首頁(yè)>>>行業(yè)應用>>>企業(yè)     [相關(guān)廠(chǎng)商信息]

發(fā)表評論分享按鈕

云計算面臨七大安全威脅

2011/06/20

  安全問(wèn)題是擋在云計算規模商用道路上的巨大障礙。幫助人們解決對云計算安全威脅擔心的第一步,就是正確地識別安全威脅,以下是目前云計算面臨的七大安全威脅。

  威脅一:拒絕服務(wù)攻擊

  首先,云計算以寬帶網(wǎng)絡(luò )和Web方式提供服務(wù),其可用性方面將會(huì )受到挑戰,針對云計算服務(wù)的拒絕服務(wù)攻擊,需要云計算服務(wù)提供商認真調查、采取相應的專(zhuān)門(mén)保護措。其次,云計算快速彈性的特征,要求服務(wù)提供商自身必須具備非常強大的網(wǎng)絡(luò )和服務(wù)器資源,按需服務(wù)的特征,又對業(yè)務(wù)開(kāi)通和服務(wù)變更等環(huán)節提出了靈活性的要求。這兩個(gè)特征結合在一起,使得云計算服務(wù)很容易成為濫用、惡意使用服務(wù)的溫床。在2010年Defcon大會(huì )上,David Bryan公開(kāi)演示了如何在A(yíng)mazon的云計算服務(wù)平臺上以6美元的成本對目標網(wǎng)站發(fā)起致命的拒絕服務(wù)攻擊。利用云計算服務(wù)來(lái)破解密碼、搭建僵尸網(wǎng)絡(luò )等惡意使用案例也屢有發(fā)生。

  威脅二:不安全的接口和API

  “開(kāi)放”是云計算時(shí)代的一個(gè)重要的業(yè)務(wù)變革方向。云計算服務(wù)商需要提供大量的網(wǎng)絡(luò )接口和API(應用程序編程接口)來(lái)整合上下游、尋找業(yè)務(wù)伙伴,甚至直接提供業(yè)務(wù)。

  但是,開(kāi)發(fā)過(guò)程中的安全測試、運行過(guò)程中的滲透測試,以及測試工具、測試方法等,在針對網(wǎng)絡(luò )接口和API上都還不夠成熟,這些通常工作于后臺相對安全環(huán)境的功能被開(kāi)放出來(lái)后,將會(huì )帶來(lái)新的安全威脅。

  威脅三:惡意的內部員工

  Verizon Business最新的數據泄漏調查報告顯示,48%的數據泄漏是由于惡意的內部人士所為。云計算服務(wù)作為某種程度上的外包業(yè)務(wù),工作上有權限、有能力接觸并處理用戶(hù)數據的范圍進(jìn)一步擴大,其中包括用戶(hù)自己的內部人士、供應商員工、云計算服務(wù)商的管理維護人員、云計算服務(wù)商的供應商員工等。這種訪(fǎng)問(wèn)范圍的擴大,增加了惡意的“內部員工”濫用數據和服務(wù)的可能性。

  威脅四:共享技術(shù)產(chǎn)生的問(wèn)題

  資源的虛擬池化和共享是云計算的根本,但是這種共享并不是沒(méi)有代價(jià)的,最為典型的代價(jià)就是使得安全性降低。事實(shí)上,針對虛擬層的安全研究已經(jīng)被廣為重視,從2007年開(kāi)始,主流的虛擬層軟件屢有漏洞被發(fā)現。

  威脅五:數據泄漏

  數據泄漏是云計算、尤其是公共“云”最被人們擔心的問(wèn)題。企業(yè)或組織的管理層和IT決策者,需要仔細評估云計算提供商對數據的保護能力。很多威脅都可能導致云中的數據丟失和泄漏。云中關(guān)鍵數據的高密度聚合,給潛在的攻擊者帶來(lái)極大的誘惑。

  密鑰的管理也是一個(gè)挑戰,密鑰的丟失會(huì )導致數據毀壞,密鑰的國度分享又會(huì )削弱加密的效果。另外,由于同宿主機上其他客戶(hù)的法律取證要求,也可能會(huì )導致不必要的數據外泄和損失。

  威脅六:賬號和服務(wù)劫持

  傳統的服務(wù)和會(huì )話(huà)劫持已經(jīng)廣為人知,云計算給賬號和服務(wù)“劫持”又增添了不少新的含義。在云環(huán)境中,如果攻擊者能夠獲得你的賬號信息,他們就可以竊聽(tīng)你的活動(dòng)和交易,操縱處理的數據,發(fā)送虛假的信息,將你的客戶(hù)引到假冒的站點(diǎn),并且被“劫持”的服務(wù)和賬號可能會(huì )被利用,以便發(fā)起新的攻擊。

  威脅七:未知的風(fēng)險場(chǎng)景

  云計算服務(wù)商和用戶(hù)之間存在很大的信息不對稱(chēng)性。一方面,用戶(hù)選擇將自己的IT計算和服務(wù)外包給云服務(wù)提供商,就是為了解放和優(yōu)化自己的資源,所以沒(méi)有必要也沒(méi)有足夠的資源去全面洞察“云”中的所有細節;另一方面,云服務(wù)提供商出于商業(yè)機密和安全考慮,并不情愿分享所有的關(guān)鍵信息(即使是和安全直接相關(guān)的)。在這種情形下,云計算的用戶(hù)必然需要處理大量的未知安全風(fēng)險。

  實(shí)際上,這些未知安全風(fēng)險,也就是說(shuō)那些未知漏洞是云中真正的危險,而軟件版本、安全實(shí)踐、代碼更新、漏洞情況、入侵企圖、安全設計等,都是可以幫助評估自身所面臨的安全風(fēng)險的重要因素。

中國信息產(chǎn)業(yè)網(wǎng)-人民郵電報


相關(guān)閱讀:
云計算掃盲:去偽存真識破云計算9大謊言 2011-06-13
iMessage,Skype,Google Voice和電話(huà)號碼之死 2011-06-13
井星科技易奇志:這朵“云”,到底離我們多遠 2011-06-10
云計算是一種新的世界觀(guān) 2011-06-09
論電信運營(yíng)商如何發(fā)展云計算 2011-06-09

熱點(diǎn)專(zhuān)題:  云計算
分類(lèi)信息:  云計算_與_企業(yè)
 相關(guān)頻道:  云計算    
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 和林格尔县| 宁蒗| 乐昌市| 扎鲁特旗| 普兰店市| 新巴尔虎左旗| 福安市| 比如县| 荥经县| 新昌县| 宜宾县| 石柱| 昌黎县| 武义县| 建瓯市| 桂东县| 美姑县| 仲巴县| 夏河县| 石狮市| 鄂州市| 潍坊市| 成武县| 河南省| 永清县| 平塘县| 那坡县| 鄱阳县| 萝北县| 鄯善县| 托里县| 五华县| 安义县| 天峻县| 瑞昌市| 加查县| 高碑店市| 南城县| 揭西县| 汕尾市| 宜昌市| http://444 http://444 http://444 http://444 http://444 http://444