摘要:宋體為了云計(jì)算的健康發(fā)展和等級保護(hù)工作在新形勢下順利推進(jìn)���,就不能忽視對云計(jì)算面臨的各類安全威脅的研究和分析�,并制定和建立相應(yīng)的等級保護(hù)政策技術(shù)體系�,應(yīng)對即將到來的云浪潮。
? ? 為了云計(jì)算的健康發(fā)展和等級保護(hù)工作在新形勢下順利推進(jìn)�,就不能忽視對云計(jì)算面臨的各類安全威脅的研究和分析,并制定和建立相應(yīng)的等級保護(hù)政策��、技術(shù)體系���,應(yīng)對即將到來的云浪潮����。在云環(huán)境中,除了傳統(tǒng)意義所面臨的各類安全威脅外�,也有新的商務(wù)模式帶來的新威脅。
????1逃逸威脅和隱蔽信道
??? 逃逸威脅是指在已控制一個虛擬化應(yīng)用(VM)的前提下����,通過利用各種虛擬系統(tǒng)安全漏洞�,進(jìn)一步拓展?jié)B透到Hypervisor甚至其它VM中,進(jìn)行Hypervisor級�、其它虛擬化應(yīng)用后門安裝,DDoS(抗拒絕服務(wù)攻擊)等攻擊����。這類威脅以及相關(guān)通信由于是在虛擬機(jī)以上各個VM之間發(fā)生的,而且大部分是在同一物理實(shí)體之上���,根本不經(jīng)過安全網(wǎng)關(guān)���、硬件防火墻等安全設(shè)備,即由于虛擬機(jī)之間共享硬件資源而引發(fā)的隱蔽通道����,這些威脅通過傳統(tǒng)防護(hù)設(shè)備根本無法檢測和防護(hù)。虛擬化環(huán)境下缺乏對VM間通信流量的可見性是我們面對的一大安全難題���。
????2 Web安全漏洞
????云計(jì)算服務(wù)推動了Internet的Web化趨勢�����,Internet是一個開放的���、無控制機(jī)構(gòu)的網(wǎng)絡(luò)��,而且與傳統(tǒng)的操作系統(tǒng)���、數(shù)據(jù)庫、C/S系統(tǒng)的安全漏洞相比�����,應(yīng)用層面安全問題更為突出��,多客戶���、虛擬化�����、動態(tài)�����、業(yè)務(wù)邏輯服務(wù)復(fù)雜��、用戶參與等這些web2.0和云服務(wù)的特點(diǎn)對網(wǎng)絡(luò)安全來說意味著巨大的挑戰(zhàn)�����,甚至是災(zāi)難����。云計(jì)算的安全問題還必須考慮比網(wǎng)絡(luò)安全更為復(fù)雜的問題���。
????3拒絕服務(wù)攻擊
??? 由于云平臺的大規(guī)模與高性能��,一旦遭受DDoS攻擊�����,云平臺是否有能力提供應(yīng)對的技術(shù)手段�����,使正常的應(yīng)用不受影響�����,是評價云計(jì)算平臺的一個重要指標(biāo)�。
??? 拒絕服務(wù)攻擊DoS和DDoS雖不是云服務(wù)所特有的。但是����,在云服務(wù)的技術(shù)環(huán)境中,單位中的關(guān)鍵核心數(shù)據(jù)��、服務(wù)如果離開了內(nèi)部網(wǎng)����,遷移到了云服務(wù)中心。更多的應(yīng)用和集成業(yè)務(wù)開始依靠互聯(lián)網(wǎng)����。拒絕服務(wù)帶來的后果和破壞將會明顯地超過傳統(tǒng)的網(wǎng)絡(luò)環(huán)境。因此服務(wù)和數(shù)據(jù)的隨時可用性本身不僅是一項(xiàng)非常重要的安全指標(biāo)��,而且其質(zhì)量的保證在一個存在惡意攻擊的環(huán)境里會造成其復(fù)雜度大大增加����。如何防止破壞正常應(yīng)用的DDoS攻擊是一個很大的挑戰(zhàn)。
4內(nèi)部的數(shù)據(jù)泄漏和濫用
??? 相對而言����,安裝在現(xiàn)有內(nèi)部環(huán)境中的應(yīng)用更易于檢查�����,而且也有了完善的檢查技術(shù)����,然而�����,對安裝在外部的云計(jì)算應(yīng)用如果沒有妥善的保護(hù)�,這些數(shù)據(jù)可能從外部云計(jì)算被非法泄露�,而且對其進(jìn)行檢查的難度非常大。
??? 當(dāng)用戶的敏感數(shù)據(jù)在云端處理的時候����,單位的重要數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云平臺的IT系統(tǒng)中。在多用戶環(huán)境中���,云平臺很難提供與多帶帶客戶環(huán)境相同的資源隔離等級和相關(guān)保障��,用戶無法對風(fēng)險進(jìn)行直接的控制����,數(shù)據(jù)的擁有者不能控制,甚至不知道數(shù)據(jù)的存儲位置����,多個不同等級的計(jì)算任務(wù)可能在一臺或多臺機(jī)器上運(yùn)行。
??? 有效保障云服務(wù)商自身內(nèi)部的安全管理和職責(zé)分離體系�、安全審計(jì),避免云計(jì)算環(huán)境中多客戶共存帶來的潛在風(fēng)險��,都成為云計(jì)算環(huán)境下用戶的重大安全顧慮�。
????5身份管理
??? 在等級保護(hù)中,主客體認(rèn)證�����、強(qiáng)制訪問控制—直是討論的焦點(diǎn)���,在云環(huán)境中如果不切實(shí)際解決這兩個問題�����,云的廣泛應(yīng)用是不現(xiàn)實(shí)的���。原先為了安全放在防火墻內(nèi)的數(shù)據(jù)��,現(xiàn)在放在了外部云計(jì)算環(huán)境中����,如何在多項(xiàng)服務(wù)中應(yīng)用角色����,策略的管理、多個身份有效管理�����、身份鑒定均面臨著很大的安全挑戰(zhàn)��。對員工���、客戶、參與者和工作負(fù)載的身份鑒定����、授權(quán)和審計(jì)是云計(jì)算安全性的未來方向。
????6不同云之間的互聯(lián)互通(可移植性)
??? 由于我國現(xiàn)實(shí)狀況����,在我國云平臺建設(shè)必將以各地���、各行業(yè)私有云的建設(shè)為主,尤其是對于國家重要信息系統(tǒng)和網(wǎng)絡(luò)�,由于目前云計(jì)算尚未在業(yè)界形成一個統(tǒng)一的標(biāo)準(zhǔn)化體系,無論是云平臺還是云服務(wù)的統(tǒng)一標(biāo)準(zhǔn)都沒有形成�����,這就給云計(jì)算產(chǎn)業(yè)的發(fā)展帶來了瓶頸�����,各個單位為了自己的云服務(wù)發(fā)展推出各自的平臺和服務(wù)標(biāo)準(zhǔn)�����,使得眾多云平臺和運(yùn)用服務(wù)用戶的利益和長遠(yuǎn)發(fā)展得不到保證���,極大地阻礙了云計(jì)算通用性和替代性以及軟件的適合性和繼承性的發(fā)展�����。
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/4009.html
