云計(jì)算已經(jīng)進(jìn)入落地階段, 發(fā)展大家更是有目共睹�����,很多企業(yè)開(kāi)始考慮或是已經(jīng)擁抱云計(jì)算。云計(jì)算給中小企業(yè)帶來(lái)的福利也是多之又多����,節(jié)省開(kāi)支,創(chuàng)造新的資源等等��。這些都是云計(jì)算的功勞�,只是在這些優(yōu)點(diǎn)之中,大部分的人還是在擔(dān)心它存在的缺點(diǎn)���,其中最受關(guān)注的就是安全問(wèn)題�。對(duì)云計(jì)算中的威脅與風(fēng)險(xiǎn)進(jìn)行分析�����,有助于認(rèn)清云計(jì)算的利弊�,充分利用云計(jì)算的優(yōu)勢(shì),同時(shí)采取合適的措施避免損失����。
安全威脅
根據(jù)IDC的調(diào)查,安全問(wèn)題一直是云計(jì)算中最受關(guān)注的方面����。國(guó)內(nèi)的報(bào)告也有類似的結(jié)論��,調(diào)查的受訪對(duì)象都有技術(shù)安全性方面的擔(dān)憂���,恰恰是這種擔(dān)憂阻礙其遷移到云計(jì)算平臺(tái)��。
事實(shí)上�,有些云服務(wù)提供商會(huì)對(duì)用戶的數(shù)據(jù)進(jìn)行加密,同時(shí)還會(huì)將用戶的數(shù)據(jù)進(jìn)行備份�,一段時(shí)間后才會(huì)摧毀這些數(shù)據(jù),所以企業(yè)在走入云端之前務(wù)必做好這方面的風(fēng)險(xiǎn)預(yù)估以及應(yīng)急方案�。
因此,要讓企業(yè)和組織大規(guī)模應(yīng)用云計(jì)算技術(shù)與平臺(tái)�,放心地將自己的數(shù)據(jù)交付于云服務(wù)提供商管理,就必須全面地分析�����,并著手解決云計(jì)算所面臨的安全問(wèn)題�����。
云計(jì)算管理著企業(yè)的關(guān)鍵數(shù)據(jù)���,企業(yè)和個(gè)人是不是會(huì)更容易成為黑客的攻擊對(duì)象呢?這也許不是一個(gè)常見(jiàn)的問(wèn)題��,但不是沒(méi)有發(fā)生的可能���,鑒于云計(jì)算數(shù)據(jù)安全的問(wèn)題����,如醫(yī)療�、金融等數(shù)據(jù)敏感型企業(yè)都不被建議應(yīng)用云技術(shù)。
數(shù)據(jù)威脅
數(shù)據(jù)問(wèn)題對(duì)每位CIO來(lái)說(shuō)都是頭等大事�。因?yàn)樾孤稁?lái)的最大噩夢(mèng)就是自己公司敏感的內(nèi)部數(shù)據(jù)落入了競(jìng)爭(zhēng)者之手,這也讓高管們寢食難安�����,云計(jì)算則為這一問(wèn)題增加了新的挑戰(zhàn)���。
數(shù)據(jù)丟失對(duì)于消費(fèi)者和企業(yè)雙方而言�����,數(shù)據(jù)丟失都是非常嚴(yán)重的問(wèn)題��。而存儲(chǔ)在云中的數(shù)據(jù)則可能因?yàn)槠渌脑蚨斐蓙G失�����。云服務(wù)供應(yīng)商的一次刪除誤操作�����,或者火災(zāi)等自然因素導(dǎo)致的物理性損害�����,都可能導(dǎo)致用戶數(shù)據(jù)丟失��,除非供應(yīng)商做了非常到位的備份工作����。
但數(shù)據(jù)丟失的責(zé)任并非總是只在供應(yīng)商一方����,比如如果用戶在上傳數(shù)據(jù)之前加密不妥當(dāng),然后自己又弄丟了密鑰�,那么也可能造成數(shù)據(jù)丟失。
內(nèi)部操作問(wèn)題
不論是在企業(yè)內(nèi)部還是云計(jì)算服務(wù)提供商內(nèi)部���,人員的惡意操作都是非常危險(xiǎn)的��,同樣后果也非常嚴(yán)重�����。云服務(wù)提供商肯定不會(huì)透露其雇員在物理服務(wù)器和虛擬化方面的水平�,更不會(huì)告訴你他的分析和報(bào)告政策。
惡意的內(nèi)部人員在安全行業(yè)���,來(lái)自內(nèi)部惡意人員造成的威脅已經(jīng)成為一個(gè)爭(zhēng)議話題���。對(duì)組織存在威脅的惡意內(nèi)部人員可能是那些有進(jìn)入企業(yè)組織網(wǎng)絡(luò)、系統(tǒng)��、數(shù)據(jù)庫(kù)權(quán)限的在任的或曾經(jīng)的員工�����,承包商�����,或者其他業(yè)務(wù)伙伴����,他們?yōu)E用權(quán)限,導(dǎo)致企業(yè)組織的系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性����、可用性受損。
這也就意味著只要有了一定級(jí)別的授權(quán)��,內(nèi)部人員就可以獲得機(jī)密數(shù)據(jù)并控制云服務(wù)�����,聽(tīng)著就恐怖對(duì)吧!其實(shí)����,用戶是可以獲得這些操作的信息��,只要在簽訂服務(wù)級(jí)別協(xié)議的時(shí)候提出來(lái)就可以了�����。
服務(wù)中斷及攻擊問(wèn)題
從這幾年的云計(jì)算服務(wù)經(jīng)驗(yàn)來(lái)看����,總是有一些常見(jiàn)的中斷故障發(fā)生,其中包括數(shù)據(jù)備份�、停機(jī)時(shí)間和數(shù)據(jù)中心脫機(jī)。慶幸的是這些云計(jì)算中斷故障是可以預(yù)見(jiàn)的。
解決停電故障的最好方法就是防止停電�����,畢竟沒(méi)有百分百可靠的服務(wù)器�。所以筆者建議企業(yè)選擇一個(gè)能夠提供眾多服務(wù)中斷解決方案的云計(jì)算服務(wù)提供商。
除了服務(wù)中斷問(wèn)題還有拒絕服務(wù)攻擊的問(wèn)題��。拒絕服務(wù)攻擊就是指攻擊者阻止正常用戶正常訪問(wèn)云服務(wù)的一種攻擊手段�。通常是迫使一些關(guān)鍵性云服務(wù)來(lái)消耗大量的系統(tǒng)資源,例如處理進(jìn)程�、內(nèi)存、硬盤(pán)空間����、網(wǎng)絡(luò)帶寬,導(dǎo)致云服務(wù)器反應(yīng)變得極為緩慢或者完全沒(méi)有響應(yīng)�。
拒絕服務(wù)攻擊DDoS引起過(guò)許多的麻煩,并一直被媒體所關(guān)注��,他們的攻擊可能并無(wú)實(shí)質(zhì)性目的���。非對(duì)稱應(yīng)用程序級(jí)別拒絕服務(wù)攻擊所瞄準(zhǔn)的就是Web服務(wù)器���、數(shù)據(jù)庫(kù)或其他云計(jì)算資源脆弱的這一點(diǎn)����,然后在應(yīng)用程序上運(yùn)行一小段惡意程序����,有時(shí)甚至不足100個(gè)字節(jié)。
還有一些出于搶占市場(chǎng)或其它目的的考慮����,某些云服務(wù)提供商對(duì)登記流程管理不嚴(yán)格,云服務(wù)較容易獲得�。不法分子能以低成本的利用云計(jì)算平臺(tái)發(fā)送大量垃圾郵件、制造或托管惡意代碼��、大規(guī)模的破解密碼���、DDOS攻擊��、制造及管理僵尸網(wǎng)絡(luò)等。
調(diào)查審計(jì)問(wèn)題
云計(jì)算中��,計(jì)算����、存儲(chǔ)�、帶寬服務(wù)可在全球范圍內(nèi)跨國(guó)獲取�,而用戶提供的賬戶信息可能是偽造的,加上不同國(guó)家和地區(qū)對(duì)違法行為的取證需求不盡相同�����,因此對(duì)基于云計(jì)算平臺(tái)的網(wǎng)絡(luò)犯罪行為很難進(jìn)行追查���。當(dāng)平臺(tái)中的資源來(lái)自多個(gè)�����、多層次的第三方供應(yīng)商時(shí)�����,溯源更為困難����。
另一方面�,云計(jì)算平臺(tái)存儲(chǔ)有多家客戶數(shù)據(jù),在調(diào)查取證過(guò)程中��,供應(yīng)商不一定配合����,如果配合�,將給其它客戶的業(yè)務(wù)帶來(lái)風(fēng)險(xiǎn)�����。例如��,谷歌多次向美國(guó)政府提交維基解密志愿者的郵箱數(shù)據(jù)�����,這意味著Gmail的用戶存在隱私被泄露的風(fēng)險(xiǎn)�。再者,在資質(zhì)審計(jì)的過(guò)程中��,服務(wù)商未必提供必要的信息����,使得第三方機(jī)構(gòu)不一定能對(duì)服務(wù)商進(jìn)行準(zhǔn)確的、客觀的評(píng)估�����。
審查不足降低成本��,運(yùn)營(yíng)效率��,安全提升�����,這些優(yōu)點(diǎn)讓人們對(duì)云計(jì)算趨之若鶩��,對(duì)于那些有資源有能力來(lái)合理利用云技術(shù)的企業(yè)來(lái)說(shuō)�,這確實(shí)是一個(gè)很實(shí)在的目標(biāo),但有很多企業(yè)實(shí)際上在一擁而上的大潮里�����,并未真正的明確的了解這一技術(shù)的全貌�。
如果對(duì)云服務(wù)供應(yīng)商環(huán)境、應(yīng)用程序��、運(yùn)營(yíng)責(zé)任如事故責(zé)任���、加密問(wèn)題�����、安全監(jiān)控等沒(méi)有充分的了解�����,企業(yè)組織如果貿(mào)然采用云計(jì)算�,就可能面臨著認(rèn)知不足的各種未知的風(fēng)險(xiǎn),這恐怕比眼下的風(fēng)險(xiǎn)要更加嚴(yán)重���。
其實(shí)綜上我們可以看出與傳統(tǒng)數(shù)據(jù)中心服務(wù)相比����,云計(jì)算具有諸多優(yōu)點(diǎn)��,如規(guī)?��;男б?�,能實(shí)現(xiàn)快速�����、智能的資源擴(kuò)展等����。但也要意識(shí)到文中分析的這幾類安全威脅與風(fēng)險(xiǎn),采取適當(dāng)?shù)拇胧?����,揚(yáng)長(zhǎng)避短���,讓更多的應(yīng)用受益于云計(jì)算服務(wù)。
來(lái)源::pconline 作者:Echo
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品���,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�����。
延伸閱讀
