在國家戰(zhàn)略層面�,如果由國外的SaaS應用軟件開發(fā)商和服務商完全壟斷一個國家內(nèi)部應用軟件的開發(fā)和運行�,這個國家將失去應用軟件市場,其中包括巨大的市場利益和對應用軟件的控制和治理�����。因此,SaaS模式將影響這個國家的經(jīng)濟安全�����。這對IT處于劣勢的國家是一個嚴重的挑戰(zhàn)�。
云計算三大亟解難題
在走向市場化的過程中,云計算在安全性��、性能和可用性方面呈現(xiàn)出了一些問題���。這些問題的解決���,要依靠更加先進的技術(shù)手段和對云計算的更深層次研究來解決。這些問題的解決過程中��,云計算的市場地位將逐步得到確定��。
云計算的安全問題
《適合于新時代的新安全模式》認為云計算安全改變了一切����。云計算的可擴展性依賴于共享以前從來沒有共享過資源,迫切要求一套新的最優(yōu)安全方法���。
云安全聯(lián)盟CSA對于組織部署云計算資源提出了一些需要關(guān)注的關(guān)鍵IT操作領(lǐng)域:治理和企業(yè)風險評估�����,法律和合同問題����,電子發(fā)現(xiàn)的程序,合規(guī)性和審計���,信息生命周期管理����,可攜帶和互操作性����,業(yè)務連續(xù)性和災難恢復,數(shù)據(jù)中心運營�����,事件響應��、通知和補救����,應用安全,加密和密鑰管理�����,身份和訪問管理�,存儲器操作,虛擬操作�����。
在傳統(tǒng)的數(shù)據(jù)中心內(nèi)����,圍繞需要保護的基礎設施和數(shù)據(jù)構(gòu)建穩(wěn)定的邊界,在適當?shù)奈恢每梢园仓霉芾沓绦蚝涂刂?��。由于組織能夠控制其服務器的位置并且利用全部物理硬件���,這種部署比較容易管理。然而���,在云中�����,由于應用動態(tài)地遷移并且組織與第三者共享同一個遠程安置的物理硬件�,邊界變得模糊并且減弱了對安全的控制。
云不使用專用虛擬網(wǎng)VPN技術(shù)����。這意味著匿名攻擊可以像任何系統(tǒng)的合法用戶或管理人員那樣訪問連接點。在傳統(tǒng)的計算環(huán)境中�����,只有少數(shù)服務器可接入互聯(lián)網(wǎng)���。在云計算環(huán)境中��,大多數(shù)服務器可接入互聯(lián)網(wǎng)��,這顯然擴大了攻擊面�。在云中�����,多租賃意味著多個不同的個別終端用戶群體共享相同的服務和/或資源���。這些共享的環(huán)境在一個用戶的資源堆內(nèi)具有特殊的風險�����。風險隱現(xiàn)于共享該云的群體將會有意或無意地訪問彼此的私有數(shù)據(jù)���。特別是在基于IaaS的云中,安全研究者發(fā)現(xiàn)了在舊系統(tǒng)中不存在的全新漏洞���。由于云消費者的數(shù)據(jù)存放在公共的存儲器硬件中��,松懈的管理或惡意攻擊可能危及其安全�。在云中�����,由于應用的邊界是動態(tài)變化的���,隨著應用在云中的隨機遷移�����,安全方案也必須是動態(tài)和虛擬的����,即實現(xiàn)按需安全。
沒有位置特異性有利于云服務的廣泛可用性�。然而無論用戶或云供應商或者兩者都不可能直接確認在特定云中計算資源的詳細位置。在安全防衛(wèi)者甚至不知道數(shù)據(jù)在什么地方的時候�����,設想他們?nèi)绾伪Wo數(shù)據(jù)?云供應商能夠如何識別用戶的數(shù)據(jù)為了法律和其它目的?如果用戶退出云方案��,云供應商如何安全地抹去用戶的數(shù)據(jù)?云計算的公營性質(zhì)嚴重地影響到數(shù)據(jù)的隱私和機密性�。云數(shù)據(jù)通常存儲于純文本中,并且?guī)缀鯖]有公司完全了解其數(shù)據(jù)存儲所擁有的敏感級別�。數(shù)據(jù)損失和泄漏是云中最嚴重的安全問題之一。
在存儲和傳送數(shù)據(jù)的時候�,應當始終加密數(shù)據(jù),在存儲的時候使用單獨的對稱密鑰�����。對用戶密鑰特有的保護將需要云供應商的一些合作�。與專用硬件不同,在下列情況下將內(nèi)存緩沖區(qū)清零不可能刪除密鑰:①內(nèi)存被一個系統(tǒng)管理程序加固而使其持久地保存����。②為了恢復的需要,虛擬機已經(jīng)被快照獲取。③虛擬機在連續(xù)地遷移到不同的硬件上���。如何在云內(nèi)安全地使用密鑰是一個尚未解決的問題。
在決定如何鑒定大量的不同用戶的時候����,互聯(lián)網(wǎng)的可接入性和多租賃形成挑戰(zhàn)。因為常規(guī)的鑒定服務趨向使用共享的公共資源����,資源縮放和多租賃使鑒定過程變得復雜。例如����,在ActiveDirectory中,Everyone團體的成員能夠看見和列出所有種類資源的清單�����。
第一代云要求所有終端用戶在其數(shù)據(jù)庫中具有單獨的賬號����,必須分別登錄到每個他們所具有賬號的網(wǎng)站上。很明顯�,要求終端用戶為他們將來要使用的每個Web服務注冊和管理個別的登錄賬號是不切實際的。任何優(yōu)良身份元系統(tǒng)的主要原則是用戶應該只必須出示服務和事務處理所必需暴露最少的身份信息。關(guān)于廣泛身份鑒定方案的工作仍然在進行之中��。
在《內(nèi)部威脅的真實程度》一書中����,對3000名英國工人的調(diào)查結(jié)果顯示,37%的人曾經(jīng)與朋友和家庭共享特權(quán)的公司信息����。即使58%的個人計算機與其他人共享或者至少能夠被別人訪問,21%的便攜/桌面計算機擁有者曾經(jīng)將公司的數(shù)據(jù)轉(zhuǎn)移到其個人計算機中����,14%的人承認將工作信息轉(zhuǎn)移到個人的智能手機中。82%的回答者認為內(nèi)部威脅等于或者比由外部攻擊者對組織構(gòu)成的威脅更大�����。內(nèi)部安全可能是內(nèi)部人員有意或無意而造成的���,也可能是內(nèi)外部勾結(jié)而進行的惡意攻擊或竊取信息����。但是�,迄今為止�,涉及云計算安全的文獻中很少討論云的內(nèi)部安全問題�。《防御內(nèi)部威脅�,降低IT風險》討論了云計算、虛擬化和內(nèi)部威脅�����。云計算中��,內(nèi)部人員不再僅僅是在防火墻之內(nèi)的職工�,并且也包括為組織提供云服務的服務供應商內(nèi)部成員�,這增加了內(nèi)部威脅的復雜性。內(nèi)部威脅明顯地涉及到虛擬化����,在關(guān)鍵服務器被虛擬化的時候,需要嚴格控制以限制特權(quán)用戶控制那些虛擬服務器的權(quán)利����。
來源:企業(yè)網(wǎng)D1net
版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力�。凡轉(zhuǎn)載文章�����,不代表本網(wǎng)觀點和立場����。版權(quán)事宜請聯(lián)系:010-65363056����。
延伸閱讀
