云时代的恐慌 盘点云计算最严重威胁
中国IDC圈11月15日报道:云计算已经进入落地阶段,发展大家更是有目共睹,很多企业开始考虑或是已经拥抱云计算。云计算给中小企业带来的福利也是多之又多,节省开支,创造新的资源等等。这些都是云计算的功劳,只是在这些优点之中,大部分的人还是在担心它存在的缺点,其中最受关注的就是安全问题。对云计算中的威胁与风险进行分析,有助于认清云计算的利弊,充分利用云计算的优势,同时采取合适的措施避免损失。
安全威胁
根据IDC的调查,云安全问题一直是云计算中最受关注的方面。国内的报告也有类似的结论,调查的受访对象都有技术安全性方面的担忧,恰恰是这种担忧阻碍其迁移到云计算平台。
事实上,有些云服务提供商会对用户的数据进行加密,同时还会将用户的数据进行备份,一段时间后才会摧毁这些数据,所以企业在走入云端之前务必做好这方面的风险预估以及应急方案。
因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析,并着手解决云计算所面临的安全问题。
云计算管理着企业的关键数据,企业和个人是不是会更容易成为黑客的攻击对象呢?这也许不是一个常见的问题,但不是没有发生的可能,鉴于云计算数据安全的问题,如医疗、金融等数据敏感型企业都不被建议应用云技术。
数据威胁
数据问题对每位CIO来说都是头等大事。因为泄露带来的最大噩梦就是自己公司敏感的内部数据落入了竞争者之手,这也让高管们寝食难安,云计算则为这一问题增加了新的挑战。
数据丢失对于消费者和企业双方而言,数据丢失都是非常严重的问题。而存储在云中的数据则可能因为其他的原因而造成丢失。云服务供应商的一次删除误操作,或者火灾等自然因素导致的物理性损害,都可能导致用户数据丢失,除非供应商做了非常到位的备份工作。
但数据丢失的责任并非总是只在供应商一方,比如如果用户在上传数据之前加密不妥当,然后自己又弄丢了密钥,那么也可能造成数据丢失。
内部操作问题
不论是在企业内部还是云计算服务提供商内部,人员的恶意操作都是非常危险的,同样后果也非常严重。云服务提供商肯定不会透露其雇员在物理服务器和虚拟化方面的水平,更不会告诉你他的分析和报告政策。
恶意的内部人员在安全行业,来自内部恶意人员造成的威胁已经成为一个争议话题。对组织存在威胁的恶意内部人员可能是那些有进入企业组织网络、系统、数据库权限的在任的或曾经的员工,承包商,或者其他业务伙伴,他们滥用权限,导致企业组织的系统和数据的机密性、完整性、可用性受损。
这也就意味着只要有了一定级别的授权,内部人员就可以获得机密数据并控制云服务,听着就恐怖对吧!其实,用户是可以获得这些操作的信息,只要在签订服务级别协议的时候提出来就可以了。
服务中断及攻击问题
从这几年的云计算服务经验来看,总是有一些常见的中断故障发生,其中包括数据备份、停机时间和数据中心脱机。庆幸的是这些云计算中断故障是可以预见的。
解决停电故障的最好方法就是防止停电,毕竟没有百分百可靠的服务器。所以笔者建议企业选择一个能够提供众多服务中断解决方案的云计算服务提供商。
除了服务中断问题还有拒绝服务攻击的问题。拒绝服务攻击就是指攻击者阻止正常用户正常访问云服务的一种攻击手段。通常是迫使一些关键性云服务来消耗大量的系统资源,例如处理进程、内存、硬盘空间、网络带宽,导致云服务器反应变得极为缓慢或者完全没有响应。
拒绝服务攻击(DDoS)引起过许多的麻烦,并一直被媒体所关注,他们的攻击可能并无实质性目的。非对称应用程序级别拒绝服务攻击所瞄准的就是Web服务器、数据库或其他云计算资源脆弱的这一点,然后在应用程序上运行一小段恶意程序,有时甚至不足100个字节。
还有一些出于抢占市场或其它目的的考虑,某些云服务提供商对登记流程管理不严格,云服务较容易获得。不法分子能以低成本的利用云计算平台发送大量垃圾邮件、制造或托管恶意代码、大规模的破解密码、DDOS攻击、制造及管理僵尸网络等。
调查审计问题
云计算中,计算、存储、带宽服务可在全球范围内跨国获取,而用户提供的账户信息可能是伪造的,加上不同国家和地区对违法行为的取证需求不尽相同,因此对基于云计算平台的网络犯罪行为很难进行追查。当平台中的资源来自多个、多层次的第三方供应商时,溯源更为困难。
另一方面,云计算平台存储有多家客户数据,在调查取证过程中,供应商不一定配合,如果配合,将给其它客户的业务带来风险。例如,谷歌多次向美国政府提交维基解密志愿者的邮箱数据,这意味着Gmail的用户存在隐私被泄露的风险。再者,在资质审计的过程中,服务商未必提供必要的信息,使得第三方机构不一定能对服务商进行准确的、客观的评估。
审查不足降低成本,运营效率,安全提升,这些优点让人们对云计算趋之若鹜,对于那些有资源有能力来合理利用云技术的企业来说,这确实是一个很实在的目标,但有很多企业实际上在一拥而上的大潮里,并未真正的明确的了解这一技术的全貌。
如果对云服务供应商环境、应用程序、运营责任(如事故责任、加密问题、安全监控)等没有充分的了解,企业组织如果贸然采用云计算,就可能面临着认知不足的各种未知的风险,这恐怕比眼下的风险要更加严重。
其实综上我们可以看出与传统数据中心服务相比,云计算具有诸多优点,如规模化的效益,能实现快速、智能的资源扩展等。但也要意识到文中分析的这几类安全威胁与风险,采取适当的措施,扬长避短,让更多的应用受益于云计算服务。