安全问题是企业开展云计算业务的关键。最近几年,业界主流云服务商接连发生的安全事件暴露了云计算应用安全在服务可用性、内容安全与隐私保护方面存在诸多隐患。作为一种新型的计算模式,云计算的运营有别于传统IT业务,面临新的安全风险,主要包括技术风险和管理风险。
风险,也就是指我们不希望发生的事件发生的概率。在信息安全领域,风险就是一个恶意或非恶意暴露机密信息事件、或威胁数据一致性以及干扰系统和信息可用性事件发生的概率。任何接入互联网的组织都处于风险之中,他们都应考虑黑暗网络的弹性特性和扩展私有云计算和公共云计算网络的能力。
从技术角度来看,云服务系统和传统IT系统类似,传统IT系统中各个层次存在的安全问题在云环境中仍然存在,如系统的物理安全、主机、网络等基础设施安全、应用安全等。云服务器中,硬件平台通过虚拟化为多个应用共享。由于传统安全策略主要适用于物理设备,如物理主机、网络设备、磁盘阵列等,而无法管理到每个虚拟机、虚拟网络等,使得传统的基于物理安全边界的防护机制难以有效保护共享虚拟化环境下的用户应用及信息安全。
用户在使用云服务器的过程中,不可避免地要通过互联网将数据从其主机移动到云上,并登录到云上进行数据的管理。在此过程中,如果没有采取足够的安全措施,将面临数据泄漏和被篡改的安全风险。
业务专家理解和接受与云计算客户和云计算供应商相关的风险。无论你担任了什么样的角色,要管理什么样不想要发生的潜在事件,都必须实施风险管理。在云计算关系的特定情况下,双方的风险管理工作都是必要的,其中企业用户和云计算供应商都必须拥有成熟的风险管理计划。成熟度是通过一个有管理、有周期性报告以及维持低风险状态定量证据的计划来证明的。
用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务提供商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析能力等提出了挑战。同时,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
随着大数据时代的来临,传统的存储架构无法解决高速的数据增长,越来越多的企业使用大数据平台存储数据。大数据平台大多是基于一些开源软件开发而成,其复杂的架构,模块的不稳定,数据的跨地域传输等特点,都会给大数据平台的安全带来极大的威胁。当使用云计算后,你将无法知道数据确切的存放位置,甚至不知道是被存放在了哪个国家。
这对云计算普及提出了更高的要求和更大的挑战。在网络安全等级保护制度中,云服务商和云租户应该共同承担安全责任,建设安全防护措施。而现有云环境下,除提供边界的安全防护和基本虚拟网络保护外,缺少更丰富的安全服务,更无法直接为租户提供安全服务,云租户难以便利实现其网络安全防护,履行其安全职责,存在合规性风险。
