关注云计算安全设计
来源:用户上传
作者: 王健红
云计算可能引发的种种安全威胁,使得我们不得不去关注针对云应用的安全设计。
眼下,在业界围绕“云计算”
的讨论日趋激烈以及“云计算”应用在用户中逐步展开的同时,我们看到,与“云计算”应用相关的一系列技术还有待完善,更重要的是,云计算可能会引发的种种安全威胁,使得我们不得不去关注针对云应用的安全设计。
安全专家Ariel Silverstone 认为,在“云”中处理的数据和应用不但难以管理,还会给使用这些数据和应用的人以及与数据相关的人带来不小的安全及隐私威胁。因此,关注云应用中的安全设计,并去解决“云计算”所引发的安全问题势在必行。
明确概念 了解应用
解决“云”中安全问题的前提是明确问题,只有这样才有可能提出应对问题的解决方法。我们先从了解与“云计算”相关的技术开始,云计算中可能会涉及到的技术主要包括: 网格、VMware和Xen的虚拟化技术、IBM的大型机技术、亚马逊的灵活存储技术、英特尔的虚拟机管理程序、页面文件技术等。
在了解“云计算”所涉及技术的同时,更重要的是要关注其有哪些突出的应用特点。为此,我们把“云计算”定义为具有以下特点的一项应用―基于服务的数据处理和存储功能,具有灵活和可扩展等特点。
很多人在给“云计算”下定义时,常常会去强调是通过互联网来获得的。“我倒觉得这个部分并不是必需要强调的内容,这样可能会更有利于我们去讨论云计算的安全问题。” Ariel Silverstone说,“获取方式相对于安全基本原则来说是次要的,因为这其中还可能会包括通过本地虚拟机获得的计算资源。”
安全问题凸显
通常来说,用户使用云计算的目的是避免构建或获取服务器等基础架构所需的成本。与之相似的是通过虚拟化技术,用户不必再去购买更多的服务器产品。直接获取计算资源(包括存储和数据处理能力等)这个概念确实很吸引人,在不远的将来,用户不用再去关心计算资源是放在本地,还是放在位于世界不同地方的数据中心,只要云计算服务提供商能够及时、有效地提供计算服务,用户就会感到满意。
不过,用户一旦开始应用云计算,安全问题就会凸显。因为云计算的应用模式使得用户对“深层防御”拥有极小的控制权,甚至并不拥有直接控制权。比如,亚马逊给企业级用户提供的EC2服务,用户就几乎没有控制权可言。“有的时候,用户连被告知某项服务即将出问题的基本服务都享受不到。” Ariel Silverstone对目前云服务提供商所提供的服务的安全性提出了质疑。
使用了云计算服务后,用户就再也无法控制进入处理空间的入口。以亚马逊的服务为例,这个入口是设在亚马逊的路由器以及防火墙上的。可以说,用户是把内存中的系统和进程交给“黑盒子”来处理,而用户对这个“黑盒子”很少拥有控制权。这些就是云计算可能会引发的安全问题,同样还会连锁反应引发很多法律问题。
法规有待健全
如果用户在云应用环境的虚拟机上存储或处理的数据受到威胁,会引发什么样的后果呢?用户自己会知道受到威胁了吗?要是用户不知道,该怎么去按照数据泄露的相关法规通知相关人员呢?怎么才能知道是否提升了自身的安全性呢?
我们仔细研究一下亚马逊的云服务合同,就会发现存在很多问题,或者说是很多条款是不合理的。当然这只是个例子而已,我们并不是把矛头指向亚马逊。
比如,第4.3条款中规定: 我们对下列情况不负责任:未经授权的访问、更改或删除、销毁、损害、弄丢或无法存储的内容(10.2条款中对无法存储的内容做了明确定义)、应用程序,或者提交、使用了与账户或服务有关的其他数据。
第7.2条款中规定: 我们对于任何未经授权的访问或使用、破坏、删除、销毁或弄丢任何你的内容或应用的程序不负有责任。
在该合同中,服务提供商并不认可通知数据所有者任何泄密事件以及通知用户任何被破坏行为的任何法律责任或义务,也不针对任何事件做出承诺。也就是说,服务商不用去遵从泄密后通知用户的任何法律责任。正因如此,要想让“云计算”实现大幅度改善IT基础设施性能的任务,就必须先从解决“云”及“云”中数据面临的安全问题开始。
转载注明来源:https://www.xzbu.com/8/view-1077660.htm