数据的安全一直是IT领域的热门问题之一,各种数据泄密、偷窃已屡见不鲜。将数据托管于云服务更是使数据安全之战愈加激烈,Preetam Choudhary在Dzone上发表了一遍关于云计算遗留数据安全问题的文章;其中涉及法律的差异/不完善、公网的数据传输、数据完整性隐患、以及公有云特有的来自“邻居的影响”等等。
以下为译文:
云计算带来了便利与成本效益的同时,也带来了不得注意的安全隐患。云计算安全隐患一般出现在供应商端,而云供应商也在使用多样的安全措施来了解决这些安全问题。用户们通常会默认的去相信供应商会妥善的保护好数据的安全及隐秘,在不知不觉中放弃对数据安全的维护。基于对云安全的担心,有不少公司投入了私有云的怀抱;然而尽管这样,也不能肯定数据在防火墙的保护下就会达到绝对的安全。
隐私、数据安全和数据完整性
隐私问题从云架构出现就开始存在,并且一直未得到妥善解决。其中一个原因是每个国度针对服务器中数据请求的隐私有自己的规定,因为数据所有者可能和服务提供者不在同一国家。尽管云供应商有义务保护数据的绝对安全,然而在有些法律法规下不管用户是否准许,供应商还需要给予官员对数据的访问权。另一个令人烦恼的原因是:法律没有修订被保护所有类型数据的安全,可能只对私人的文本或者是电子邮件信息起到保护。不幸的是,数据安全还受到存储位置上的威胁。如果法律上数据可以访问,官员还会把手伸向同一个磁盘的其它用户数据造成附带损失。
云中的数据机密性
另一个有争议的问题是即使数据经过加密,云服务供应商也可能访问到数据,这样的数据可能被随意的访问和操作。
数据流安全
云环境下,数据一般都通过互联网进行流传输。如果数据通过安全的“https”渠道,那么它将会很安全。然而如果数据在公网下传输,数据包就有可能被窃取 ——尽管经过加密。此外,鉴于云中的数据会被频繁的访问,数据损坏和黑客截取的几率往往会增加。
IaaS、SaaS、PaaS,各有各的问题
云计算有3中服务模式:IaaS、PaaS、SaaS,每一个都存在尚未解决的缺陷。举个例子:SaaS网络化部署桌面应用程序环境下相同的软件,而开发者尚未编写阻塞漏洞和渗透防护的安全编码。
服务水平协议
云供应商有着自己的服务水平协议进行自己的运营方式,这些SLA可能并不能满足用户对于安全需求。
这里存在很多争论以及未解决问题,比如:共享物理、逻辑资源以及审计和评估相关。一旦因为共享相同磁盘资源的用户因为法律诉讼被封锁时,这里没有任何机制来保障数据。当用户终止服务时,服务供应商是否又拥有机制来保证数据完整。当然永恒不变的问题就是服务供应商是否能一直存活。只要用服务供应商倒闭,用户就必然担心其数据的安全。
当然存在许多问题被一定程度上或者完全的解决,随着云服务的扩张,也必然会诞生新的问题;然而当下用户必须要对购入的云服务进行详细的审查,在使用中更要步步为营。
原文链接: Some Unresolved Security Issues in Cloud Computing