第4章云计算安全问题第4章云计算安全问题4.1云安全的提出4.2云安全隐患的分类4.3云安全防范4.4云计算安全技术框架4.5云安全的现状4.6小结第4章云计算安全问题4.1云安全的提出当前,云计算发展面临许多关键性问题,而安全问题首当其冲。随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。Gartner2009年的调查结果显示,70%以上受访企业的CTO认为近期不采用云计算的首要原因在于其存在数据安全性与隐私性的忧虑。第4章云计算安全问题云计算拥有全世界最专业的队伍对数据进行管理,从表面上看云计算好像是安全的,但是如果仔细分析,就会发现云计算的服务提供商并没有对用户给出细节的具体说明,如其所在地、员工情况、所采用的技术以及运作方式等。而近年来,Amazon、Google等云计算发起者不断爆出各种安全事故,这更加剧了人们的担忧。例如:2009年3月,Google发生大批用户文件外泄事件;2009年2月和7月,亚马逊的“简单存储服务(SimpleStorageService,简称S3)”两次中断导致依赖于网络单一存储服务的网站被迫瘫痪等。因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的各种安全问题。第4章云计算安全问题目前,云计算安全问题已得到越来越多的关注。著名的信息安全国际会议RSA2010将云计算安全列为焦点问题,CCS(CloudComputingSummit,云计算高峰论坛暨展览)从2009年起专门设置了一个关于云计算安全的研讨会。许多企业组织、研究团体及标准化组织都启动了相关研究,安全厂商也在关注各类安全云计算产品。本章通过分析当前云计算所面临的安全问题以及云计算对信息安全领域带来的影响,提出未来云计算安全技术框架及重要的科研方向,以为我国未来云计算安全的科研、产业发展做出有益的探索。第4章云计算安全问题图4-1信息安全技术发展阶段图第4章云计算安全问题由于系统的巨大规模以及前所未有的开放性与复杂性,其安全性面临着比以往更为严峻的考验。对于普通用户来说,其安全风险不是减少而是增大了。云计算将推动信息安全领域的又一次重大革新。安全管理也由信息安全产品测评发展到大规模信息系统的整体风险评估与等级保护等,如图4-1所示。第4章云计算安全问题4.2云安全隐患的分类1.来自内部的安全隐患美国一家咨询公司Gartner在2008年发布的一份《云计算安全风险评估》报告中称:云计算存在着七大安全隐患,可视为来自云内部的安全隐患。(1)特权用户访问。当用户把数据交给云计算服务提供商后,对数据最具有优先访问权的不是用户本人,而是服务提供商。Gartner建议用户应该了解更多管理数据者的信息,从而将风险降到最低。第4章云计算安全问题(2)合规性。用户最终要对自己数据的安全性和完整性负责,即便这些数据是交给云计算服务提供商托管的。传统的云计算服务提供商会接受外部审计和安全认证。如果云计算服务提供商拒绝接受审计和安全认证,用户就不能对数据进行有效的利用。(3)数据的位置。用户在使用云时可能不知道数据的确切位置,所以用户在选择云计算前应事先了解服务器位置,以及提供的服务是否符合相关国家的法律规范。(4)数据隔离。云计算的数据通常来自其他客户的数据共享环境,加密是有效的,但不是万能的。Gartner表示加密意外可以降低数据的可用性,甚至使数据完全无法使用。第4章云计算安全问题(5)数据恢复。即使用户了解自己数据放置在哪台服务器上,也应要求服务提供商做出承诺,必须对所托管数据进行备份,以防止出现重大事故时用户数据无法得到恢复。Gartner建议用户不仅要知道服务提供商是否有数据恢复的能力,还要知道服务提供商能在多长时间内恢复数据。(6)调查支持。Gartner认为在云计算中进行非法调查是不可能的,在云中进行调查特别困难,因为多个用户的数据可能设在同一地点,也可能分散在不断变化的一组主机和数据中心。如果用户得不到云计算服务提供商的承诺或有证据表明云计算服务提供商已成功支持过调查活动,那么调查是不可能进行下去的。(7)长期生存。云计算服务提供商提供长期发展风险的安全措施...
