在云計算環境中,虛擬化的分類很多,其中隨著虛擬主機的高速增長,虛擬機的安全級別混雜和大規模虛擬機間的DDoS攻擊,將成為云端虛擬化過程成最大的威脅。同時,云端虛擬化還面臨著諸如利用虛擬化技術來隱藏病毒、特洛伊木馬及其他各種惡意軟件等安全問題。
1、云計算環境下虛擬機安全
這些安全問題的應對策略可從幾個角度考慮:
(1)定義以虛擬主機的安全策略;
(2)使用在虛擬基礎設施中運行的虛擬安全網關
(3)加強對非法及惡意的虛擬機流量監視。
2、云計算環境下存儲的安全
數據存儲在哪里?誰可以訪問?數據安全嗎?這些都是重大問題,因為沒有幾家云服務提供商在處理敏感數據方面被證明一向可靠。如果數據保存在共享存儲系統上,要料到可能面臨風險。其實,即使我們放在自己公司內部的數據也面臨風險。云存儲的實質是共享存儲和虛擬存儲。在共享存儲中面臨最大的風險是數據丟失/泄漏,在虛擬存儲環境中面臨最大的風險是存取權限、數據備份和銷毀。云存儲還面臨著服務供應商的“沒有責任”。我們可以從數據隔離、數據加密、第三方實名認證、靈活轉移、安全清除、完整備份、時限恢復、行為審計、外圍防護等方面綜合考慮解決云存儲安全問題。
3、云計算環境下的數據安全
很多用戶最關心的是其存儲在云端的用戶數據及隱私的安全性問題,比如在云計算的環境下有可能存在在云計算環境下信息資源在存儲和傳輸過程中被非法下載或惡意篡改的情況。這意味著云端安全的核心是用戶數據安全。數據安全的核心技術是密碼技術和密鑰管理技術。為了保證“云”中的信息資源在存儲和傳輸過程中不被非法下載或惡意篡改,應加快信息安全基礎設施建設,推進其核心內容公鑰基礎設施PKI的應用。
PKI(PublicKeyinfrastructure)是提供公鑰加密和數字簽名服務的系統或平臺,由公開密鑰密碼技術、數字證書、證書發放機構(CA)和關于公開密鑰的安全策略等基本成分共同組成。PKI的建設和應用,可以使云環境下的用戶可以在各種網絡應用中方便地使用加密和數字簽名技術,從而保證了數據的安全,為用戶營造起一個安全的網絡運行環境。
4、云計算環境下的用戶權限及訪問控制管理
在云計算環境下,不同用戶的訪問權限控制也是很關鍵的問題。用戶權限即合法用戶可以進行的具體操作。用戶登錄到云環境下的應用之后,可進行瀏覽、檢索、下載、創建、更新(修改和刪除)等操作。但不是每個用戶都可以進行所有的操作,不同的用戶將具有不用的權限。
在云計算環境下,應用數據的創建、更新及整合等事宜,仍將由指定部門負責,比如每年進行的大量用戶數據的更新,用戶數據的維護等。這樣就要求云計算環境能夠對普通用戶、管理用戶和云計算服務商進行合理的權限劃分與管理以保障數據安全。
訪問控制的目的是保證各用戶信息資源不被非法訪問和使用。云計算環境對于黑客極具吸引力,因為云本身不但集中存儲了各種資源,對于惡意軟件的隱藏也提供了便利的條件。再加上云環境的高度復雜性,不可避免地會給黑客留下一些機會——他們可以通過尋找云環境內的安全漏洞,來竊取用戶資料或破壞所存儲的信息包括圖書館的各種數據,因此必須采取有效訪問控制策略予以防范。
5、云計算環境下的安全審計標準
許多企業的信息安全團隊平時經常監測安全漏洞郵件列表、給系統打補丁、改寫代碼以解決缺陷。在云中,盡管云服務用戶并不控制實際的打補丁和漏洞監測 工作,但我們仍有責任管理自己的風險。所以我們要評估哪些資產需要保護、如何防護這些資產,包括在云基礎架構上添加安全措施。云服務客戶必須要求保證自己 可監測誰在訪問自己的數據。比如要求提供詳細的審計跟蹤記錄,應當采用數據加密,或者只把所處理數據不是特別敏感的應用程序交給云服務提供商。
6、云計算環境下的網絡取證問題
目前法律界已經開始意識到信息安全管理服務是電子信息是否能被接受作為證據的關鍵因素。當然這是傳統IT架構的問題,對其特別關注的原因是法律界對于云沒有相關的經驗。
如何針對云計算環境的網絡取證呢?在電子證據發現方面,用戶和云提供商必須對對方的角色和責任有共同的認識,包括訴訟保留、發現搜索、專家證詞提供 方等。建議云提供商提供真實可靠的數據,以保證他們的信息安全系統可以響應客戶的要求,比如類似元數據和日志文件的主要信息。云服務提供商保存的數據需要 接受與在數據所有者處保存時同樣級別的監管。提前計劃好相關意料內和意料外關系終止后的合同協商事宜,并有序地恢復或處置資產的安全。云服務用戶的責任包 括合同前盡職調查、合同期限的談判、合同執行后的監測、合同終止、以及數據保管變更等。
7、對云端安全產品及解決方案要求
云端安全產品與非云端安全產品(即當前未應用于云端的主流安全產品)在功能、性能、架構上存在的差異比較大:
第一、云端安全產品應防護效果比較綜合,我們知道現在的安全產品種類有很多,如:Firewall、VPN、IPS、IDS、AVG(防病毒網 關)、Anti-Spam(反垃圾郵件)、上網行為管理等等,他們有一個共同特點就是防護功能比較單一。發展到云端安全產品時,其防護功能比較綜合,如: 對一個惡意網站訪問的阻斷,背后可能就阻斷了病毒、木馬、釣魚、肉雞、不健康信息等的威脅;
第二、云端安全產品縮短了防護時間。一般來說,從一個病毒出現到被識別、分析、加入病毒特征碼庫到最終傳送給用戶計算機,通常要花費24小時到72小時的時間,云計算要求防護時間差縮短到秒級;
第三、云端安全產品具備低負荷的特點,其通過云端威脅比對預防威脅,有效減輕網關端的負荷,同時減少病毒代碼對帶寬、服務器和終端的資源占用,空出更多的網關資源做虛擬化。
隨著云時代的到來,網絡邊界逐漸淡化,傳統安全防護網關面臨最大的挑戰是部署在那里。大家知道云計算就是輕量化客戶端,將計算任務交付云端處理,因此我們的安全策略將向兩極制定。
目前已出現了像云火墻、基于信譽服務的云安全3.0、云安全計劃、木馬云查殺、主動云防御等云安全解決方案。
8、云計算環境下獲得安全的云服務
像普通應用一樣,云應用本質上也是由各種應用程序和協議組成的應用系統,只是在服務模式和運營模式上存在差異性。云應用的主要安全隱患體現在不安全 的應用程序接口和沒有正確運用上。那么如何才能獲得安全的云服務?第一,由于許多云計算部署中缺少對基礎設施的物理控制,因此與傳統的企業擁有基礎設施相 比,服務水平協議(SLA)、合同需求及提供商文檔化在風險管理中會扮演更重要的角色;第二,如果提供商不能演示證明其云服務的全面有效的風險管理流程, 用戶應詳細評估該供應商,以及是否可以使用用戶自身的能力來補償潛在的風險管理差距。
云計算安全是一個新興的領域,通過上述這些重點領域安全的討論分析,可能會降低云計算安全威脅程度。但是,隨著云計算技術的快速發展和更廣泛的應用,將會有更多的安全風險。因此云計算安全之路還有很長,但不管怎么說遵循已有的最佳安全實踐還是可以加強云計算安全。
京公網安備 11010502049343號