1 什么是云計算安全?
在互聯(lián)網(wǎng)快速發(fā)展的今天�����,網(wǎng)絡的安全是不可回避的問題����,尤其是各種安全威脅對業(yè)務系統(tǒng)的潛在危害逐漸放大的今天�,任何IT系統(tǒng)的建設都很難忽視安全問題的存在。而各種“私有云”或是“公有云”的數(shù)據(jù)中心建設���,安全�、高效的業(yè)務交付也是其成功的基礎和必備的要求��。每一刻建設的環(huán)節(jié)���,包括物理環(huán)境的搭建過程��、云計算業(yè)務系統(tǒng)的構(gòu)建����、服務器存儲資源池的部署,以及系統(tǒng)的運營操作等�����,都是安全風險的潛在制造者和影響系統(tǒng)安全交付的因素���。來自Forrester Consulting 2011年的調(diào)查報告顯示(如圖1所示)���,在云計算的部署過
程中,對于安全的擔憂已經(jīng)成為用戶選擇云計算服務時的重要參考��。
圖1 云計算部署過程中用戶關注點調(diào)查
作為處于云計算產(chǎn)業(yè)鏈中的主要參與者��,企業(yè)客戶�、云計算服務商、云計算設備供應商等對于云安全都有自身的理解:對服務商而言�,如何建設安全的云計算環(huán)境,如何給客戶提供高安全性的SLA保證是其關注的重點;對于企業(yè)客戶而言��,其關注的是自身業(yè)務系統(tǒng)保存或使用的核心數(shù)據(jù)的安全��,這些數(shù)據(jù)一旦泄漏或者丟失將損害到企業(yè)的核心競爭力������?梢钥闯�����,盡管各自關注的視角有所不同,但是其本質(zhì)都是在關注整個云計算業(yè)務系統(tǒng)的安全���,這也是我們對于云安全的定義����,接下來我們將基于這個角度對云計算的安全風險進行分析���。
2 云計算環(huán)境下的安全風險
在云計算的建設過程中�����,每個建設環(huán)節(jié)都可能導致安全問題��,諸如物理機房環(huán)境的安全����、網(wǎng)絡的安全、應用系統(tǒng)的安全��、數(shù)據(jù)存儲的安全��、管理平臺的安全等��。拋掉物理環(huán)境的安全不談����,其他幾個環(huán)節(jié)可能導致的安全風險可以歸結(jié)為以下幾個方面。
1)用戶數(shù)據(jù)泄露或丟失
這是目前云計算用戶最為擔心的安全風險���,也是用戶數(shù)據(jù)泄露的重要途徑�����。用戶數(shù)據(jù)在云計算環(huán)境中進行傳輸和存儲時����,用戶本身對于自身數(shù)據(jù)在云中的安全風險并沒有實際的控制能力��,數(shù)據(jù)安全完全依賴于服務商,如果服務商本身對于數(shù)據(jù)安全的控制存在疏漏��,則很可能導致數(shù)據(jù)泄露或丟失.現(xiàn)階段可能導致安全風險的有以下幾種典型情況:
? 由于服務器的安全漏洞導致黑客入侵造成的用戶數(shù)據(jù)丟失;
? 由于虛擬化軟件的安全漏洞造成的用戶數(shù)據(jù)被入侵的風險;
? 數(shù)據(jù)在傳輸過程中沒有進行加密導致信息泄露;
? 加密數(shù)據(jù)傳輸?shù)敲荑管理存在缺失導致數(shù)據(jù)泄露;
? 不同用戶的數(shù)據(jù)傳輸之間沒有進行有效隔離導致數(shù)據(jù)被竊取;
? 用戶數(shù)據(jù)在云中存儲沒有進行容災備份等�。
從這個角度看�,云計算服務商在向用戶推薦云計算服務時����,需要和企業(yè)用戶簽署服務質(zhì)量保證協(xié)議,并從技術(shù)和管理兩個方面向用戶進行安全保證�����,以減輕用戶對于數(shù)據(jù)安全的擔憂�����。
