針對云計算的風險類型采用經典的“CIA三性”,即機密性、完整性和可用性來進行界定,并針對性地提出相關的防御、檢測、阻止措施。本部分介紹可用性。
“A”:可用性(Availability)風險
當考慮到需要可靠地使用低風險和低故障發生率的服務時,這些風險與服務可靠性自身的脆弱性和威脅緊密相關。
1) 服務拒絕
拒絕服務(DoS)或分布式拒絕服務(DDoS)攻擊是試圖使得計算機資源對它的目標用戶不可用。它常常涉及到使用多種通信請求來使目標機器達到飽和,以至于它不能響應合法的通信請求,或者響應得非常緩慢而被有效地釋放,從而不能對用戶可用。云服務特別容易受到測定體積的DDoS攻擊,其中大量的主機涌入云網絡和服務器,它們攜帶有超出自身處理能力的更多數據,使自己陷入停頓狀態。針對云服務的基于應用的DDoS攻擊對于這個云基礎設施中的特定應用(如Web服務器或數據庫) 也非常有效。此外,分布式反射拒絕服務(DRDoS)攻擊,在導致受害者系統重新發送用于填塞網絡的數據包方面更“有效”,它們在云環境中工作得更好。尤其是在單次攻擊中想要比攻擊個別組織或計算機占取更多基礎設施的攻擊者,會針對云提供商,特別是當這些提供商很出名,能給攻擊者帶來“榮耀”或者正遭受黑客或黑客團體的報復時。
防御:選擇對網絡攻擊具有堅實防護的服務提供商。在云計算基礎設施(主要是互聯網接入點)的網絡邊界實現防火墻和網絡過濾,以防御利用網絡黑名單的攻擊和敵對網絡。此外,使用冗余的供應商,因為對一個供應商環境的攻擊可能不會影響另一個。
檢測:在24×7的基礎上選擇一個執行和監控入侵檢測的服務提供商,并簽署該功能相關的所有適當的附加服務。
阻止:與服務提供商的法律部門協作,以確保攻擊者被發現和起訴。
剩余風險:由于大多數DoS攻擊來自其他國家,它們很難被檢測和追蹤,所以對于通過了環境防御設施的攻擊,我們的應對措施很少。
2) 中斷
任何意外中斷或者計算機系統或網絡的不可達。
防御:對任何服務中斷的主要防御是冗余的。確保環境可以自動在中斷時切換到不同的供應商。此外,采用堅實的故障恢復方案來為擴大的中斷做準備。
檢測:應用監控工具,以持續監控云環境的可用性和響應時間。
阻止:中斷的代價很高昂。計算中斷成本,并確保與服務供應商的合同中,指出了可以補償所產生的實際成本,而不僅僅是服務本身成本的報酬。
剩余風險:由于中斷發生通常是因為軟件問題,我們用來防御的措施也很少。
3) 不穩定和應用程序故障
由于軟件或固件問題(bugs)造成的功能損失或者計算機或網絡的缺陷。程序的凍結,鎖定,或崩潰造成的反應遲鈍。
防御:確保供應商能頻繁為它的基礎設施進行所有的軟件更新。這對所有客戶擁有的虛擬系統也同樣適用。
檢測:實現業務監控,以檢測并提醒一個應用程序何時不能正確響應。
阻止:用法律語言清楚地設定服務提供商會保持一個穩定環境的期望。
剩余風險:應用程序和基礎設施的不穩定性通常是由于軟件問題,所以我們的防御措施也很少。
4) 緩慢
計算機或網絡的不可接受的響應時間。
防御:使用冗余的提供商和互聯網連接來建立架構,使應用程序的訪問能自動切換到最快的環境。另外,還要確保服務提供商已經實現了能自動擴充資源的高容量服務。
檢測:持續檢測基礎應用的響應時間,并確保警報有帶外的路徑來支持工作人員,使得響應問題不會阻止警報傳遞。
阻止:與那些能為你不可接受的響應時間提供處罰賠償的服務提供商建立合同語言。
剩余風險:延遲或慢響應可以被看作是中斷的一種形式,照此,它由軟件和容量問題造成的中斷也會最大限度得持續存在。
5) 高可用性集群失效
我們發現,應該進行故障轉移的設備實際上并沒有在本應該的時機接管。
防御:監控在一個高可用性集群中的二級系統和所有系統的健壯性。
檢測:定期進行故障轉移測試。
阻止:從服務提供商的角度來看,他們對于保證客戶系統在期望時進行切換,可以做的準備很少。
剩余風險:有時一個主設備會減慢到對所有實際用途都不做反應,但并不是因為軟件才正式的“減慢”,所以后備系統不會接管。
6) 備份失效
我們發現,你正在依靠的這些數據備份實際上并沒有什么作用。
防御:利用提供商彈性來避免傳統離線備份(磁帶或光盤)的使用。
檢測:經常進行恢復測試,以驗證數據的恢復能力。
阻止:在與服務商的合同中建立數據——丟失條款,他們將對意外的數據丟失負責。
剩余風險:備份失效,但多個恢復路徑可以消除大部分的風險。備份數據的做法已經出現很久,因此它是最可靠的安全措施之一。只要數據被恰當地備份,它就可以一直存在,所以在這種情況下的大部分剩余風險都是由不合格的數據復制行為或者對此事件的關注不夠造成的。
京公網安備 11010502049343號