企业云计算应用及安全问题的研究+文献综述(9)
3、平台构建漏洞,可用性、完整性差
任何平台都存在漏洞的风险,有些平台极端环境下可用性、完成性的工作能力不够,比如在大量网络连接下,Web服务器的承受能力等。在对外提供API的平台应用中,编程环境的漏洞、堆栈溢出的漏洞、高权限非法获取的漏洞都会存在。云计算的安全问题还必须考虑比网络安全更为复杂的问题。
4、拒绝服务攻击
拒绝服务对网站的攻击发生时,攻击者试图使Web服务器或服务器对访问者来说变成不可用服务的网站。由于云平台的大规模与高性能,评价云计算平台的一个重要指标是当其一旦遭受DDoS攻击,是否有能力提供应对的技术手段,使正常的应用不受影响。 拒绝服务攻击DoS和DDoS虽不是云服务所特有的。但是,在云服务的技术环境中,单位中的关键核心数据、服务如果离开了内部网,迁移到了云服务中心。更多的应用和集成业务开始依靠互联网。拒绝服务带来的后果和破坏将会明显地超过传统的网络环境。因此服务和数据的随时可用性本身不仅是一项非常重要的安全指标,而且其质量的保证在一个存在恶意攻击的环境里会造成其复杂度大大增加。如何防止破坏正常应用的DDoS攻击是一个很大的挑战。
5、身份管理
在等级保护中,主客体认证、强制访问控制—直是讨论的焦点,在云环境中如果不切实际解决这两个问题,云的广泛应用是不现实的。原先为了安全放在防火墙内的数据,现在放在了外部云计算环境中,如何在多项服务中应用角色,策略的管理、多个身份有效管理、身份鉴定均面临着很大的安全挑战。对员工、客户、参与者和工作负载的身份鉴定、授权和审计是云计算安全性的未来方向。
(二) 云计算安全问题解决方法与策略取向
虽然云计算让企业看到了它众多的优点,但云安全问题也是绝大多数中小企业对其望而却步的主要原因,只有建立完整的安全策略,才能使云计算的作用得到充分发挥。
1、 建设以虚拟化为技术支撑的安全防护体系
目前,虚拟化已经成为云计算服务商提供“按需服务”的关键技术手段,包括基础网络架构、存储资源、计算机资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔 离实现不同用户之间的数据安全。安全无论是作为基础的网络架构,还是基于安全即服务的理念,都需要支持虚拟化,这样才能实现端到端的虚拟化计算。
2、建立以数据为中心的安全系统
云中的数据通常驻留在共享环境中,数据的所有者必须对谁有权使用数据和他们可以用它来做什么有全面的控制。为了使这些数据在云中可控,一个标准的基于异构数据为中心的安全方法是至关重要的,它将在从系统和应用上保证数据的安全。 重视加密方法和使用策略规则。当有用户要访问数据,系统应该检查其策略规则,并只有在满足后才给予访问权限。在隐私保护和外包数据计算方面要深入研究,数据来源问题要在文字阶段解决。在某些情况下,有关特定硬件、组件的信息,必须相关联地存放为一个数据块。
3、 以集中的安全服务中心应对无边界的安全防护
和传统的安全建设模型强调边界防护不同,存储计算等资源的高度整合,使得不同的企业用户在申请云计算服务时,只能实现基于逻辑的划分隔离,不存在物理上的安全边界。在这种情况下,已经不可能基于每个类型用户进行流量的汇聚并部署独立的安全系统。因此安全服务部署应该从原来的基于各子系统的安全防护,转移到基于整个云计算机网络的安全防护,建设集中的安全服务中心,以适应这种逻辑隔离的物理模型。云计算服务商或企业私有云管理员可以将需要进行安全服务的用户流量,通过合理的技术手段引入到集中的安全服务中心,完成安全服务后再到原有的转发路径。我认为这种集中的安全服务中心,既可 以实现用户安全服务的单独配置提供,又能有效地节约建设投资,考虑在一定收敛比的基础上提供安全服务能力。