本文针对云计算的风险类型采用经典的“CIA三性”,即机密性、完整性和可用性来进行界定,并针对性地提出相关的防御、检测、阻止措施。本部分介绍可用性。
“A”:可用性(Availability)风险
当考虑到需要可靠地使用低风险和低故障发生率的服务时,这些风险与服务可靠性自身的脆弱性和威胁紧密相关。
1) 服务拒绝
拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击是试图使得计算机资源对它的目标用户不可用。它常常涉及到使用多种通信请求来使目标机器达到饱和,以至于它不能响应合法的通信请求,或者响应得非常缓慢而被有效地释放,从而不能对用户可用。云服务特别容易受到测定体积的DDoS攻击,其中大量的主机涌入云网络和服务器,它们携带有超出自身处理能力的更多数据,使自己陷入停顿状态。针对云服务的基于应用的DDoS攻击对于这个云基础设施中的特定应用(如Web服务器或数据库) 也非常有效。此外,分布式反射拒绝服务(DRDoS)攻击,在导致受害者系统重新发送用于填塞网络的数据包方面更“有效”,它们在云环境中工作得更好。尤其是在单次攻击中想要比攻击个别组织或计算机占取更多基础设施的攻击者,会针对云提供商,特别是当这些提供商很出名,能给攻击者带来“荣耀”或者正遭受黑客或黑客团体的报复时。
防御:选择对网络攻击具有坚实防护的服务提供商。在云计算基础设施(主要是互联网接入点)的网络边界实现防火墙和网络过滤,以防御利用网络黑名单的攻击和敌对网络。此外,使用冗余的供应商,因为对一个供应商环境的攻击可能不会影响另一个。
检测:在24×7的基础上选择一个执行和监控入侵检测的服务提供商,并签署该功能相关的所有适当的附加服务。
阻止:与服务提供商的法律部门协作,以确保攻击者被发现和起诉。
剩余风险:由于大多数DoS攻击来自其他国家,它们很难被检测和追踪,所以对于通过了环境防御设施的攻击,我们的应对措施很少。
2) 中断
任何意外中断或者计算机系统或网络的不可达。
防御:对任何服务中断的主要防御是冗余的。确保环境可以自动在中断时切换到不同的供应商。此外,采用坚实的故障恢复方案来为扩大的中断做准备。
检测:应用监控工具,以持续监控云环境的可用性和响应时间。
阻止:中断的代价很高昂。计算中断成本,并确保与服务供应商的合同中,指出了可以补偿所产生的实际成本,而不仅仅是服务本身成本的报酬。
剩余风险:由于中断发生通常是因为软件问题,我们用来防御的措施也很少。
3) 不稳定和应用程序故障
由于软件或固件问题(bugs)造成的功能损失或者计算机或网络的缺陷。程序的冻结,锁定,或崩溃造成的反应迟钝。
防御:确保供应商能频繁为它的基础设施进行所有的软件更新。这对所有客户拥有的虚拟系统也同样适用。
检测:实现业务监控,以检测并提醒一个应用程序何时不能正确响应。
阻止:用法律语言清楚地设定服务提供商会保持一个稳定环境的期望。
剩余风险:应用程序和基础设施的不稳定性通常是由于软件问题,所以我们的防御措施也很少。
4) 缓慢
计算机或网络的不可接受的响应时间。
防御:使用冗余的提供商和互联网连接来建立架构,使应用程序的访问能自动切换到最快的环境。另外,还要确保服务提供商已经实现了能自动扩充资源的高容量服务。
检测:持续检测基础应用的响应时间,并确保警报有带外的路径来支持工作人员,使得响应问题不会阻止警报传递。
阻止:与那些能为你不可接受的响应时间提供处罚赔偿的服务提供商建立合同语言。
剩余风险:延迟或慢响应可以被看作是中断的一种形式,照此,它由软件和容量问题造成的中断也会最大限度得持续存在。
5) 高可用性集群失效
我们发现,应该进行故障转移的设备实际上并没有在本应该的时机接管。
防御:监控在一个高可用性集群中的二级系统和所有系统的健壮性。
检测:定期进行故障转移测试。
阻止:从服务提供商的角度来看,他们对于保证客户系统在期望时进行切换,可以做的准备很少。
剩余风险:有时一个主设备会减慢到对所有实际用途都不做反应,但并不是因为软件才正式的“减慢”,所以后备系统不会接管。
6) 备份失效
我们发现,你正在依靠的这些数据备份实际上并没有什么作用。
防御:利用提供商弹性来避免传统离线备份(磁带或光盘)的使用。
检测:经常进行恢复测试,以验证数据的恢复能力。
阻止:在与服务商的合同中建立数据——丢失条款,他们将对意外的数据丢失负责。
剩余风险:备份失效,但多个恢复路径可以消除大部分的风险。备份数据的做法已经出现很久,因此它是最可靠的安全措施之一。只要数据被恰当地备份,它就可以一直存在,所以在这种情况下的大部分剩余风险都是由不合格的数据复制行为或者对此事件的关注不够造成的。