在國(guó)家戰(zhàn)略層面,如果由國(guó)外的SaaS應(yīng)用軟件開發(fā)商和服務(wù)商完全壟斷一個(gè)國(guó)家內(nèi)部應(yīng)用軟件的開發(fā)和運(yùn)行����,這個(gè)國(guó)家將失去應(yīng)用軟件市場(chǎng)���,其中包括巨大的市場(chǎng)利益和對(duì)應(yīng)用軟件的控制和治理���。因此,SaaS模式將影響這個(gè)國(guó)家的經(jīng)濟(jì)安全��。這對(duì)IT處于劣勢(shì)的國(guó)家是一個(gè)嚴(yán)重的挑戰(zhàn)��。
云計(jì)算三大亟解難題
在走向市場(chǎng)化的過程中���,云計(jì)算在安全性��、性能和可用性方面呈現(xiàn)出了一些問題��。這些問題的解決���,要依靠更加先進(jìn)的技術(shù)手段和對(duì)云計(jì)算的更深層次研究來解決���。這些問題的解決過程中,云計(jì)算的市場(chǎng)地位將逐步得到確定��。
云計(jì)算的安全問題
《適合于新時(shí)代的新安全模式》認(rèn)為云計(jì)算安全改變了一切�����。云計(jì)算的可擴(kuò)展性依賴于共享以前從來沒有共享過資源����,迫切要求一套新的最優(yōu)安全方法。
云安全聯(lián)盟CSA對(duì)于組織部署云計(jì)算資源提出了一些需要關(guān)注的關(guān)鍵IT操作領(lǐng)域:治理和企業(yè)風(fēng)險(xiǎn)評(píng)估���,法律和合同問題�����,電子發(fā)現(xiàn)的程序����,合規(guī)性和審計(jì),信息生命周期管理�����,可攜帶和互操作性����,業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù),數(shù)據(jù)中心運(yùn)營(yíng)�����,事件響應(yīng)����、通知和補(bǔ)救��,應(yīng)用安全�����,加密和密鑰管理,身份和訪問管理�����,存儲(chǔ)器操作�,虛擬操作。
在傳統(tǒng)的數(shù)據(jù)中心內(nèi)�,圍繞需要保護(hù)的基礎(chǔ)設(shè)施和數(shù)據(jù)構(gòu)建穩(wěn)定的邊界,在適當(dāng)?shù)奈恢每梢园仓霉芾沓绦蚝涂刂?���。由于組織能夠控制其服務(wù)器的位置并且利用全部物理硬件,這種部署比較容易管理�����。然而���,在云中�,由于應(yīng)用動(dòng)態(tài)地遷移并且組織與第三者共享同一個(gè)遠(yuǎn)程安置的物理硬件����,邊界變得模糊并且減弱了對(duì)安全的控制。
云不使用專用虛擬網(wǎng)VPN技術(shù)���。這意味著匿名攻擊可以像任何系統(tǒng)的合法用戶或管理人員那樣訪問連接點(diǎn)����。在傳統(tǒng)的計(jì)算環(huán)境中,只有少數(shù)服務(wù)器可接入互聯(lián)網(wǎng)���。在云計(jì)算環(huán)境中���,大多數(shù)服務(wù)器可接入互聯(lián)網(wǎng),這顯然擴(kuò)大了攻擊面���。在云中�,多租賃意味著多個(gè)不同的個(gè)別終端用戶群體共享相同的服務(wù)和/或資源。這些共享的環(huán)境在一個(gè)用戶的資源堆內(nèi)具有特殊的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)隱現(xiàn)于共享該云的群體將會(huì)有意或無意地訪問彼此的私有數(shù)據(jù)��。特別是在基于IaaS的云中,安全研究者發(fā)現(xiàn)了在舊系統(tǒng)中不存在的全新漏洞��。由于云消費(fèi)者的數(shù)據(jù)存放在公共的存儲(chǔ)器硬件中�����,松懈的管理或惡意攻擊可能危及其安全�����。在云中���,由于應(yīng)用的邊界是動(dòng)態(tài)變化的���,隨著應(yīng)用在云中的隨機(jī)遷移,安全方案也必須是動(dòng)態(tài)和虛擬的��,即實(shí)現(xiàn)按需安全�。
沒有位置特異性有利于云服務(wù)的廣泛可用性。然而無論用戶或云供應(yīng)商或者兩者都不可能直接確認(rèn)在特定云中計(jì)算資源的詳細(xì)位置��。在安全防衛(wèi)者甚至不知道數(shù)據(jù)在什么地方的時(shí)候����,設(shè)想他們?nèi)绾伪Wo(hù)數(shù)據(jù)?云供應(yīng)商能夠如何識(shí)別用戶的數(shù)據(jù)為了法律和其它目的?如果用戶退出云方案,云供應(yīng)商如何安全地抹去用戶的數(shù)據(jù)?云計(jì)算的公營(yíng)性質(zhì)嚴(yán)重地影響到數(shù)據(jù)的隱私和機(jī)密性��。云數(shù)據(jù)通常存儲(chǔ)于純文本中�,并且?guī)缀鯖]有公司完全了解其數(shù)據(jù)存儲(chǔ)所擁有的敏感級(jí)別。數(shù)據(jù)損失和泄漏是云中最嚴(yán)重的安全問題之一�����。
在存儲(chǔ)和傳送數(shù)據(jù)的時(shí)候,應(yīng)當(dāng)始終加密數(shù)據(jù)��,在存儲(chǔ)的時(shí)候使用單獨(dú)的對(duì)稱密鑰����。對(duì)用戶密鑰特有的保護(hù)將需要云供應(yīng)商的一些合作。與專用硬件不同���,在下列情況下將內(nèi)存緩沖區(qū)清零不可能刪除密鑰:①內(nèi)存被一個(gè)系統(tǒng)管理程序加固而使其持久地保存�。②為了恢復(fù)的需要�����,虛擬機(jī)已經(jīng)被快照獲取�。③虛擬機(jī)在連續(xù)地遷移到不同的硬件上。如何在云內(nèi)安全地使用密鑰是一個(gè)尚未解決的問題����。
在決定如何鑒定大量的不同用戶的時(shí)候,互聯(lián)網(wǎng)的可接入性和多租賃形成挑戰(zhàn)����。因?yàn)槌R?guī)的鑒定服務(wù)趨向使用共享的公共資源,資源縮放和多租賃使鑒定過程變得復(fù)雜�。例如��,在ActiveDirectory中,Everyone團(tuán)體的成員能夠看見和列出所有種類資源的清單�����。
第一代云要求所有終端用戶在其數(shù)據(jù)庫(kù)中具有單獨(dú)的賬號(hào)�,必須分別登錄到每個(gè)他們所具有賬號(hào)的網(wǎng)站上。很明顯�,要求終端用戶為他們將來要使用的每個(gè)Web服務(wù)注冊(cè)和管理個(gè)別的登錄賬號(hào)是不切實(shí)際的。任何優(yōu)良身份元系統(tǒng)的主要原則是用戶應(yīng)該只必須出示服務(wù)和事務(wù)處理所必需暴露最少的身份信息��。關(guān)于廣泛身份鑒定方案的工作仍然在進(jìn)行之中���。
在《內(nèi)部威脅的真實(shí)程度》一書中�,對(duì)3000名英國(guó)工人的調(diào)查結(jié)果顯示�����,37%的人曾經(jīng)與朋友和家庭共享特權(quán)的公司信息���。即使58%的個(gè)人計(jì)算機(jī)與其他人共享或者至少能夠被別人訪問�����,21%的便攜/桌面計(jì)算機(jī)擁有者曾經(jīng)將公司的數(shù)據(jù)轉(zhuǎn)移到其個(gè)人計(jì)算機(jī)中�,14%的人承認(rèn)將工作信息轉(zhuǎn)移到個(gè)人的智能手機(jī)中。82%的回答者認(rèn)為內(nèi)部威脅等于或者比由外部攻擊者對(duì)組織構(gòu)成的威脅更大�。內(nèi)部安全可能是內(nèi)部人員有意或無意而造成的,也可能是內(nèi)外部勾結(jié)而進(jìn)行的惡意攻擊或竊取信息����。但是,迄今為止���,涉及云計(jì)算安全的文獻(xiàn)中很少討論云的內(nèi)部安全問題���。《防御內(nèi)部威脅�����,降低IT風(fēng)險(xiǎn)》討論了云計(jì)算�����、虛擬化和內(nèi)部威脅�。云計(jì)算中,內(nèi)部人員不再僅僅是在防火墻之內(nèi)的職工,并且也包括為組織提供云服務(wù)的服務(wù)供應(yīng)商內(nèi)部成員�,這增加了內(nèi)部威脅的復(fù)雜性。內(nèi)部威脅明顯地涉及到虛擬化�,在關(guān)鍵服務(wù)器被虛擬化的時(shí)候,需要嚴(yán)格控制以限制特權(quán)用戶控制那些虛擬服務(wù)器的權(quán)利���。
來源:企業(yè)網(wǎng)D1net
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章���,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�。
延伸閱讀
