在云觀念下實施的現代技術,正在以矯健并極具增長空間的態勢來滿足各種企業業務的發展。但云計算在被人們接受的過程中,會受到來自安全的考驗。最為常見的SaaS、PaaS、IaaS云服務,也成為了在相對安全的標準模式下的云服務類型。
但在云計算環境中,是不存在一套標準的云規范來約束各方。在本文,將會為大家介紹圍繞云安全的七大類型問題。
1、網絡安全
網絡安全包括云基礎架構下的網絡通信和配置。為了解決云服務中的相關網絡安全問題,需要在現有的內部網絡中采用相關的隱藏處理和部署流程,讓本地的網絡安全政策延伸到遠程的網絡平臺:
通信安全:VPN(Virtual Private Network)機制需要確保分布式架構云安全,避免來自竊聽、調用工具、中間人等多種攻擊手段造成的威脅。隨著海量資源的分享和大規模虛機的部署、同步,會使得分布式架構面臨不斷增長的安全風險。
防火墻:服務提供商的云基礎設施,可以通過創建防火墻來抵御內外部的安全威脅,防火墻應該具備:
·隔離虛機
·端口地址的過濾
·預付DoS攻擊
·檢測外部安全
安全配置:協議、系統和技術的使用應該要合理配置,以滿足安全和隱私的必須要求。
2、接口
使用云服務需要有一個云接口。這種接口負責用戶、管理員、編程接口等一系列訪問通道的連接。
API:編程接口(尤其對于IaaS和PaaS云服務來說)必須抵御惡意軟件的侵襲,以確保虛擬化資源的有效共享。
管理接口:在IaaS模式中它遠程控制這各種資源,控制PaaS環境下的代碼、部署和測試。另外,它還控制SaaS的用戶訪問和應用配置。
用戶接口:為了確保環境安全,用戶接口還扮演了終端用戶接口的角色。
授權:訪問云服務通常需要經過某種形式的授權。這些授權機制要考慮到安全規則,以及在虛擬化環境中冗余遭受攻擊的漏洞風險等情形。
3、數據安全
保護數據安全是最基本的要求。數據必須加密處理,而且只能面向授權用戶群開放。
加密:加密是最為常見的實現數據安全的方法。幾乎每個組織機構都會使用,而且這種使用也有很長的歷史淵源。
冗余:這種方法可以確保數據丟失帶來的風險。目前,也有很多商業機構采用這種方法應用到IT服務中,而且它們也往往很依賴這種方式。
清理:清理數據常作為一種刪除的方式來實現。完全毀壞的數據包括登陸日志、秘密備份注冊,在云技術中的這些內容都應該徹底清理。
4、虛擬化
這里的虛擬化包括開發云環境中的各種虛擬化技術。虛擬化往往會和虛機管理聯系起來,而且也容易暴露虛機管理上的漏洞。
隔離:因此云環境下無論硬件還是軟件資源,都是在虛機之間共享的,因此容易帶來數據泄露和跨VM攻擊。盡管每個虛機都是相互隔離的,但仍會面臨不少安全威脅,因為每個資源都是共享內存、 架構平臺的。
Hypervisor漏洞:虛機的主要構成就是Hypervisor,也就是虛機管理平臺VMM。Hypervisor安全漏洞十分普遍。
數據泄露:如果說在虛擬架構隔離控制解決方案中有什么缺點的話,那就應該是數據泄露了。
VM診斷:為了安全問題,有必要對每個使用的虛機都進行診斷,以確定其工作的流程和狀態。
跨VM攻擊:任何一個虛機暴露在外被攻擊,都會引來一連串的影響,讓其他相關的虛機也遭受劫持。
5、控制
在云計算環境下,容易失去管理員和安全方面管控的問題都應該分類、控制。
數據控制:數據冗余、文件系統和其他相關配置的信息,將從所有者手中游離到云端。
安全控制:如果有對服務提供商任何不滿意的SLA服務水平協議,可能會出現安全機制和正常不在自己控制范圍內的情況發生。失去控制的情形應該限定在客戶端,并對其進行單獨測試。
鎖定:由于標準化良好的建立會帶來服務商短板的出現,也就是依賴單個平臺出現的鎖定。
6、規范
規范是一個有關服務可訪問和功能配備要求的總括,它應該包括以下內容:
SLA:也就是服務水平協議,需要有一套機制來確保最基本的安全需要,服務的可用性也應該在SLA 中有所涉及。
審計:顧客、提供商和第三方成員要能遵守安全和服務指派,以實現透明化、公開化。比如公開的 API就可以幫助解決這些問題并自動涉及和扮演相關角色。
服務確認:基于SLA滿足客戶基本合約的完整服務,應該要得到確認。
7、法律問題
該問題涉及到仲裁和法律相關議題。比如數據所處的位置、證據鏈、服務商的資質等。
京公網安備 11010502049343號