云计算及其安全问题研究
2 云计算现状
目前,Google、Amazon、微软、IBM等ICT巨头都在积极推动云计算的研究和部署,比较成熟的云计算业务和应用包括Google的App Engi ne,Amazon的弹性计算云EC2和简单存储服务S3,微软的Azure云平台,IBM的“蓝云”等。
虽然云服务提供商可以提供用户所需服务,但安全风险在云计算环境中显得十分重要。2008和2009两年IDC发布的调查报告显示,云计算服务面临的三个重大挑战分别是服务的安全性、稳定性和性能表现。2009年11月,Forrester Research的调查结果显示,51%的中小型企业尚未使用云服务的最主要原因是安全性和隐私问题。
由此可见,客户选择云计算时的首要考虑因素是安全性。云计算由于用户、信息资源的高度集中,其所带来的安全事件后果与风险也较传统应用高出很多。2009年,Google、Microsoft、Amazon等公司的云计算服务均出现了重大故障,导致成千上万客户的信息服务受到影响,进一步加剧了业界对云计算服务安全的担忧。
3 云计算的安全风险与对策
通过对云计算的分析,本节基于云计算的实际,针对云计算中存在的安全威胁提出相应解决对策。
3.1 虚拟化级别攻击
云计算是基于虚拟化技术的。云可通过如VMWarevSphere、Microsoft Virtual PC、Xen等管理程序来实施。这种威胁的产生是因为开发者往往忽略了管理程序中的编码漏洞。
通过IDS(入侵检测系统)/IPS(入侵防御系统),并通过实施防火墙监测,都可以减轻由虚拟化级别的漏洞而造成的安全威胁。
3.2 云计算的滥用和恶意使用
云计算的滥用和恶意使用等威胁的引起是由于云计算环境中存在相对较弱的登记制度。云计算的注册过程是,拥有有效信用卡的任何人都可以注册,并使用该服务。这种情况会增大不愿透露姓名的垃圾邮件制造者、恶意代码作者和罪犯来攻击系统的机会。减轻这种类型威胁的方法如下:
(1)实施严格的首次注册和验证过程;
(2)信用卡欺诈的监测和协调;
(3)对用户的网络流量进行详细反省;
(4)通过网络监督公共黑名单。
3.3 内部人员恶意操作
当缺乏对云服务供应商程序和流程的了解时,恶意内部人员的风险将加大。企业应该关注供应商的信息安全和管理政策,强制使用严格的供应链管理以及加强与供应商的紧密合作。同时,还应在法律合同中对工作要求有明确的指示,以规范云计算运营商处理用户数据等这些隐蔽的过程。
3.4 管理接口妥协
云服务提供商的客户管理界面是通过互联网进行访问的。在云计算服务中,较大的资源访问大多采用传统的托管,云计算通过这些管理接口提供远程用户访问。如果网页浏览器存在漏洞,就有可能构成严重的安全威胁。
为了减轻远程访问产生的威胁,安全协议应该用来提供访问。此外,提供远程访问之前,还应对网页浏览器漏洞实施补丁管理。
3.5 数据丢失或泄漏
数据丢失或泄漏会对企业造成不利影响。品牌或声誉失去,客户的信任受到削弱。数据丢失或泄漏可能是由于认证、授权和审计控制不足,加密和软件密钥的使用不一致,数据中心的可靠性和灾难性恢复。
通过加密保护传输数据的完整性,可在设计和运行时分析数据保护,实施强有力的密钥生成、存储和管理,以减轻由数据丢失或泄漏所产生的安全威胁。用户可利用合同要求数据被释放到资源池并提供备份和保留策略。
3.6 账户或服务劫持
钓鱼、挟持和欺诈是闻名于世的IT问题。云计算又增加了一个新的威胁层面,“如果攻击者获得访问您的权限,便可以窃听您的活动和交易,操纵数据,返回虚假信息并将您的账户定向到非法网站,而您的账户可能成为一个新攻击者。”
为减轻上述威胁,应尽可能使用用户和服务器之间的账户证书共享,未经授权的活动不应被允许,应采用多因素认证技术、严格的监控检测和安全政策,并应清楚地了解SLA的云供应商。
3.7 不安全的接口和APIS
用户一般会使用一套软件的接口或APIS与云服务进行交互。云服务的资源调配、管理、业务流程和监测一般都使用这些接口。如果接口和APIS相对薄弱,如可重复使用的令牌或密码、明文身份验证或传输内容、不灵活的访问控制或不适当的授权及有限的监视和记录功能,都可能会受到各种安全威胁,如匿名访问。
为了减轻上述威胁,云服务要求提供商对接口的安全模型进行分析。故应实施强有力的身份验证和访问控制来对传输的内容进行加密,同时应清楚地了解与API相关的依赖关系链。
3.8 未知的风险
对用户所使用的安全配置应当有所了解,无论是软件的版本、代码更新、安全做法、漏洞简介、入侵企图,还是安全设计。要查清楚谁在共享用户的基础设施,尽快获取网络入侵日志和重定向企图中的相关信息。
4 结语
随着云计算技术的快速发展和更广泛的应用,云计算将会面临更多的安全风险。为了保证企业应用程序、数据的完整性和安全性,必须建立一道坚固防线。这道防线包括防火墙、入侵检测、完整性监控、日志检查和恶意软件防护等。企业和服务提供商应积极地保护云基础设施来保证安全,以便企业利用云计算的优势领先其竞争对手。虽然有几个标准组织在研究云计算的安全问题,但是,目前业界对云计算安全的解决并没有统一的标准和解决方法。为了应对不断出现的安全威胁,需要不断探索新的云安全解决方案,并逐渐建立行之有效的云安全防护体系,在最大程度上降低云计算系统的安全威胁,提高云服务的连续性,保障云计算应用的健康、可持续发展。本文引用地址://m.amcfsurvey.com/article/202014.htm
评论