2)用戶應(yīng)用不能安全交付
云計算服務(wù)商在運行維護(hù)過程中,需要對整個云計算中心的服務(wù)器存儲網(wǎng)絡(luò)等資源進(jìn)行運維管理�。在這個過程 中,任何運維管理環(huán)節(jié)的問題���,都可能對用戶的應(yīng)用造成損害,如因為配置方面的疏忽�,造成用戶的虛擬化計算資源不足以正常運行業(yè)務(wù)系統(tǒng);因為網(wǎng)絡(luò)安全的配置 錯誤導(dǎo)致互聯(lián)網(wǎng)連接不通;因為服務(wù)商對公共安全風(fēng)險如DDOS攻擊防護(hù)不足導(dǎo)致用戶對外的業(yè)務(wù)交付出現(xiàn)故障等�����。
3)內(nèi)部人員數(shù)據(jù)竊取
企 業(yè)的核心數(shù)據(jù)在云計算環(huán)境中的存儲�,離不開管理員的操作和審核,如果服務(wù)商內(nèi)部的管理出現(xiàn)疏漏�����,將可能導(dǎo)致內(nèi)部人員私自竊取用戶數(shù)據(jù)��,從而對用戶的利益造 成損害��。在這種情況下���,除了通過技術(shù)的手段加強(qiáng)數(shù)據(jù)操作的日志審計之外�����,嚴(yán)格的管理制度和不定期的安全檢查十分必要�。云計算服務(wù)供應(yīng)商有必要對工作人員的 背景進(jìn)行調(diào)查并制定相應(yīng)的規(guī)章制度避免內(nèi)部人員“作案”�����,并保證系統(tǒng)具備足夠的安全操作的日志審計能力�,在保證用戶數(shù)據(jù)安全的前提下,滿足第三方審計單位 的合規(guī)性審計要求����。
4)用戶身份認(rèn)證的安全
云計算服務(wù)商在對外提供服務(wù)的過程中,需要同時應(yīng)對多租戶的運行環(huán)境��,保證不 同用戶只能訪問企業(yè)本身的數(shù)據(jù)��、應(yīng)用程序和存儲資源�����。在這種情況下��,運營商必須要引入嚴(yán)格的身份認(rèn)證機(jī)制,不同的云計算租戶有各自的帳號密碼管理機(jī)制�����。如 果運營商的身份認(rèn)證管理機(jī)制存在缺陷���,或者運營商的身份認(rèn)證管理系統(tǒng)存在安全漏洞���,則可能導(dǎo)致企業(yè)用戶的帳號密碼被仿冒,從而使得“非法”用戶堂而皇之的 對企業(yè)數(shù)據(jù)進(jìn)行竊取���。因此如何保證不同企業(yè)用戶的身份認(rèn)證安全�,是保證用戶數(shù)據(jù)安全的第一道屏障����。
3 云計算環(huán)境下安全防護(hù)的差異化分析
基于云計算環(huán)境下的安全風(fēng)險分析,在云計算安全的建設(shè)過程中�����,需要針對這些安全風(fēng)險采取有針對性的措施進(jìn)行防護(hù)��。和傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)方式相比���,云計算環(huán)境下的安全建設(shè)有其明顯的特點�,主要存在以下幾個方面的差異��。
3.1 云計算環(huán)境下一般性安全風(fēng)險的特點
在云計算的建設(shè)過程中��,盡管其在業(yè)務(wù)模型或者服務(wù)器虛擬化等方面有了革命性的變化�����,但是其應(yīng)用系統(tǒng)本身以及用戶訪問的行為并沒有發(fā)生本質(zhì)的變化:服 務(wù)器業(yè)務(wù)系統(tǒng)的安全交付���、用戶訪問的安全隔離和控制�、網(wǎng)絡(luò)本身對DDoS等惡意流量的攻擊防護(hù)�����、病毒蠕蟲���、惡意代碼和釣魚網(wǎng)站等安全威脅仍然存在���。因此, 云計算的安全防護(hù)首先需要考慮的是如何對這部分常規(guī)安全風(fēng)險進(jìn)行防護(hù)����。從這個角度看���,傳統(tǒng)的防火墻和入侵防御等產(chǎn)品形態(tài)仍然適合,而且涉及到的技術(shù)支撐和 設(shè)備的防護(hù)部署思路可以繼續(xù)借鑒�。當(dāng)然,在云計算環(huán)境下��,因為系統(tǒng)流量模型的相對集中���,對于安全設(shè)備的性能和擴(kuò)展性等方面有了一些新的要求��,系統(tǒng)需要支持 更高性能的安全防護(hù)�,尤其是當(dāng)安全作為一種服務(wù)對外提供的環(huán)境下����,更需要安全資源池在高性能可擴(kuò)展方面提供相應(yīng)的保障。
