随着云计算的不断普及,安全问题呈现逐步上升的趋势,已成为制约其发展的重要因素。Gartner公司发布的一份名为“云计算安全风险评估”的报告认为,云计算技术存在七大风险,即:① 特权用户访问用户数据带来的泄密风险;② 服务提供商不按法规对数据进行审查带来的监管风险;③ 数据跨域存储导致数据位置跨国带来的法律风险;④ 虚拟机数据隔离和保护不严带来的隐私泄露风险;⑤ 系统故障导致数据不能快速恢复带来的可用性风险;⑥ 灾难发生时的调查与取证风险;⑦ 维护信息长期存在的可用性风险。通过对上述七大风险进行分析可以发现,云计算的安全和隐私风险主要来自服务提供方,涉及数据机密性、完整性和可用性3个方面。
当前,云计算平台的物理主机层、操作系统层、网络层及Web应用层等都存在相应的安全隐患和威胁,但这类通用的安全问题在信息安全领域已经得到较为充分的研究,并有比较成熟的产品。因此,研究云计算安全需要从云计算的主要特征出发,根据云计算对机密性、完整性和可用性的安全需求,分析和提炼云计算环境中多服务模式、服务外包、虚拟化管理、多租户跨域共享带来的安全和隐私问题,具体如下:
(1)多服务模式带来的安全问题。在云计算的3种服务模式中,由于用户获取服务模式不同,导致用户和服务提供商的安全职责存在差异。合理划分不同服务模式下用户和服务提供商的安全职责成为保障云计算安全的关键和难点,任何一方的安全模式保证缺失,均会导致系统在机密性、完整性和可用性方面的破坏。需要深入研究用户和服务提供商在SaaS、PaaS和IaaS 3种服务模式下的安全职责和控制策略。
(2)多服务模式带来的安全问题。一方面,由于多用户共享跨域管理资源,用户和服务资源之间呈现多维耦合关系,信任关系的建立、管理和维护更加困难,使得服务授权和访问控制变得更加复杂。另一方面,用户通过租用大量的虚拟服务能力,使得协同攻击系统变得更加容易,隐蔽性更强。此外,不良网站将很容易以打游击的模式在网络上迁移,使得内容审计、追踪和监管更加困难。(www.daowen.com)
(3)服务外包带来的安全问题。当用户或企业将所属的数据或应用外包给云计算服务提供商时,云计算服务提供商就获得了该数据或应用的访问控制权,用户数据或应用程序面临隐私安全威胁。事实证明,由于存在内部管理人员失职、黑客攻击、系统故障导致的安全机制失效及缺少必要的数据销毁政策等,用户数据在未经许可的情况下面临盗卖、滥用、篡改、随机使用和分析的风险。
(4)资源虚拟化带来的安全问题。虚拟化技术是云计算采用的两大核心技术之一,它支持多租户共享服务资源,多个虚拟资源很可能会被绑定到相同的物理资源上。如果云平台中的虚拟化软件中存在安全漏洞,那么用户的数据、应用就可能被其他用户访问;如果恶意用户借助缓存实施侧通道攻击,则虚拟机面临更严重的安全挑战。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。