1.云端問題
云安全聯(lián)盟與惠普公司共同列出了云計算的七大問題�����,主要是基于對29家企業(yè)����、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論:
1)數(shù)...
1.云端問題
云安全聯(lián)盟與惠普公司共同列出了云計算的七大問題,主要是基于對29家企業(yè)����、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論:
1)數(shù)據(jù)丟失/泄漏。云計算中對數(shù)據(jù)的安全控制力度并不是十分理想��,API訪問權(quán)限控制以及密鑰生成����、存儲和管理方面的不足都可能造成數(shù)據(jù)泄露,并且還可能缺乏必要的數(shù)據(jù)銷毀政策�。
2)共享技術(shù)漏洞。在云計算中����,簡單的錯誤配置都可能造成嚴(yán)重影響����,因為云計算環(huán)境中的很多虛擬服務(wù)器共享著相同的配置,所以必須為網(wǎng)絡(luò)和服務(wù)器配置執(zhí)行服務(wù)等級協(xié)議(Service-Level Ag.’eement���,SLA)以確保及時安裝修復(fù)程序以及實施最佳做法�����。
3)內(nèi)奸�����。云計算服務(wù)供應(yīng)商對工作人員的背景調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問權(quán)限的控制力度有所不同�����,很多供應(yīng)商在這方面做得還不錯����,但并不夠,企業(yè)需要對供應(yīng)商進(jìn)行評估并提出如何篩選員工的方案��。
4)賬戶�����、服務(wù)和通信劫持����。很多數(shù)據(jù)�、應(yīng)用程序和資源都集中在云計算中�����,而云計算的身份驗證機(jī)制如果很薄弱�,那么入侵者就可以輕松獲取用戶賬號并登錄客戶的虛擬機(jī),因此建議主動監(jiān)控這種威脅�,并采用雙因素身份驗證機(jī)制。
5)不安全的應(yīng)用程序接口����。在開發(fā)應(yīng)用程序方面,企業(yè)必須將云計算看作新的平臺�����,而不是外包����。在應(yīng)用程序的生命周期中,必須部署嚴(yán)格的審核過程 開發(fā)者可以運用某些準(zhǔn)則來處理身份驗證��、訪問權(quán)限控制和加密����。
6)沒有正確運用云計算。在運用技術(shù)方面����,黑客通常能夠迅速部署新的攻擊技術(shù)在云計算中自由穿行。
7)未知的風(fēng)險�。透明度問題一直困擾著云服務(wù)供應(yīng)商,賬戶用戶僅使用前端界面��,他們不知道供應(yīng)商使用的是哪種平臺或者修復(fù)水平��。
2.客戶端問題
客戶云安全有網(wǎng)絡(luò)方面的擔(dān)憂�����。有一些反病毒軟件在脫離互聯(lián)網(wǎng)之后���,性能大大下降���。而實際應(yīng)用中也不乏這樣的情況。由于病毒破壞��、網(wǎng)絡(luò)環(huán)境等因素���,在網(wǎng)絡(luò)上一旦出現(xiàn)問題����,云技術(shù)就反而成了累贅。
針對客戶端問題�,解決的方式是采用混合云技術(shù),即將公有云與私有云相結(jié)合�����,既發(fā)揮了公有云用戶量大的優(yōu)勢���,又保留了本地的數(shù)據(jù)能力����,結(jié)合了傳統(tǒng)技術(shù)與新技術(shù)的優(yōu)點��,可解決不少應(yīng)用問題�。
3.企業(yè)云安全解決方案
(1)內(nèi)部私有云,奠定云計算基礎(chǔ)
提升云安全的第一個方法了解自己�����。企業(yè)需要對現(xiàn)有的內(nèi)部私有云環(huán)境�����,以及企業(yè)為此云環(huán)境所構(gòu)建的安全系統(tǒng)和程序有深刻的理解����,并從中汲取經(jīng)驗。在過去數(shù)十年中�,大中型企業(yè)都在設(shè)置云環(huán)境,雖然他們將其稱之為“共享服務(wù)”而不是“云”���。這些“共享服務(wù)”包括驗證服務(wù)�����、配置服務(wù)��、數(shù)據(jù)庫服務(wù)�����、企業(yè)數(shù)據(jù)中心等����,這些服務(wù)一般都以相對標(biāo)準(zhǔn)化的硬件和操作系統(tǒng)平臺為基礎(chǔ)�。
(2)風(fēng)險評估����,商業(yè)安全的重要保障
提升云安全的第二種方法—一對各種需要IT支持的業(yè)務(wù)流程進(jìn)行風(fēng)險性和重要性的評估���。企業(yè)可能很容易計算出采用云環(huán)境所節(jié)約的成本�,但是“風(fēng)險/收益比”同樣不可忽視�����,必須首先了解這個比例關(guān)系中的風(fēng)險因素���。云服務(wù)供應(yīng)商無法為企業(yè)完成風(fēng)險分析��,因為這完全取決于業(yè)務(wù)流程所在的商業(yè)環(huán)境�。對于成本較高的服務(wù)等級協(xié)議( SLA)應(yīng)用�����,云計算無疑是首選方案��。作為風(fēng)險評估的一部分��,企業(yè)還應(yīng)考慮到潛在的監(jiān)管影響���,因為監(jiān)管機(jī)構(gòu)禁止某些數(shù)據(jù)和服務(wù)出現(xiàn)在企業(yè)�、州或國家之外的地區(qū)。
(3)不同云模型�,精準(zhǔn)支持不同業(yè)務(wù)
提升云安全的第三種方法 企業(yè)應(yīng)了解不同的云模式(公共云、私有云與混合云)以及不同的云類堃( SaaS�,PaaS���,IaaS)��,因為它們之間的區(qū)別將對安全控制和安全責(zé)任產(chǎn)生直接影響���。根據(jù)自身組織環(huán)境以及業(yè)務(wù)風(fēng)險狀況(見第(2)條的分析),所有企業(yè)都應(yīng)具備針對云的相應(yīng)觀點或策略�����。
(4) SOA體系結(jié)構(gòu)�,云環(huán)境的早期體驗
提升云安全的第四個方法——將面向服務(wù)的架構(gòu)( Service Oriented Architecture,SOA)設(shè)計和安全原則應(yīng)用十2:(樸蛻��。多數(shù)企業(yè)在幾年前就已將SOA原則運用于應(yīng)用開發(fā)流程�����。其實,云環(huán)境就是SOA的大規(guī)模擴(kuò)展����。面向服務(wù)的架構(gòu)的下一個邏輯發(fā)展階段就是云環(huán)境。企業(yè)可將SOA高度分散的安全執(zhí)行原則與集中式安全政策管理和決策制訂相結(jié)合���,并直接運用于云環(huán)境�。在將重心由SOA轉(zhuǎn)向云環(huán)境時���,企業(yè)無須重新制訂這些安全策略�����,只需將原有策略轉(zhuǎn)移到云環(huán)境即可����。
(5)雙重角色轉(zhuǎn)換����,填補(bǔ)云計算生態(tài)鏈
提升云安全的第五個方法 從云服務(wù)供應(yīng)商的角度考慮問題。多數(shù)企業(yè)剛開始都會把自己看作云服務(wù)用戶��,但是不要忘記,企業(yè)組織也是生態(tài)鏈的組成部分��,也需要向客戶和合作伙伴提供服務(wù)����。如果能夠?qū)崿F(xiàn)風(fēng)險與收益的平衡,從而實現(xiàn)云服務(wù)的利益最大化�,那么企業(yè)也可以遵循這種思路,適應(yīng)自己在這個生態(tài)鏈中的云服務(wù)供應(yīng)商的角色�。這樣做也能夠幫助企業(yè)更好地了解云服務(wù)供應(yīng)商的工作流程。
(6)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)�����,設(shè)置自身“防火墻”
提升云安全的第六個方法Ljil悉企業(yè)自身�����,并啟用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��。長期以來��,網(wǎng)絡(luò)安全產(chǎn)業(yè)一直致力于實現(xiàn)跨域系統(tǒng)的安全和高效管理����,已經(jīng)制定了多項行之有效的安全標(biāo)準(zhǔn),并已將其用于或即將用于保障云服務(wù)的安全��。為了在云環(huán)境世界里高效工作�,企業(yè)必須采用這些標(biāo)準(zhǔn),它們包括安全斷言標(biāo)記語言( Security Assertion Markup Language����,S/UML),服務(wù)配置標(biāo)記語言(Service Provisioning Markup Language���,SPlvIL)�����,可擴(kuò)展訪問控制標(biāo)記語言(Extensible Access Control Markup Language�����, XACML)和網(wǎng)絡(luò)服務(wù)安全(WS-Security)��。
