云安全问题分析与研究
来源:用户上传
作者:
【摘要】云观念下实施的现代IT技术,正以强健发展的态势来满足各行业需求,SaaS、PssS、IaaS三种云交付模型在使用过程中也会经受来自用户的各种安全考验。本文分析了云计算过程中产生的安全威胁,然后提出了相应的解决方案与策略。
【关键词】云计算 安全威胁 方案与策略
虚拟化技术是云计算技术的核心组成部分,云计算的虚拟化不同于传统的单一虚拟化,它是涵盖整个IT架构,包括基础资源、网络、应用、桌面的全系统虚拟化,它将各种计算资源和存储进行高效整合与利用,实现集中化管理[1]。通过虚拟化技术可以实现IT架构的动态变化,基础设备、软件应用和数据使用虚拟化可以实现隔离,打破硬件配置、软件部署和数据分布的界限,能够动态使用物理资源和虚拟资源,扩展系统应用需求,提高系统适应环境的能力。
虽然虚拟化与云计算打破了IT基础资源与用户之间的粘合性,但其共享的特性也给用户带来安全威胁,促使人们尤其关心安全问题。例如,云计算本身安不安全,怎样获得安全的云服务,云计算如何来改善安全,都已经成为云计算研究安全的热点。
和云计算一样,云安全也没有统一规范的定义,总之,云安全就是确保用户在稳定和私密的情况下访问云数据中心应用,且能够保证用户数据的完整性和机密性。
1. 云安全威胁
云服务的使用,需要用户将应用软件、数据迁移到云端,在这过程中安全问题尤为重要。认清顶级云安全威胁,是最小化云安全风险第一步。
1.1 数据泄露
云端面对的威胁与传统企业网络面对威胁相同,大量私有的数据存储在云数据中心,云服务商变成了黑客下手的目标。受到攻击之后的严重程度取决于泄露或丢失数据的敏感性,财务信息、商业机密、知识产权的泄露会更是对用户造成毁灭性对的打击。虽然云服务商会部署安全策略来防护云环境,但使用过程中,云安全防护的责任还是落在使用者一方。
1.2 盗用凭证和身份认证
身份认证不严格,使用弱密码、密钥或凭证管理松懈导致被黑或被利用,非法对网络设备和IT基础资源进行使用,擅自扩大使用权限,越权访问信息,恶意删除、修改和泄露数据会对云安全造成巨大威胁。例如,企业给予员工系统权限时,会忘记人员调动和离职需要将权限撤销与调整,造成身份管理的混乱,加重云安全风险。采用多因子身份验证系统,如一次性密码,手机身份认证,智能卡,人脸识别等,可以有效保护云服务。
1.3 系统漏洞利用
应用软件或系统在逻辑上存在缺陷和错误被入侵者利用,达到控制主机或破坏的目的。所有软件和系统都存在漏洞,但随着云端多用户的出现,导致很多漏洞被发现,云安全问题随之增大。企业中存在共享数据库、存储和其它基础资源,使用情况复杂,漏洞的发现导致新的攻击方式的出现。
1.4弱界面与API被黑
现行的每个云服务和云应用都提供API。软件工程师使用界面和API进行云服务管理和互动,用户可以使用界面和API进行服务的开通、配置、管理和检测。APP用户通过互联网的身份认证、访问控制、数据加密和行为监测的安全依赖于API的安全。弱界面和API漏洞会使企业面临的更多的安全问题,数据机密性、完整性和可靠性都会受到严重考验。
1.5 DOS攻击
拒绝服务攻击,对服务系统不断干扰,改变其正常工作流程或執行无关程序,导致服务系统消耗大量的处理能力,拖慢响应速度甚至直接超时,最终影响合法用户正常使用云资源。
云安全威胁涉及面广,文章未提及的还包括账户劫持、企业内部人士恶心操作、APT寄生虫、云服务滥用等方面。
2. 云安全防护策略
云安全防护策略涉及IT基础设施安全、数据安全、应用安全以及虚拟化安全。本文着重介绍基础设施安全。
2.1 基础设施安全
云服务的底层是云基础设施,它承载服务的应用和平台,云服务的安全和可信才能确保云端用户数据和应用的安全。
2.1.1 数据可控和数据隔离
对于云安全威胁中的数据泄露,主要解决方法就是数据隔离。通常有三种途径:①让用户根据自己需求使用网络安全策略。②云端用户数据存储采用虚拟设备,虚拟存储设备位于大规模存储阵列上,能够底层进行数据隔离,保证用户只能对应各自数据。③在数据中心使用虚拟化技术能够更好的实现隔离,以及使用VMFS文件系统。
2.1.2 建立远程管理机制
IaaS提供的资源在云数据中心,因此用户需要远程连接管理,最常见的远程管理机制包括:①VPN:提供到IaaS的安全连接。②远程桌面、远程Shell:最常见就是使用SSh,避免直接Telnet。③web控制台UI:云服务商提供用户自定义远程管理界面。
对应的安全策略包括:①使用多因子认证机制,或使用动态共享密钥,或者缩短密钥共享时间。②对多次使用的用户名和密码进行变更。③发现漏洞及时安装补丁。④传输数据时应使用VPN,选用IPsec、SSLv3或TLSv1。
2.1.3 数据中心软硬件部署与虚拟化厂商、使用技术的选择
在数据中心部署软硬件时,需要考虑品牌厂商。设备的选择要要综合考虑质量、扩展性、价格、可维护性等。选择能够支持云安全的设备厂商,定期更新补丁、巡检,关注数据中心安全。使用成熟的虚拟化技术不但能够预防云安全风险,而且能提升云端系统的安全性。
2.14 建立健全的IT行业规范
建立健全的法律准则和行业规范,对于IT人不道德的行为进行约束,从人为角度防止数据安全风险。云服务商应使用虚拟机漂移追踪技术、基础设施服务下数据独特的加密技术,让用户可以追踪自己的数据,感知数据底层存储的安全。
3. 数据安全
数据安全和隐私保护是用户最关心的安全服务。不管使用哪种云交付模型,用户和云服务商都应该注意避免数据丢失和被窃。从数据安全生命周期和云应用数据流程综合考虑,涉及数据传输安全、数据存储安全、数据残留等关键云安全防护技术。
4. 应用安全
保证云应用安全,要有措施防护终端客户安全、SaaS应用安全、PaaS应用安全。例如,在云客户端安装反恶意软件和杀毒软件,开启防火墙与防御功能;关注 SaaS服务商提供的身份认证和访问控制功能,采取必要措施,保护在云中的数据,做到定期修改密码不使用弱密码等。
5. 结论
云计算就像互联网浪潮中的巨舰,云安全就是巨舰的动力装置,动力装置强势够稳定,巨舰才可以快速前行,势如破竹,反之停止不前,被海浪吞噬。云计算、云安全需要各方做出努力,让它给生活带来便捷和安全。
参考文献:
[1]冒海波.云环境下数据安全防护体系的研究与应用[D].江苏:江苏科技大学,2017
转载注明来源:https://www.xzbu.com/2/view-15072108.htm