在十年不到的時(shí)間里,云計算已從一個(gè)有趣的新概念發(fā)展成為業(yè)界的一大主流市場(chǎng)。業(yè)界對云計算未來(lái)的期望普遍較高,摩根士丹利預測 Amazon網(wǎng)絡(luò )服務(wù)(AWS)將在2022年突破二百四十億美元年收入的大關(guān)。當然,任何單一一家供應商云計算業(yè)務(wù)的成功都完全取決于它幫助用戶(hù)消除關(guān)于云計算安全性擔憂(yōu)的能力,相關(guān)的問(wèn)題仍然出現在一些按需部署的項目中。
“高度虛擬化、多租戶(hù)環(huán)境更易于受到攻擊”這一說(shuō)法只是源于某種信念,即讓云計算如此吸引客戶(hù)的高水平可訪(fǎng)問(wèn)性和靈活性也為居心叵測的黑客開(kāi)啟了機會(huì )之門(mén)。
這些關(guān)于云計算漏洞的擔憂(yōu)往往會(huì )影響客戶(hù)是否把最重要應用程序遷往云計算的決策。然而,有跡象表明,云計算安全性已越來(lái)越不如以前那樣成為云計算發(fā)展的障礙。按需模式的魅力是如此巨大,以至于眾多企業(yè)都愿意放下對數據安全性和私密性的擔心,至少在實(shí)驗基礎上使用基于項目的基礎設施即服務(wù)(IaaS)部署以支持對短期資源的需求。
自信心差距
好消息就是云計算的下一波部署已取得相當的成功,這有助于增強用戶(hù)使用這一模式的信心。但是,在仍未使用云計算的企業(yè)與已使用云計算的企業(yè)之間仍然存在著(zhù)信心差距。研究公司comScore Inc.受微軟公司委托對200多家中小型企業(yè)(SMB)進(jìn)行了一次調查,結果發(fā)現不使用云計算服務(wù)的企業(yè)中有42%認為云計算是根本不可靠的。相比之下,在2013年6月進(jìn)行的一次調查中94%的中小型受訪(fǎng)企業(yè)表示,他們所使用的基于云計算的應用程序的安全等級要高于他們在內部實(shí)施的安全等級。這些調查結果都有力地支持如下觀(guān)點(diǎn),即很多企業(yè)事實(shí)上發(fā)現云計算最引人注目的好處之一竟然是,供應商可以提供一定程度的專(zhuān)業(yè)知識和集成安全性,這要比很多企業(yè)自身在內部實(shí)施的水平更高。簡(jiǎn)而言之,安全性是云計算供應商的一個(gè)關(guān)鍵區分點(diǎn)。
那么,什么樣的云計算特定漏洞和威脅是最危險的,以及供應商如何才能最好地保護他們的云計算環(huán)境呢?現實(shí)情況是,既不是安全威脅的一般性質(zhì),也不是部署遷移風(fēng)險的類(lèi)型與傳統環(huán)境有根本性的差別。攻擊者傾向于遵循相似的模式,并使用在傳統環(huán)境中已習慣使用的相同方法:繞過(guò)訪(fǎng)問(wèn)控制、發(fā)現有價(jià)值的數據、控制數據所在的資產(chǎn),然后盜取或泄露數據。但是,云計算的本質(zhì)特性就意味著(zhù)供應商需要調整他們的方法以解決按需環(huán)境的具體問(wèn)題。
采用分層方法,減少云計算漏洞的負面影響
正如他們保護傳統IT環(huán)境一樣,云計算供應商需要一個(gè)多層的方法來(lái)全面地解決安全性問(wèn)題,這個(gè)方法將集多種技術(shù)于一體,如訪(fǎng)問(wèn)管理、周邊安全性和威脅管理、加密、分布式拒絕服務(wù)(DDoS)緩解,以及私密性和合規性管理。但是,在一個(gè)共享的云計算環(huán)境中,諸如識別與訪(fǎng)問(wèn)管理這樣的組件已變得尤為重要,因為來(lái)自于多個(gè)客戶(hù)的數據都被存儲在同一個(gè)共享環(huán)境中,并通過(guò)同一個(gè)共享環(huán)境被訪(fǎng)問(wèn)。云計算供應商需要向客戶(hù)確保他們能夠提供一個(gè)高效的解決方案,它不僅能夠授權訪(fǎng)問(wèn),而且能夠在虛擬環(huán)境中使用諸如多重因素身份驗證的方法進(jìn)行身份驗證。
供應商還需要通過(guò)使用監控工具來(lái)解決管理程序安全性的問(wèn)題,這些監控工具能夠檢測可疑行為,其中包括非正常的流量模式和非正常的交易行為,這些非正常的現象有可能意味著(zhù)一個(gè)影響環(huán)境完整性的威脅。供應商還需要通過(guò)介紹他們是如何在邏輯上區分客戶(hù)數據,從私密性和兼容性?xún)煞矫婊卮痍P(guān)于數據混合的問(wèn)題。
很多黑客都會(huì )在云計算上發(fā)動(dòng)大規模攻擊,其目的在于讓環(huán)境超負荷運行而暴露出漏洞。至此,供應商需要采取正確的DdoS緩解措施以便于在攻擊行為影響環(huán)境之前發(fā)現異常流量。
此外,在一個(gè)多租戶(hù)的環(huán)境中,供應商需要確保把應用程序工作負載從傳統環(huán)境遷移出的企業(yè)已對一些因素正確配置通信設置——其中包括加密或非加密的數據通道、IP地址和主機名——所以它們是通過(guò)一個(gè)安全的通道進(jìn)行傳輸。
供應商在保護云計算數據時(shí)會(huì )面臨著(zhù)一系列的挑戰,但是事實(shí)上真正的考驗在于學(xué)習如何努力有效地與客戶(hù)進(jìn)行溝通,這將涉及介紹安全控制和突出供應商應對漏洞的突發(fā)事件等內容。
云計算的成功取決于很多的因素。雖然諸如價(jià)格和數據地理位置這樣的問(wèn)題是很重要的,但是真正體現云計算供應商能力的在于它能夠成為其客戶(hù)可信賴(lài)的伙伴,不僅提供適當的基礎設施,而且還能因為信守承諾而變得值得信賴(lài)。
