目前,云计算受到产业界的极大推崇并推出了一系列基于云计算平台的服务。但在已经实现的云计算服务中,安全问题一直令人担忧。安全和隐私问题已经成为阻碍云计算普及和推广的主要因素之一。
在IDC的一次关于“您认为云计算模式的挑战和问题是什么”的调查中,安全以74.6%的比率位居榜首,可见安全问题是人们对云计算最大的担心。2011年1月21日,来自研究公司ITGI的消息称,考虑到自身数据的安全性,很多公司正在控制云计算方面的投资。在参与调查的21家公司的834名首席执行官中,有半数的官员称,出于安全方面的考虑,他们正在延缓云的部署,并且有三分之一的用户正在等待。
云计算数据中心做为云计算的核心平台,其安全性考虑更加重要。对比通常的数据中心,云计算带来哪些与众不同的风险点,需要我们特别关注呢?
一、云计算数据中心的特别风险点
由于云计算的“动态云”特性,云计算的主要风险点可归纳如下:
1、资源和数据外包
企业的资源和数据置于共享公共网络上,置于企业边界之外。云计算这种全新的服务模式将资源的所有权、管理权及使用权进行了分离,因此用户失去了对物理资源的直接控制,会面临与云服务商协作的一些安全问题。同时,越来越多的数据存于“云”中,就意味着有越多的数据被滥用的可能。如果只是不重要的数据,企业对于其关注度也没那么大;如果是机密数据,也就是属于企业隐私,这些资料被盗,对于企业的打击则非常大,这也是很多企业至今不敢尝试云计算的原因。
2、云计算服务商的可靠性
理想情况下,你的云计算服务商绝不会破产或被一家较大的公司收购和吞并。你必须确定数据在发生了此类事件后仍能继续使用。要询问可能的云计算服务商,怎么才能要回你的数据,数据格式是否可以让你能够导入到替代的应用之中。
3、多租户环境
数据在云中通常是处在一个和其他客户的数据共享的环境中。加密虽然是有效的,但并不是万能灵丹,因此要找出你的数据在休眠时是否做了隔离。云计算平台上集成了多个租户,多租户之间的信息资源如何进行安全隔离、服务专业化引发的多层转包导致的安全问题等。
4、动态的信任边界
企业的信任边界是动态的,企业无法确定信任边界的变动情况。客户在使用云计算时,可能无法确切地知道你的数据到底被托管在什么地方。事实上,你甚至可能不知道这些数据存放在了哪个国家,也可能遍布在不断变化的一组主机和数据中心中。
5、缺乏透明性
云计算服务商的安全控制和实施缺乏透明性,大多数云服务商在服务水平协议、提供商管理功能以及安全责任这些领域缺乏透明度。如云计算服务软件的漏洞对云计算用户并不是透明的,这就阻碍了用户对与漏洞相关的运行风险的管理。
6、云计算管理标准缺乏
云计算服务商必须遵守各种不同的IT流程控制和管理需求,包括外部需求和内部需求,可以通过联合的合规工作以处理所有这些需求,使用更加统一和有策略的方法,从而提高效率并满足合规性,同时实现不同云计算间的无缝互通。而目前各类云计算标准还很缺乏,使得企业改变云服务商变得非常困难。
二、云计算数据中心安全策略
云计算安全和传统IT安全两者有很多相同之处,它们最终的目标都是为了保护数据的完整性,保护的对象也都是计算资源、存储资源和网络资源。但由于云计算的不同特性,除传统的IT防护技术外,以下是针对云计算数据中心安全的应对考虑。
序号云计算风险点安全策略1资源和数据外包 1、必须要求云服务商提供有关雇用和监督特权管理员的具体资料,以及控制他们访问的办法。2、要求云服务商接受外部审计和安全认证。3、对浏览器安装补丁和升级以降低浏览器漏洞的威胁。2云计算服务商的可靠性 1、选择大品牌、实力雄厚的云服务商。2、选择具有高可用性指标的云服务商。3、选择采用通用云计算接口 API 的云服务商。3多租户环境 1、云服务商应保证数据资源所在的存储空间被释放或重新分配给其它云用户前得到完全清除。2、数据采用谓词加密或完全同态加密方案。4动态的信任边界 1、对需要相互通信的虚拟服务器之间的网络连接应通过VPN 的方式来进行。2、采用身份联合架构和流程。5缺乏透明性 1、要求云服务商在服务水平协议 SLA、提供商管理功能以及安全责任这些领域提供需要的信息。2、需要对云服务商提供的身份认证和访问控制加以额外关注和了解。3、云服务商在采用第三方应用、组件或 Web 服务的情况下,用户应对第三方应用提供商做风险评估。6云计算管理标准缺乏 1、政府机构的信息监管、隐私保护等相关制度的出台,将维护行业的健康持续发展。2、完善云计算各类通用标准和实践,加以行业推广。
三、小结
一个安全的信息系统不仅仅要考虑环境安全和技术安全,还要考虑管理安全;不仅仅能够提供静态的保护能力,包括防止和降低故障、损害,还需要具备主动防御的能力,能够及时发现攻击,并能够从破坏中恢复。对于云计算数据中心的安全保护,通过单一的手段是远远不够的,需要有一个完备的体系,涉及多个层面,需要从法律、技术、监管三个层面进行。目前云计算的安全问题是绝对存在的,但随着云计算技术的发展,实现对云计算更好的了解、更多的透明度以及更好的安全技术能力,云计算安全方面的顾虑与声音将会逐步消失。