|
不言而喻,云計算仍是一個迅速變化的領域��,要么保持在最前沿�����,要么落后�����。2010年10月18號���,工信部和發(fā)改委共同發(fā)文將云計算和虛擬化寫入“十二五”的戰(zhàn)略規(guī)劃���,確定在北京、上海�、深圳、杭州和無錫五個城市先行開展云計算服務創(chuàng)新發(fā)展試點示范工作����。遠看,我們需要抓住云計算所帶來的機遇����,持續(xù)并快速的改變思維��,優(yōu)化流程����、找尋方法���、變革技術;近看�����,遷移到云計算的過程�����,為我們提供了新的契機����,來重新審視和謀劃現(xiàn)有的基礎設施、應用等與業(yè)務的關聯(lián)性�。不論是遠謀還是近思,云計算與任何新概念和技術一樣�����,它會帶來新的機遇,也將創(chuàng)造新的風險��,不可預期的安全風險甚至會超過企業(yè)當前的安全需求����。在你思考選擇是否選擇云計算的時候,安全的位置和憂慮到底是怎樣的����?本文將通過我們的所見所聞,與你共同探討云計算安全的問題�����,以期所思所想與大家共鳴�����。
共識:云計算是安全機遇
不論是廣義的云計算安全���,還是狹義的云安全����。目前普遍的共識是云計算是安全技術創(chuàng)新和發(fā)展的機遇�,在云計算還未像今天如此火爆的時候��,狹義云安全的定義就已經(jīng)風生水起����,成為安全廠商展現(xiàn)自身安全技術系統(tǒng)����、架構(gòu)領先性的舞臺。借助云的概念�,安全廠商自身技術和架構(gòu)的可信、規(guī)模�、積累�����、對服務模式的思考等�,就成為了他們經(jīng)常掛在嘴邊的關鍵詞。產(chǎn)業(yè)也在經(jīng)歷了云計算是安全的災難�,還是安全機遇彷徨之后,意見逐漸趨同���。雖然安全目前依然是擺在企業(yè)跨入云計算環(huán)境的首要擔憂之一�����,但云計算給安全所帶來的機遇��,已經(jīng)是產(chǎn)業(yè)和廠商的共識�����。
共鳴:信心和耐心為云計算卸下包袱
不論是選擇云服務��,構(gòu)建私有云����,還是將現(xiàn)有基礎設施遷移到云。首先需要對這一新興技術概念抱有信心���,從2010到2011年的很多報告顯示�,由于安全問題��,眾多的企業(yè)對云計算持謹慎態(tài)度��,但對云對安全的態(tài)度正在發(fā)生變化���。2010年Harris調(diào)查顯示��,超過81%的用戶擔心云服務的安全性問題����,普遍認為云計算缺少安全性。而到了2011年���,眾多的調(diào)查報告顯示�,企業(yè)開始對云計算選擇的比例呈上升勢頭�,賽門鐵克《云端現(xiàn)狀調(diào)查》報告顯示,88%的受訪者有信心邁進云計算而不會影響信息安全��,雖然只有很少比例(15%-18%)認為已經(jīng)做好過渡到云的準備����,雖然說多做少,但根據(jù)這份調(diào)查報告顯示�����,譬如企業(yè)選擇郵件安全�����、IM安全等安全云服務的比例要多于其他云服務����,從對安全的擔憂到現(xiàn)在的安全性預期的評估,安全造成企業(yè)對云計算呈謹慎態(tài)度的局面正在改觀�。
還有眾多的云計算調(diào)查報告的數(shù)據(jù),也顯示出企業(yè)對云計算的鐘情����。雖然安全的擔心仍然存在,但云服務的效能����、可用性、評估預期����、IT部門對系統(tǒng)的控制權(quán)是否會導致崗位流失等更多的隱憂正在浮現(xiàn),安全從云計算誕生就背上的包袱和陰霾正在被驅(qū)散����。
同時云計算不可能一蹴而就,所以企業(yè)和整個產(chǎn)業(yè)都要有耐心走好這個過程�����,從整個行業(yè)進展情況來看����,可能很多企業(yè)都要花多則6-7年���,少則3-5年來過渡,而目標也不是簡單的將數(shù)據(jù)中心搬到公有云或變成私有云����。同樣之于安全,云計算的技術架構(gòu)��,平臺��,終端計算�,每個層次都不能忽視安全,每個層面都有安全���,包括管理也需要安全�,安全不是支離破碎�,不是某一個環(huán)節(jié)把安全考慮好了就一勞永逸。所以需要從各個層面看現(xiàn)有架構(gòu)走到安全體系的階段��,包括傳統(tǒng)組件�����,基礎架構(gòu)���,技術應用��,開發(fā)等�,當新的應用方式出現(xiàn)的時候����,都是對安全的巨大挑戰(zhàn),如果不能很好的處理將帶來不可預期的后果�����。比如新老應用�����,與云與現(xiàn)有安全架構(gòu)的兼容性問題����?數(shù)據(jù)在云端和本地的風險和合規(guī)問題是完全不同的?遷移策略是怎樣的����,遷移過程中��,安全策略如何掌控動態(tài)變化�?虛擬化打破了物理的硬性綁定���,流動的數(shù)據(jù)和應用��,安全如何考慮���?
共鳴:安全責任歸屬發(fā)生的改變
根據(jù)CSA云安全聯(lián)盟發(fā)布的《云計算關鍵領域安全指南》對云計算安全的定義,云計算中安全控制的主要部分與其他IT環(huán)境中的安全控制并沒有太大的區(qū)別�,但是根據(jù)企業(yè)采用的云服務模型、運行模式以及提供云服務的技術����,與傳統(tǒng)IT解決方案相比云計算可能面臨不同的風險。
如上文所述�����,企業(yè)對云計算安全的謹慎態(tài)度����,已經(jīng)隨著云的逐步深入,轉(zhuǎn)嫁到其他方面的擔憂�����,比如云的效能��,可用性等�。。云計算的重要吸引力之一就在在于經(jīng)濟上的可擴展性��、標準化提供的成本效率�,為了支撐這種成本效率,云提供商提供的服務和解決方案必須足夠靈活����,以服務最大可能的用戶數(shù)、最大化企業(yè)的市場��,而安全集成到這些服務方案中將使得方案變得僵化��。雖然安全只是使得云服務僵化的原因之一��,但與數(shù)據(jù)和信息的所面臨的風險相比��,安全的集成必不可少��。所以明確的可糾責性���,清楚企業(yè)安全現(xiàn)狀的成熟度���,就是有效安全控制的級別等就顯得格外重要了��。
CSA聯(lián)盟給出的安全責任根據(jù)云服務模式劃分為:在SaaS環(huán)境中����,安全控制及其范圍在服務合同中進行協(xié)商��,服務等級����、隱私和符合性等也都在合同中指出。在IaaS中�,低層基礎設施和抽象層的安全保護屬于提供商職責,其它職責則屬于客戶����。PaaS則居于兩者之間,提供商為平臺自身提供安全保護�����,平臺上應用的安全性及如何安全地開發(fā)這些應用則為客戶的職責�。
共鳴:私有云與公有云誰更安全
首先要清楚公有云和私有云的定義�,公有云由云服務供應商提供�,其云基礎設施、平臺或應用為公眾或企業(yè)提供服務�。私有云的基礎設施���、平臺和應用只為企業(yè)運行和服務�,由企業(yè)自身負責管理�����。當然企業(yè)也可以在自建私有云的同時���,一些業(yè)務也可以選擇公有云服務提供支撐����,這就是混合云的概念了��。
簡而言之��,私有云是在企業(yè)內(nèi)部署的���,有明確的邊界����,我們是否就可以認為私有云就更加安全呢?正如CSA對云計算安全定義的那樣�,其實云計算安全控制的主要部分與傳統(tǒng)IT環(huán)境的安全控制沒有什么區(qū)別。更寫實的理解�,公有云供應商來維護其云環(huán)境的安全,只是其為公眾提供云服務�����,私有云是企業(yè)維護自身云的安全�,為自己提供云服務而已。他們共同面對的安全問題都來自云計算的特性�,即虛擬化所提供的動態(tài)性,意味著即便是私有云�,如果云環(huán)境的一個虛擬機存在安全威脅,那么虛擬機間的通信就會存在安全威脅�,那么企業(yè)傳統(tǒng)安全架構(gòu)和防護措施可能就會被輕易越過,那么企業(yè)私有云安全邊界是需要動態(tài)的變化����,還是像傳統(tǒng)安全邊界一樣面臨挑戰(zhàn)?
同時�����,企業(yè)正在不斷提升其安全系統(tǒng)的級別,即高級安全系統(tǒng)的構(gòu)建�。那么這樣的系統(tǒng)需要可信,基于信譽���,智能感知�����,背景感知,自動化管理�,對安全策略的動態(tài)部署等等。簡言之�����,完全打破人工對安全的更新�、維護、管理�����,盡量節(jié)約人工成本��。那么問題就出現(xiàn)了,滿足云的安全自動化的能力與目前企業(yè)的人工安全實踐并不匹配���,企業(yè)是該牽強的附和云的自動化要求���,強上安全自動化,還是等待技術進一步完善����,在安全與云基礎設施完全匹配前,平衡更多的條件和因素�?據(jù)筆者了解,在未來發(fā)布的新版本《云計算關鍵領域安全指南》中��,將有專門的主題����,討論企業(yè)私有云安全的內(nèi)容。
再看公有云�,在《云計算關鍵領域安全指南》V2.1中。所涉及的云計算安全的內(nèi)容范疇大多數(shù)與公有云的安全有關�����,正如前文所提到的不同云服務模式的職責分配����。企業(yè)可能會問既然選擇了公有云服務����,為什么還要對云環(huán)境承擔責任���,甚至依然倔強的認為私有云比公有云在安全方面更具優(yōu)越性��。坦率的說�,如果企業(yè)決定選擇公有云的服務���,那么首先要充分信任云供應商的安全防護技術和能力���,并與供應商明確各自控制范圍的安全范疇����,并盡最大可能將企業(yè)本身需要維護的安全內(nèi)容做到完善;而不是當面對公有云的時候���,模糊職責范圍�,不去履行企業(yè)自身應盡的責任���。
總結(jié)一下���,私有云即使在企業(yè)控制范圍內(nèi)�,如果使用不善�,依然面臨安全威脅的挑戰(zhàn),公有云如果與供應商一起���,通過合理的職責劃分和合作����,也能達到更好的安全性�。
在《云計算關鍵領域安全指南》V2.1中,指出了12個關鍵領域的云計算安全控制范圍���,分為治理和運行�����。治理部分包括:治理和企業(yè)風險管理��,法律和電子證據(jù)的發(fā)現(xiàn)���,合規(guī)和審計�,信息生命周期管理���,可移植性和互操作性��。運行部分包括:傳統(tǒng)安全�、業(yè)務連續(xù)性和災難恢復��,數(shù)據(jù)中心運行��,事件響應���、通告和補救�,應用安全����,加密和密鑰管理����,身份和訪問管理,虛擬化�。并給出了詳細的治理和運行建議。
挑戰(zhàn):云計算安全與傳統(tǒng)安全的異同和挑戰(zhàn)
為什么我們說云計算安全與傳統(tǒng)安全區(qū)別不大����?現(xiàn)在就來看看他們的異同�。相同點:第一目標是相同的���,保護信息�、數(shù)據(jù)的安全和完整�;第二保護對象相同,保護計算���、網(wǎng)絡�、存儲資源的安全性�����;第三采用的技術類似�,比如傳統(tǒng)的加解密技術、安全檢測技術等��。不同點:比如云計算服務模式導致的安全問題����,虛擬化帶來的技術和管理問題等。
那么云計算安全會面臨哪些安全威脅挑戰(zhàn)�?主要來源于技術���、管理和法律風險三個方面。挑戰(zhàn)包括:
1.數(shù)據(jù)集中�����,聚集的用戶����、應用和數(shù)據(jù)資源更方便黑客發(fā)動集中的攻擊,事故一旦產(chǎn)生影響范圍廣�����,后果嚴重��。
2.傳統(tǒng)基于物理安全邊界的防護機制在云計算的環(huán)境難以得到有效的應用����。
3.基于云的業(yè)務模式,給數(shù)據(jù)安全的保護提出了更高的要求���。
4.云計算的系統(tǒng)非常大,發(fā)生故障的時候����,如果快速的定位問題的所在�����,挑戰(zhàn)也很大����。
5.云計算的開放性對接口安全提出新的要求�����。
6.管理方面��,挑戰(zhàn)在于管理權(quán)方面��,云計算數(shù)據(jù)的管理權(quán)和所有權(quán)是分離的���,比如公有云服務方面�,是否給供應商提供一些高權(quán)限的管理��;還有就是在企業(yè)和服務提供商之間需要在安全方面達成一致�;還有就是在協(xié)同和管理上的一些問題。比如發(fā)生攻擊時的聯(lián)動���,對運營管理的模式提出了一些要求�;還有監(jiān)管方面的挑戰(zhàn)等。
7.在法律風險方面主要是地域性的問題�����。云計算應用引發(fā)了地域性弱�����,信息流動性大的特點����,在信息安全監(jiān)管、隱私保護等方面可能存在法律風險�����。
總結(jié)
虛擬化和安全是伴隨云計算概念誕生相關性最緊密的兩項技術����,而二者也是緊密聯(lián)系的,虛擬化給安全重新思考和構(gòu)建的天然條件����,反之安全技術對虛擬化動態(tài)的保障可加速其部署和企業(yè)接受的步伐��,他們都將大大促動云計算的高速發(fā)展。如果說云計算的熱潮中�����,哪項技術是最冷靜的�����,首推安全���。正是因為產(chǎn)業(yè)�,用戶近乎苛刻的擔憂���,讓云計算安全的發(fā)展很務實���,也很踏實。不管企業(yè)和用戶對云計算的接納程度��,是急需云的效果��,還是安全確實讓企業(yè)放心了,現(xiàn)實情況是云計算安全的成熟度還有很大的距離��,套用一句成語“云計算尚未成功���,安全仍需努力����。”
服務器托管�、租用,VPS,請聯(lián)系——
億恩科技-明宇
QQ:1613285598
電話:0371-63322220
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
