1.云安全的概念
“云安全(Cloud Security)”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。
最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。“云安全”的概念在早期曾经引起过不小争议,现在已经被普遍接受。值得一提的是,中国网络安全企业在“云安全”的技术应用上走到了世界前列。
“云安全”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
2.云端安全问题
1)数据丢失/泄漏:云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
2)账户、服务和通信劫持:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户账号并登录客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
3)不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
4)内奸:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
5)未知的风险:透明度问题一直困扰着云服务供应商,账户用户仅使用前端界面,他们不知道供应商使用的是哪种平台或者什么样的修复水平。
6)客户端问题:对于客户来说,云安全有网络方面的担忧。有一些反病毒软件在断网之后,性能大大下降。由于病毒破坏、网络环境等因素,在网络上一旦出现问题,云技术就反而成了累赘。
3.云计算不同层次的安全问题(www.daowen.com)
(1)IaaS层的安全
虚拟化是云计算IaaS层普遍采用的技术。该技术不仅可以实现资源可定制,而且能有效隔离用户的资源。然而虚拟化平台并不是完美的,仍然存在安全漏洞。基于AmazonEC2上的实验,研究人员发现Xen虚拟化平台存在被旁路攻击的危险。他们在云计算中心放置若干台虚拟机,当检测到有一台虚拟机和目标虚拟机放置在同一台主机上时,便可通过操纵自己放置的虚拟机对目标虚拟机的进行旁路攻击,得到目标虚拟机的更多信息。
(2)PaaS层的安全
PaaS层的海量数据存储和处理需要防止隐私泄露问题。研究人员提出了一种基于MapReduce平台的隐私保护系统Airavat,集成强访问控制和区分隐私,为处理关键数据提供安全和隐私保护。
(3)SaaS层的安全
SaaS层提供了基于互联网的应用程序服务,并会保存敏感数据(如企业商业信息)。因为云服务器由许多用户共享,且云服务器和用户不在同一个信任域里,所以需要对敏感数据建立访问控制机制。由于传统的加密控制方式需要花费很大的计算开销,而且密钥发布和细粒度的访问控制都不适合大规模的数据管理,研究人员提出了基于文件属性的访问控制策略,在不泄露数据内容的前提下将与访问控制相关的复杂计算工作交给不可信的云服务器完成,从而达到访问控制的目的。
云计算面临的核心安全问题是用户不再对数据和环境拥有完全的控制权。为了解决该问题,云计算的部署模式被分为公有云、私有云和混合云。
公有云是以按需付费方式向公众提供的云计算服务(如Amazon EC2、Salesforce CRM等)。虽然公有云提供了便利的服务方式,但是由于用户数据保存在服务提供商,存在用户隐私泄露、数据安全得不到保证等问题。
私有云是一个企业或组织内部构建的云计算系统。部署私有云需要企业新建私有的数据中心或改造原有数据中心。由于服务提供商和用户同属于一个信任域,所以数据隐私可以得到保护。受其数据中心规模的限制,私有云在服务弹性方面与公有云相比较差。
混合云结合了公有云和私有云的特点:用户的关键数据存放在私有云,以保护数据隐私;当私有云工作负载过重时,可临时购买公有云资源,以保证服务质量。部署混合云需要公有云和私有云具有统一的接口标准,以保证服务无缝迁移。
此外,工业界对云计算的安全问题非常重视,并为云计算服务和平台开发了若干安全机制。其中Sun公司发布开源的云计算安全工具可为Amazon EC2提供安全保护。微软公司发布基于云计算平台Azure的安全方案,以解决虚拟化及底层硬件环境中的安全性问题。另外,Yahoo为Hadoop集成了Kerberos验证,Kerberos验证有助于数据隔离,使对敏感数据的访问与操作更为安全。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。