云計(jì)算是一種計(jì)算模式,在這種模式中,各類應(yīng)用、數(shù)據(jù)和IT資源以服務(wù)的方式通過網(wǎng)絡(luò)提供給用戶。大量的計(jì)算資源組成IT資源池,用于動(dòng)態(tài)創(chuàng)建高度虛擬化的資源,供用戶使用。提供這些計(jì)算能力的資源對(duì)用戶是不可見的,使用資源的用戶無需關(guān)心如何部署和維護(hù)這些資源,這些資源被比喻為“云” 引。在云計(jì)算模式下,計(jì)算工作由位于互聯(lián)網(wǎng)中的計(jì)算資源完成,得到授權(quán)的用戶,只需通過網(wǎng)絡(luò)進(jìn)行連接,借助輕量級(jí)客戶端如手機(jī)、瀏覽器等即可使用這些資源。
在云計(jì)算生態(tài)鏈中,各類角色可以簡(jiǎn)單地劃分為3類。
私有云計(jì)算平臺(tái)的使用者。這些用戶會(huì)建設(shè)屬于自己的基于云計(jì)算的私有數(shù)據(jù)中心,并通過該IT平臺(tái)支撐企業(yè)的業(yè)務(wù)應(yīng)用,面向內(nèi)部用戶和外部客戶提供云計(jì)算服務(wù)。
公共云計(jì)算服務(wù)的使用者。這些用戶將自己的應(yīng)用部署到第三方提供的云計(jì)算平臺(tái)上,或直接使用第三方提供的基于云計(jì)算的應(yīng)用,即SaaS(Software as a Service)方式。他們不需要關(guān)心如何建設(shè)云計(jì)算平臺(tái),只要向云計(jì)算服務(wù)提供商訂購服務(wù)即可。
公共云計(jì)算服務(wù)的提供者。以Google、Amazon為代表,這些企業(yè)建設(shè)基于云計(jì)算的數(shù)據(jù)中心,并將云計(jì)算中心管理的資源(包括虛擬機(jī)、存儲(chǔ)空間、具體業(yè)務(wù)、應(yīng)用軟件等)作為服務(wù)出租給最終用戶。
無論是中小型企業(yè)還是大型企業(yè),都可以使用云計(jì)算服務(wù)。既可建設(shè)自己的私有云計(jì)算平臺(tái),也可使用第三方提供的公共云計(jì)算服務(wù),甚至可以成為公共云服務(wù)的提供商,為其他企業(yè)提供公共云服務(wù)。建設(shè)私有云對(duì)企在資金、技術(shù)、人員等諸多方面要求較高,中小企業(yè)通過租用方式使用第三方提供的公共云計(jì)算服務(wù)是個(gè)較好的選擇。使用公共云計(jì)算服務(wù)可以幫助這些企業(yè)節(jié)省IT系統(tǒng)的投入,通過租用方式替代購買硬件、軟件等固定產(chǎn)。這樣中小企業(yè)可以通過使用公共云計(jì)算服務(wù),以較小的投入獲得穩(wěn)定的IT平臺(tái)。與傳統(tǒng)基礎(chǔ)架構(gòu)模式相比,企業(yè)選擇公共云計(jì)算基礎(chǔ)架構(gòu)會(huì)帶來節(jié)省成本、資源利用率高、設(shè)備管理簡(jiǎn)單、應(yīng)用部署簡(jiǎn)化等好處。
云計(jì)算節(jié)省成本、提高IT基礎(chǔ)架構(gòu)效率、應(yīng)用部署簡(jiǎn)化等方面的優(yōu)勢(shì)已經(jīng)得到用戶一定程度上的認(rèn)可。但公共云計(jì)算是否安全,這是中小企業(yè)選擇公共云計(jì)算服務(wù)必須要面對(duì)的問題,公共云服務(wù)提供商為開展業(yè)務(wù),實(shí)現(xiàn)通過提供云計(jì)算服務(wù)盈利,也必須保證云安全。筆者通過分析當(dāng)前公共云面臨的安全威脅,設(shè)計(jì)公共云安全參考框架,以應(yīng)對(duì)公共云面臨的安全威脅,以期為云用戶在選擇云服務(wù)時(shí)提供安全方面的參考。
1、公共云安全威脅分析
隨著云計(jì)算的不斷普及,美國站群服務(wù)器 亞洲服務(wù)器,安全問題的重要性呈現(xiàn)逐步上升趨勢(shì),已成為企業(yè)關(guān)注的焦點(diǎn)。用戶對(duì)公共云計(jì)算服務(wù)的主要擔(dān)憂就是安全性問題,其中涉及云計(jì)算技術(shù)的安全風(fēng)險(xiǎn)以及據(jù)監(jiān)管方面的風(fēng)險(xiǎn),對(duì)這兩方面的擔(dān)憂遠(yuǎn)超過其他選項(xiàng)。要使企業(yè)和組織大規(guī)模應(yīng)用云計(jì)算技術(shù),放心將自己的數(shù)據(jù)、應(yīng)用交付給云服務(wù)提供商管理,就必須全面分析并著手解決云計(jì)算所面臨的各種安全問題。
在傳統(tǒng)數(shù)據(jù)中心中,應(yīng)用程序部署在機(jī)構(gòu)的范圍之內(nèi),信任邊界處于企業(yè)IT部門的監(jiān)控之下,幾乎是靜態(tài)的。信任邊界包括網(wǎng)絡(luò)、系統(tǒng)和位于私有數(shù)據(jù)中心并由IT部門管理的應(yīng)用程序。通過虛擬專用網(wǎng)絡(luò)VPN、防火墻、入侵檢測(cè)系統(tǒng)IDs、入侵防御系統(tǒng)IPS以及多因素身份認(rèn)證等網(wǎng)絡(luò)安全控制手段來保障數(shù)據(jù)中心安全。
采用公共云計(jì)算服務(wù)后,機(jī)構(gòu)的信任邊界變成動(dòng)態(tài)的,并且遷移到企業(yè)IT部門管理和控制范圍之外。這種控制權(quán)的轉(zhuǎn)移,使安全責(zé)任轉(zhuǎn)移到云服務(wù)提供商一端,對(duì)已有的信任管理和控制模式形成了很大的挑戰(zhàn)。同云計(jì)算環(huán)境下新型服務(wù)模式以及虛擬化技術(shù)的引入不可避免地帶來一系列新的安全問題。客戶數(shù)據(jù)和應(yīng)用分別存儲(chǔ)、運(yùn)行在遠(yuǎn)端云中,云服務(wù)提供商控制云計(jì)算數(shù)據(jù)中心基礎(chǔ)架構(gòu),數(shù)據(jù)是否安全、云服務(wù)是否可靠都是選擇公共云計(jì)算服務(wù)必須面對(duì)的問題。公共云服務(wù)最終用戶主要安全目標(biāo)有數(shù)據(jù)安全性和云計(jì)算服務(wù)可用性及性能。對(duì)數(shù)據(jù)安全性、云計(jì)算服務(wù)可用性及性能構(gòu)成安全威脅主要來源有3方面。
1)用戶數(shù)據(jù)安全與隱私保護(hù)。因?yàn)?a href="http://www.qzkangyuan.com/cnidc/cloud/">云計(jì)算平臺(tái),特別是公共云計(jì)算平臺(tái)的一個(gè)重要特征就是開放性,各種應(yīng)用整合在一個(gè)平臺(tái)上,各類軟件運(yùn)行的硬件平臺(tái)是動(dòng)態(tài)變化的,沒有固定不變的安全邊界,難以實(shí)現(xiàn)用戶數(shù)據(jù)安全與隱私保護(hù),對(duì)數(shù)據(jù)泄漏和數(shù)據(jù)完整性的擔(dān)心是云計(jì)算平臺(tái)必須解決的問題。
2)數(shù)據(jù)中心軟硬件的安全性。由于資源共享,如果云計(jì)算平臺(tái)運(yùn)行過程中軟件出現(xiàn)錯(cuò)誤或硬件發(fā)生故障,將可能導(dǎo)致相關(guān)應(yīng)用無法正常使用,使存儲(chǔ)的數(shù)據(jù)丟失或損壞,會(huì)降低云計(jì)算平臺(tái)的可用性。從技術(shù)層面講,域名購買 directadmin購買,云算要保證不同用戶、不同應(yīng)用的隔離性。這就需要采用可靠的系統(tǒng)監(jiān)控、災(zāi)難恢復(fù)機(jī)制以確保軟硬件系統(tǒng)的安全運(yùn)行。
3)由于控制權(quán)的轉(zhuǎn)移導(dǎo)致的安全問題。IT平臺(tái)由企業(yè)內(nèi)部控制轉(zhuǎn)移到由云服務(wù)提供商管理進(jìn)而會(huì)引發(fā)出許多安全問題。
2、安全應(yīng)對(duì)策略
