,甚至不知道是被存放在了哪個國家。
4. 數據沒有被真正隔離的風險
在使用云計算提供的服務時,雖然可以通過SSL對數據進行加密,但是由于云計算同時為多個用戶提供服務,你的數據很有可能與其他云客戶的數據存放在一起。
5. 數據恢復風險
盡管云計算提供者承諾他們的數據是安全的、可靠的、不會丟失,但是這個承諾只有當真的發生時才能知道是否屬實,存在數據損失后無法恢復的風險。
6. 增加司法調查困難的風險
云計算同時為多個企業提供服務,同時記錄了多個企業使用云計算的情況,當某一個企業需要被調查時,這種多個企業使用云計算的日志被記錄在一起的情況增加了司法調查的難度。甚至有可能存在司法調查無法進行的風險。
7. 長期可用性保證的風險
企業用戶必須確認保存在云中的數據是長期可用的。當出現問題時,用戶可以在多長時間內把你關心的數據交還給你。
“全云審計”的誕生
“全云審計”的目標是對云計算本身的審計,即:實現對IaaS,PaaS和SaaS各個層面的審計,解決云計算用戶可信的問題。國都興業信息審計系統技術(北京)有限公司,是國內首家專業從事IT審計技術研究與產品開發的企業,國都興業針對云時代IT審計業務的需求及云計算產業的發展,于2009年提出了“企業云審計”解決方案,2010年在企業云審計解決方案的基礎上提出了“全云審計”的戰略。
“全云審計”可以有效控制數據在云里面臨的風險。
1. 數據被未知的超級用戶訪問風險?
“全云審計”獨立記錄了所有訪問數據的行為,自動生成的審計報告可以發現數據被訪問、使用的情況;
2. 合規性檢查風險?
“全云審計”以第三方獨立的形式對云計算進行全面的審計,可以降低合規性風險;
3. 數據存儲位置未知風險?
“全云審計”不僅記錄了用戶使用數據的情況,而且記錄了數據存儲的軌跡,可以提供數據存儲分析報告。
4. 數據沒有被真正隔離的風險?
“全云審計”全面監控云中數據存儲狀態,跟蹤數據動向,發現潛在的數據沖突風險。
5. 數據恢復風險?
“全云審計”對云中的數據可用性進行實時的監控,當發現可用性異常時可以在第一時間發送安全告警。同時“全云審計”記錄了重要數據的變化過程,當云中的數據出現問題時“全云審計”可以減少數據損失。
6. 增加司法調查困難的風險?
“全云審計”對云平臺中數據的訪問提供全面的記錄與審計,通過“全云審計”平臺為司法調查提供便利。
7. 長期可用性保證的風險?
“全云審計”記錄了云計算提供方平臺自身的情況,可以清晰的了解到平臺為提供數據長期可用性所做的工作,降低可用性風險。
“全云審計”戰略需要國家和政府大力引導與支持,“全云審計”不僅為云服務提供商提供信息審計的支持,同時為云服務的用戶提供第三方的審計報告,通過這份報告可了解用戶在云中數據的安全情況。“全云審計”能夠實現對云計算服務的全面審計,降低云數據的風險,使云服務提供商省心,讓云服務使用者放心。
京公網安備 11010502049343號