云计算势在必行 安全问题不容小觑
中国IDC圈7月14日报道:在人人谈云的今天,多少企业与组织正在追赶云计算的风潮?又有多少围观群众正等待良机准备插上一脚?在我们大展拳脚迈向云之前,我们是不是要问问自己,云计算有必要吗?
云计算的必要性
云计算(Cloud computing),是一种新兴的共享基础架构的方法,可以将巨大的系统池连接在一起以提供各种IT服务。云计算指基于互联网的超级计算模式。即把存储于个人电脑、移动电话和其他设备上的大量信息和处理器资源集中在一起,协同工作。
云计算是否必要?举一个例子来说说这个问题。过去,人们自家打井,各喝各的水,满足自身所需即可。可是随着人口越来越多,对水的需求也越来越大,开始的时候,自己家不够还可以去邻居家借点儿,可是总是不够的话就没法借了,而且水资源分配不均,有的人渴有的人撑,这该如何解决?为此,政府统一了水资源,修起水管到每家每户,各家按需取用,同时按需付费,这就是我们所说的自来水。
简单来说,云计算就像这自来水。它把IT资源当作服务来提供,几乎所有IT资源都可以作为云服务来提供:应用程序、计算能力、存储容量、联网、编程工具,以至于通信服务和协作工具。
几乎所有IT资源都可以作为云服务来提供:应用程序、计算能力、存储容量、联网、编程工具,以至于通信服务和协作工具。
云计算具有低成本高效率的优点。在许多情况下,各种各样的机构和个人都喜欢作为一种服务来购买 “计算”,而且那些已经在建超级分布式数据中心的公司毫无例外地会选择作为一种服务来提供这种基础设施。
云计算是一种趋势,势不可挡,就像当年的井水变成如今的自来水。
云计算的安全性
既然部署云计算势在必行,那么我们就做好充分准备迎接云计算的大驾光临吧!然而在部署云的过程中,安全问题不容小觑。谈到云计算,现实关于安全的争论似乎一直都没有停息过。
云计算的安全问题大致分为三个方面。第一方面,云计算的服务提供商他们的网络是安全的吗,有没有别人闯进去盗用我们的帐号?他们提供的存储是安全的吗?会不会造成数据泄密?这些都是云计算服务提供商们要解决、要向用户承诺的问题。第二方面,用户在使用云计算提供的服务是也要注意:在云计算服务提供商的安全性和自己数据的安全性上做个平衡,太重要的数据不要放到云里,而是藏在自己的保险柜中;或将其加密后再放到云中,只有自己才能解密数据,将安全性的主动权牢牢掌握在自己手中,而不依赖服务提供商的承诺和他们的措施。第三方面,用户要保管好自己的帐户,防止他人盗取你的帐号使用云中的服务,最后却让你买单。
不难看出,云计算所采用的技术和服务同样可以被黑客利用来发送垃圾邮件,或者发起针对下载、数据上传统计、恶意代码检测等更为高级的恶意程序攻击。云计算的安全技术同传统的安全技术一样:云计算服务提供商需要采用防火墙保证不被非法访问;使用杀毒软件保证其内部的机器不被感染;用入侵检测和防御设备防止黑客的入侵;用户采用数据加密、文件内容过滤等防止敏感数据存放在相对不安全的云里。
云安全的几个核心问题
一、身份与权限控制
大数用户对于云计算缺乏信心,首先是因为对于云模式下的使用权限和管理权限有顾虑。在虚拟的、复杂的环境下,如何保证自己的应用、数据依然清晰可控,这既是用户的问题,也是云服务提供商的问题,而这一点也是信息安全界看得比较清楚的。因此,身份与权限控制解决方案成为云安全的核心问题之一。
认证控制方面的解决方案已经能够基本覆盖全部业务流程和大多数业务方向,而简化认证管理、强化端到端的可信接入方面将会是下一阶段发展的方向之一。
二、WEB安全防护
云计算模式中,WEB应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种WEB攻击手段,则直接影响到云计算的顺利发展。
三、虚拟化的安全
虚拟化是作为云计算最重要的技术支持之一,也是云计算的标志之一。然而,虚拟化的结果,却使许多传统的安全防护手段失效。从技术层面上讲,云计算与传统IT环境最大的区别在于其虚拟的计算环境,也正是这一区别导致其安全问题变得异常“棘手”。虚拟化的计算,使得应用进程间的相互影响更加难以捉摸;虚拟化的存储,使得数据的隔离与清除变得难以衡量;虚拟化的网络结构,使得传统的分域防护变得难以实现;虚拟化的服务提供模式,使得对使用者身份、权限和行为的鉴别、控制与审计变得极其重要。
云安全服务
面对云计算的安全问题,现如今有许多基于云服务提供的安全,包括Web和邮件过滤、网络流量访问控制和监控以及用于支付卡业务的标记化。不同安全服务的一个重要区别是,一些是“在云中”的、一些是“针对云”的,即那些集成到云环境中作为虚拟设备提供给用户使用和控制的安全服务。
在选择云安全服务时,要多同服务提供商沟通,了解他们能具体提供什么以及自己的需求他们是否能满足,最好签订一份服务协议,这有助于降低企业的风险。
Gartner预计,以云计算方式提供的安全应用服务,在2013年将会增长三倍。云安全状况变化非常快,安全技术人员必须了解影响他们工作的种种因素,包括政府法律和行业标准等,并且他们应该清楚这些因素是否被正确运用到风险评估方法中,评估方法是否定期修改。