云计算安全威胁集中营

云计算是一种新的计算方式,它依托于互联网,以网络技术、分布式计算为基础,实现按需自服务、快速弹性构建、服务可测量等特点的新一代计算方式。然而,任何以互联网为基础的应用都存在着一定危险性,云计算也不例外,安全问题从云计算诞生那天开始就一直受人关注。当所有的计算行为和数据存储都散布在聚散无形虚无缥缈的云中的时候,人们将会普遍感到失控的恐慌。还记得《手机》这部电影吗?手机给生活提供了极大便利,但也给人带来了无尽烦恼,将人与人之间的距离拉得太近了,毫无隐私可言,让人都喘不过气来。云计算可以说比手机还甚,云计算中的数据对于数据所有者以外的其它云计算用户是保密的,但是对于提供云计算的商业机构而言确是毫无秘密可言。当然,这还不是问题关键,人们收入和资金方面有隐私,但并不妨碍人们乐于将资金放到银行里管理,最为关键的还是云计算自身安全技术的问题。云计算作为一种新计算技术,要面临更多安全威胁。云安全联盟是中立的非盈利世界性行业组织,致力于国际云计算安全的全面发展,也是云计算安全领域的权威组织。云安全联盟在2016年的报告中提出十二大云安全威胁,本文依据此并结合实际应用,总结出云计算的安全威胁“集中营”。

安全域无边界

在对外提供云计算业务之前,数据中心都是独立机房,由边界防火墙隔离成内外两块。防火墙内部属于可信区域,自己独占,外部属于不可信区域,所有的攻击者都在这里。安全人员只需要对这一道隔离墙加高、加厚即可保障安全,也可以在这道墙之后建立更多防火墙形成纵深防御;在开始提供云计算业务之后,这种简洁的内外隔离安全方案已经行不通了,通过购买云服务器,攻击者已经深入提供商网络的腹地,穿越了边界防火墙。云计算内部的资源不再是由某个用户独享,而是几万、几十万甚至更多互相不认识的用户共有,当然也包含一些恶意用户,这些用户可以轻而易举进入云计算内部,窃取私密信息。传统划分安全域做隔离已经行不通了,哪里有云计算提供的服务,哪里就需要安全,安全防护要贯穿到整个云计算的所有环节,这无疑将提升云计算安全部署的成本,即便这样防御效果还不见比以前好。

虚拟化难捕捉

云计算时代,一台服务器上可以运行十台虚机,这些虚机还可能属于十个不同用户。攻击者虚拟机可直接运行在这台服务器的内存里面,仅仅是使用一个虚拟层隔离,一旦攻击者掌握了可以穿透虚拟层漏洞,就可以毫不费力完成入侵,常见的虚拟化层软件如XEN、KVM都能找到类似安全漏洞。一般服务器是一台标准Linux服务器,运行着标准的Linux操作系统以及各种标准的服务,被攻击者攻破的通道很多。为了实现虚拟机自动迁移,虚拟化技术被应用于云计算网络中,这种虚拟网络是一个大二层架构,甚至是跨越机房、跨越城市的大二层架构。在这样一个超大的二层虚拟网络中,ARP欺骗、以太网端口欺骗、ARP风暴、NBNS风暴等二层内部的攻击问题,危害性都远远超过了它们在传统网络中的影响。

数据泄露量大

在传统网络中也存在数据泄露威胁,但在云计算环境中数据泄露严重性更高。由于云服务器上保存了大量客户的隐私数据,在多租户环境下,一个客户应用存在漏洞可能就会导致其他客户数据的泄露。数据泄露不仅导致商业机密、知识产权和个人隐私的泄露,而且对企业而言可能产生毁灭性打击。云计算依托的基础就是海量数据,只有在超大型的数据中心才能充分发挥作用,而海量数据若发生泄露,造成的损失很大,尤其是各种数据混杂在一起,做不好数据防护,很容易被人所窃取。恶意黑客会使用病毒、木马或者直接攻击方法永久删除云端数据来危害云系统安全。

攻击频率急剧增大

正所谓“树大招风”,没有部署云计算时,承载信息服务的各个数据中心散列在各处,即便被攻击,受影响的面都不会太大。现在的数据中心建设规模都很大,因为只有规模上去,云计算的优势才能更加明显。所以现在拥有数十万台服务器的数据中心屡见不鲜,这就将很多数据集中在一起,再交由云计算处理。拥有海量数据的数据中心,目标太大,很容易成为别人的目标。还有云计算用户多样性而且规模巨大,这样遭受的攻击频率也是急剧增大。以阿里云为例,平均每天遭受数百起DDoS攻击,其中50%攻击流量超过5GBit/s。针对WEB的攻击以及密码破解攻击更是以亿计算。这种频度的攻击,给安全运维带来巨大的挑战。

除此之外,不安全的接口和界面、新的攻击方式、混乱的身份管理、高级持续性威胁、审查不充分、恶意SaaS应用、共享技术问题等等,都是云计算要面临的安全威胁。解决好云计算安全威胁问题,将会为云计算的发展打下坚实的基础,让更多的人乐于接受云计算,将自己的信息数据安心放到云计算应用中来。在这里将云计算的安全威胁比作了集中营,就是希望放到集中营中的安全威胁越来越少,最后集中营能够解散掉,彻底消除各种云计算安全威胁。云计算的建设者已经意识到解决安全问题的急迫性,已经提出了不少抵御安全威胁的解决方案,这些都有待实践来验证。这个过程一定还有很长的路要走,需要依赖技术、管理和产业等各行业的共同努力才能实现。 

本文作者:佚名

来源:51CTO

时间: 2024-08-03 11:04:29

云计算安全威胁集中营的相关文章

云计算是否威胁到硬件业

本文讲的是云计算是否威胁到硬件业,[IT168 资讯]虚拟化和云计算是目前存储.服务器和网络行业的关键的方面.许多企业正在提供虚拟化的环境或者鼓励人们采用云计算以便节省能源和硬件开支. 对于企业来说,这是很好的.你需要的硬件越少,成本就越低.无论是电源和冷却成本.配备人员管理设备和购买产品的最初支出都会减少. 但是,对于大型和小型的厂商来说,这还意味着购买硬件数量的减少. 总而言之,虚拟化和云计算等整合技术对于厂商来说是积极的一步,还是硬件制造行业的一个威胁? 硬件销售下降 分析公司定期发布的报

2011年云计算安全威胁大事记

2012年,人们对云计算的热度也开始降低,"云"开始从概念炒作的初级阶段转向落地和务实阶段.全球权威IT研究与顾问咨询公司Gartner发布的2012年技术趋势预测中,云计算从2011年的第1名降至如今的第10名.在过去一年中,全球只有3%的CIO将企业的IT系统应用在云计算上. 关注的下滑并不能说明云计算已经不再重要,而是人们开始更加理智地看待云计算.在ITValue社区针对CIO人群的一项调查中发现,有19%的企业已经在部署或应用云计算,28%的企业考虑近期部署云计算,53%的企业

云计算安全威胁与风险分析

云计算安全威胁与风险分析 姜政伟  刘宝旭 介绍了云计算的分类与发展,概述了云计算的安全现状,详细分析了云计算中的安全威胁与风险.文中指出了云计算特有的或影响更明显的 11 类风险,并针对每类风险,给出了其描述.安全影响.实例与对策等说明. 关键词  云计算:云服务:安全威胁:风险:对策 云计算安全威胁与风险分析

趋势科技7月推云安全3.0 应对云计算三大威胁

趋势科技中国研发中心经理钟宇轩,对媒体表示,IT行业在开始进入"云计算和虚拟化"后,正在面临来自"搜索引擎毒化,社交网络攻击,和管理系统漏洞"三方面的安全威胁. 钟宇轩介绍,搜索引擎毒化在2010年第一季度是亚洲地区最盛行的攻击手法.黑客利用大量社会热点新闻关键词,使点击相关网页的用户"中招"木马病毒.其中"玉树地震.云南干旱.世博开幕和房价调控"等时间都曾造成过大量僵尸网络. 钟宇轩表示,随着云计算和虚拟化的大量应用,很多企

云计算将威胁网民用户的隐私

中介交易 SEO诊断 淘宝客 云主机 技术大厅 [罗伊网讯]2008年初IBM宣布,将在中国无锡太湖新城科教产业园为中国的软件公司建立第一个云计算中心(Cloud Computing Center).该中心将为中国新兴软件公司提供接入一个虚拟计算环境的能力,从而鼎力支持其开发活动.建成之后,在该园区的公司将能够像他们使用的工具和其他共享服务一样在任何时候获取该中心提供的通用服务.提供的服务包括:运行在 IBM System X ,System P 和 BladeCenter 服务器上的 IBM

云计算面临九大安全威胁

云计算安全联盟(CSA)近期发布的报告总结了9种威胁云计算安全的"罪魁祸首".在这其中,数据泄露.数据丢失和数据劫持三类威胁排名靠前.498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="云计算面临九大安全威胁" src="http://s3.51cto.com/wyfs01/M00/0C/3B/wKioOVGmxI7RHaaS

谷歌或威胁亚马逊云计算主导地位

美国科技博客GigaOM周二撰文称,由于谷歌拥有规模庞大的基础设施和丰富的人才储备,因此该公司可能会在云计算市场威胁亚马逊的主导地位.不过,产品组合不够丰富,以及企业市场吸引力不足,仍有可能成为制约谷歌云计算战略发展的重要因素. 以下为文章全文: 潜力巨大 亚马逊网络服务(以下简称"AWS")是目前为止规模最大.经验最丰富的公共云提供商.承认这一点之后,接下来的问题是:哪家云计算公司将与AWS争抢这块蛋糕?现在看来,谷歌的可能性越来越大--至少在计算能力方面,谷歌计算引擎(以下简称&q

云计算出现独角兽,国内互联网的技术拼图会更强吗

贵为BAT的版图外"重量级诸侯"的小米,自不必说,460亿美元的估值在榜单中也是一骑红尘:美团点评.滴滴快的.爱奇艺.蜜芽宝贝.酒仙网.百度外卖,这些雄踞公认的在线出行.电商.互联网金融.O2O等风口的企业,占据了榜单的大部分. 这个独角兽不太一样--"插班"的学霸 就评选标准而言,倒也着实遵从着独角兽企业的几个显著标准:成长时间短(成立时间不超过十年).尚未上市.公司估值超过10亿美元. 自2013年独角兽的概念被提出后,每次的独角兽榜单都会引来不少关注,其大多经

云计算蓬勃发展 CIO坦言对云安全无信心

本文讲的是云计算蓬勃发展 CIO坦言对云安全无信心,关注的下滑并不能说明云计算已经不再重要,而是人们开始更加理智地看待云计算.在ITValue社区针对CIO人群的一项调查中发现,有19%的企业已经在部署或应用云计算,28%的企业考虑近期部署云计算,53%的企业目前尚无部署云计算的时间表. 为什么仍有诸多CIO在云计算面前无动于衷?一位不愿透露姓名的CIO谈了他的观点,现有系统迁移到云计算上,其迁移成本.实施周期.技术成熟度和安全性,都是必须解决的问题.同时,他还担心花费大量预算和精力部署的云计算