随着云计算技术的快速发展和更广泛应用,云计算将会面临更多的安全风险。虽然有几个标准组织在研究云计算安全,但是目前业界对云计算安全的解决并没有统一的标准和解决方法。在云计算环境下,信息安全问题不但是云计算面临的首要问题,而且将成为决定云计算发展的规模和前景的决定性问题。通过从云计算的概念、特征和及目前已存在的问题出发,浅析云计算环境下的信息安全问题。
1 引言
云计算是当前信息技术领域的热门话题之一,是产业界、学术界、政府等各界均十分关注的焦点。在云计算环境中, 用户不再拥有基础设施的硬件资源,软件都运行在云中,业务数据也存储在云中,因此云计算安全关系到云计算这种革命性的计算模式是否能够被业界接受。本文将对云计算所面临的诸多安全问题进行深入探讨。
2 云计算引入新的安全问题
云计算的新特征带来了诸多新的安全问题:
①数据位置不清晰造成数据保护和隔离问题:云计算环境下,数据不再是存放在某个确定的物理节点上,而是由服务商动态提供存储空间,这些空间有可能是现实的,也可能是虚拟的;可能分布在不同国家及区域。传统上通过物理和逻辑划分安全域实现数据的隔离和保护,在云中无法实现。保护数据是安全的核心目标,数据位置的不确定性势必给整个安全防护体系带来重大影响。
②分布式网络存储状态下的用户隐私保护:网络环境的开放性、虚拟性与匿名性等特点,无疑为隐私保护带来了挑战。传统模式下,用户可以对私有数据进行有效的隔离和控制,而在云计算环境下,数据的存储安全完全由云计算提供商负责,数据安全不再依靠机器或网络的物理边界得以保障,使得用户隐私保护问题更加突出。
③虚拟平台安全与云计算服务可信:云中大量采用虚拟技术,虚拟平台的安全无疑关系到云体系架构的安全。随着功能与性能上的不断提升,虚拟化平台变得越来越复杂和庞大,管理难度也随之增大。目前,虚拟平台的安全漏洞不断涌现,如果黑客利用漏洞获得虚拟平台管理软件的控制权,将会直接威胁到云安全的根基。
④云计算条件下病毒、木马及僵尸网络的防护:病毒与木马的防护始终是网络安全的重要内容,在云中,病毒与木马除了传统的传播及破坏方式外,一旦其利用漏洞掌握了云的控制权,其复制、传播和破坏能力绝非传统意义上的病毒所能及。
3 云计算中确保信息安全的具体方法
尽管云计算存在安全问题,但它仍然给信息安全带来了机遇。
在云计算方式下,数据是集中存储的,这样至少给数据安全带来了两个好处:降低了数据被盗、被破坏和外泄的可能。这也是云计算服务商讨论最多的一个优点。在云计算出现之前,数据很容易被泄露,如便携式笔记本电脑的失窃、计算机维修时的数据被盗。而随着云计算的推广应用,用户可以将自己的数据存储在“云”中,只要用户能够接入Internet,就能根据需要随时进行访问,根本就用不着自己随身携带,也用不着自己去维护或维修。
能够更容易地对数据进行安全监测。数据集中存储在一个或若干个数据中心,数据中心的管理者可以对数据进行统一管理,负责资源的分配、负载的均衡、软件的部署、安全的控制,并能更可靠地进行数据安全的实时监测以及数据的及时备份和恢复。
3.1 云计算用户的安全办法
3.1.1 听取专家建议,选用相对可靠的云计算服务提供商
用户在享受云计算服务之前,要清楚地了解使用云服务的风险所在。一般地,专家推荐使用那些规模大、商业信誉良好的云计算服务提供商。Gartner咨询公司副总裁DavidCearley表示,“使用云计算的局限是企业必须认真对待的敏感问题,企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量”。企业通过减少对某些数据的控制,来节约经济成本,意味着可能要把企业信息、客户信息等敏感的商业数据存放到云计算服务提供商的手中,对于信息管理者而言,他们必须对这种交易是否值得做出选择。
3.1.2 增强安全防范意识
幸运的是,一点点常识和一些简单的正确电脑操作练习可以将这类安全性失误的影响降至最低,避免将你的机密资料放在云端上,如果你真的放了,例如利用网上银行时,避免在网络咖啡厅、学校或图书馆内的公用电脑上进行,也别太随便给出自己真正的联络资料,避免每个账号都使用同一个密码,就算只更改一个字母也好。云计算下增强安全意识,清楚地认识到风险,并采取必要的防范措施来确保安全。
3.2 用户认证与授权
在一个典型的组织中,应用在组织的外围部署了信任边界,信任边界主要是静态的,并由IT部门监测和控制。在传统模型中,信任边界包括网络、系统和应用程序,这些托管在IT部门管理的私有数据中心中,并且通过VPN、IDS、IPS等进行网络安全控制。而在云计算中,组织的信任边界将变成动态的,并且超出IT的控制,而组织的网络、系统和应用的边界将进入服务提供商的域中。
用户认证与授权旨在授权合法用户进入系统和访问数据,同时保护这些资产免受非授权用户的访问。传统的认证技术有安全口令 S/K、令牌口令、数字签名、单点登录认证、资源认证等,可使用Ker
beros、DCE和Secureshell等目前比较成熟的分布式安全技术。云计算的用户认证与授权措施需要具备如下的能力。
4 结语
随着云计算技术的快速发展和更广泛应用,云计算将会面临更多的安全风险。虽然有几个标准组织在研究云计算安全,但是目前业界对云计算安全的解决并没有统一的标准和解决方法。 不少公司推出云计算安全的产品,但是创新力度明显不够, 而且通常只能解决一小方面的问题。云计算安全的研究目前大多数是存在于企业, 要解决云计算安全的诸多问题,少不了学术界的参与,未来需要企业和学术界共同解决云计算的安全问题,推动云计算的发展。
作者:王昕 来源:数字技术与应用 2016年8期