浅析云计算产业的安全性问题
中国IDC圈9月30日报道:我们大家都知道,云计算代表了未来计算机服务的发展方向,它将广泛应用已经是大势所趋,越来越多的企业已经开始关注云计算服务。然而最近一系列影响较大的网络故障,使得人们对云计算的安全性忧心忡忡。
尽管云计算的概念因各公司的定义而有所不同,但其实质都是利用网络为企业和用户提供服务或应用。这些应用中既有软件的,也有硬件的。例如亚马逊的S3服务就是通过网络为用户提供服务器存储的服务。即每个计算小时收取10美分、每个存储单元15美分的标准费用。而Google提供的GoogleApps则是类似微软的Office的软件应用。
但就是这两个应该说是云计算最早的倡导者和提供者则无一例外地在今年发生了因网络而导致服务中断的问题。这里先不说它们提供的服务如何,单就网络这一提供服务的途径就明显缺乏可控性(网络依赖于电信运营商)和可靠性(网络中断导致服务的不可用)。而这种可控性和可靠性的缺乏往往会给用户,尤其是大的企业用户造成不可估量的损失,这也就很好地解释了,为何云计算发展到今天,其用户多是开始创业的Web2.0公司或是中小企业。
另外就是云计算的安全性至今仍被多数的企业和用户所质疑。为此,Gartner在近日发布的一份名为《云计算安全风险评估》的报告,列出了云计算技术存在的7大风险。即特权用户的接入;可审查性;数据位置;数据隔离;数据恢复;调查支持和长期生存性。
也许正是由于云计算可靠性和安全性的软肋,延缓了云计算的应用和普及。当然,企业转向云计算的速度之慢也引起了业内的担忧。
事实上,云计算的基本思路十分简单:由服务提供商的数据中心负责存储过去一直保存在最终用户个人计算机上或企业自己数据中心的信息,用户通过互联网远程访问这些应用程序和数据。基于云计算本身的特点,再加上最近由于信贷危机的爆发和全球经济持续衰退,众多企业不得不压缩包括IT预算在内的各种预算,使得云计算的优势显得更为突出:云计算通过外包所有支持服务大幅度降低总拥有成本(TCO)。
由于设备采购成本都由服务提供商来承担,因而可以降低与支持应用程序和数据存储所需的IT设备的采购成本,包括服务器和PC的成本。此外,由于减少了数据中心的空间占用,因而可以减少租金、电力和冷却需求。另外还有一些隐形好处,比如从总体上简化应用支持环境以及提供更好的伸缩性,允许企业根据经济形势的变化决定服务的扩张或收缩。
云计算的风险
降低总拥有成本对于企业来说很有吸引力,但是,转至云环境意味着要依靠第三方来提供服务,而且这种服务现在可能来自不同的地区,并且可能位于其他国家。委托第三方提供服务的风险可能很大,而且对一些企业来说这个步子可能迈得太远了,很有可能风险比业务好处更大。
同时,这种类型的服务也意味着使用者高度依赖广域网设施,而广域网成本的增加可能会减少部分成本节省,结果可能证明访问一个集中式庞然大物的成本更高。因此,尽管云计算存在富有说服力的成功案例,但也伴随着风险,与现有的标准台式PC或自有数据中心模式相比,它可能不够可靠。
那么,这对安全会有什么影响呢?我们首先从对保密性的潜在影响说起。用户在多大程度上“拥有”这些数据?服务提供商有什么义务?把数据转移到提供商的数据中心会提高安全性吗?当然,安全是可以做到的。
管理完善的数据中心不仅能够确保数据的隐私性,而且还能确保数据不会受到毁坏;进行适当检查和核查、撰写完善的合同与服务级别协议(SLA)可以确保保密性、完整性和可用性义务得到明确的定义和执行,但是这不能消除对第三方的依赖性。而且,即使已经有规范而且完善的合同,我们仍可能看到许多失败案例,而一旦失败很可能意味着该企业必须重新启用和补充各种关键应用基础设施,以维持Web门户等系统的运行。
而且,在采用云计算的过程中还可能出现新的威胁。比如,对正在努力降低成本的企业,需要安全远程访问的家庭工作者可能会增加。因为不管是从总体拥有成本上考虑,还是企业在采用云服务后所能带来的灵活性来看,这都是值得一试的。但是,随着管理层将注意力转移到落实“云”的好处上,在保证必要的安全性方面关注程度很有可能降低。
这将出现重大风险,比如给黑客留下一些机会——他们通过寻找云环境内的安全漏洞,来获取对用户社区和终端设备的未授权访问。而且,由于数据和应用程序已经实现了集中,他们的回报相当丰厚。黑客可以将这种权限用于其他恶意活动,例如身份盗窃以及破坏同一环境中存储的其他数据等。
急需解决的云安全问题
为了应对这些威胁,政府政策需要如何改变?到目前为止,不少政府已经注意到云计算,但是在允许其数据由第三方控制,特别是控制权的丢失意味着数据可能被转移到其他国家方面,政府却退缩了,过去的事实已经证明政府机构对此极其敏感。
在目前的计算环境中,防范驻留在用户PC上的病毒软件发起的恶意攻击是一个重大难题,当前的趋势是业余黑客继续演变为违法黑客。而云计算环境对违法黑客极具吸引力,因为云本身就是隐藏这类恶意软件的更好场所!
因此,我们可以肯定,2009年木马活动将会大幅增加,这些活动不只针对政府和国防承包商等大目标,而且也针对那些防守力薄弱的金融服务企业。部署云计算设备的企业将需要更详细地了解这些类型的攻击,特别是如何通过具有“零天”检测功能的24(小时)×7(天)响应来检测和拒绝这些攻击。
随着互联网的快速发展,新的威胁总是在层出不求。对云计算的争论虽然褒贬不一,但作为一家安全企业必须向用户保证——任何一种架构自身的安全性要得到保障,其次有助于用户解决安全威胁,加固系统。不论网格计算、广域计算,还是如今热炒得云计算,一切都是刚刚起步,孰优孰劣只有时间可以证明。