前面已经提到,互联网时代中传统的安全威胁在云计算服务中同样存在。2009年,云安全联盟(CloudSecurity Alliance,CSA)发布《云计算关键领域安全指南》并更新到版本2.1。该指南主要从攻击者的角度总结出云计算环境可能面临的12个关键安全域。之后CSA又发布了一份云计算安全风险简明报告,将安全指南浓缩为7个最常见、危害程度最大的安全威胁。下面,按照从低到高、由内及外等层次一一列出。
1)基础设施共享问题:攻击者获取laaS供应商的非隔离共享基础设施的不受控制访问权;
2)未知的风险:未知的安全漏洞、软件版本、安全实践、代码更新等;
3)不安全的接口和API:接口质量和安全没有得到保障以及第三方插件的安全;
4)账户或服务劫持:攻击者获得云服务用户的凭据,导致云服务客户端问题;
5)数据丢失或泄漏:云中不断增长的数据交互放大了数据丢失或泄漏的风险;
6)不怀好意的内部人员:从组织内部发起攻击,如果公司使用了云服务,威胁将会进一步放大;
7)滥用和恶意使用云计算:利用云服务发送垃圾邮件或传播恶意代码等恶意活动。
较早时间,美国信息技术研究和咨询公司Gartner也发布了《云计算安全风险评估》报告。该报告主要从云服务提供商的安全能力角度及其潜在情况或事件下受威胁程度提出云计算环境下的安全风险,主要包括:(www.xing528.com)
1)特权用户接入:供应商的管理员处理敏感信息的风险;
2)可审查性:供应商拒绝外部审计和安全认证的风险;
3)数据位置:数据存储位置未知的隐私风险;
4)数据隔离:共享资源的多租户数据隔离;
5)数据恢复:供应商的数据备份和恢复能力;
6)调查支持:供应商对不恰当或非法行为难以提供取证支持;
7)长期生存性:服务稳定性、持续性及其迁移。
如果仅从字面上简单理解云计算的安全威胁和安全风险,上面列出的条目在互联网时代的IDC(Internet Data Center,互联网数据中心)就都已经出现,并且传统的安全模型和防御体系也有较为完善的理论指导和实践方案,在物理层面、系统层面、网络层面、甚至Web应用层面已经有了比较成熟的安全产品。那么是否可以完全照搬这些互联网安全解决方案而直接运用到云计算体系中吗?答案是否定的。下面,我们从云计算安全模型和关键技术等方面进行说明。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
