對于企業(yè)來講�����,云計算在給其帶來機(jī)遇的同時��,也帶來了很多長期的挑戰(zhàn)�,比如可擴(kuò)展性���、技術(shù)更新和成本問題等����。然而�,云計算所面臨的真正問題不是能力方面,而是安全���;而安全的主要問題����,又在于人的看法。
對于企業(yè)來講��,云計算在給其帶來機(jī)遇的同時�����,也帶來了很多長期的挑戰(zhàn)��,比如可擴(kuò)展性��、技術(shù)更新和成本問題等���。然而�,云計算所面臨的真正問題不是能力方面��,而是安全;而安全的主要問題�,又在于人的看法。
云安全更容易被忽視
事實(shí)證明�,云安全的重要性相比傳統(tǒng)的數(shù)據(jù)中心安全有過之而無不及。但現(xiàn)實(shí)中�����,其所得到的重視程度卻并不能與之相匹。那么這是怎樣的原因造成的呢?場所不同��。傳統(tǒng)數(shù)據(jù)中心占地面積大����,容易被人接受,而云技術(shù)看不到摸不著�����,很容易被人忽視�。
不在身邊的數(shù)據(jù)中心�,安全易忽視
而且,企業(yè)的IT團(tuán)隊將云服務(wù)交給云供應(yīng)商�����,這就更容易讓人產(chǎn)生懈怠����。傳統(tǒng)數(shù)據(jù)中心是一個機(jī)構(gòu),用戶可以隨時查看其物理層面的任何狀況;而云計算則是完全抽象的理念����,其任何異常狀況的出現(xiàn)都可能是一次安全事故�����。
為了解決這一問題���,我們可以從云基礎(chǔ)設(shè)施即服務(wù)(IaaS)來看當(dāng)今時代的云環(huán)境,尋找能夠提高用戶云安全并保持下去的方法�。
虛擬機(jī)管理程序
對于在同一物理硬件中運(yùn)行多個虛擬機(jī) 的情況,管理程序是其核心所在����。其主要功能為幫助處于同一硬件間不同虛擬機(jī)安全分離互不干涉。
IaaS提供很多安全服務(wù)
而這樣做的最大好處在于虛擬機(jī)管理程序可以幫助有效的降低可能被攻擊面����,提高虛擬機(jī)安全性,防止攻擊者跳過虛擬機(jī)管理程序直接接觸虛擬機(jī)�����,降低風(fēng)險�����。
虛擬機(jī)管理程序并非新技術(shù),其存在已有數(shù)十年���。而隨著不斷測試及發(fā)展�,這一技術(shù)的安全性越發(fā)強(qiáng)大��。與操作系統(tǒng)不同���,云服務(wù)的漏洞不可能每天都能有所發(fā)現(xiàn)���,很難有明確的報告用于確認(rèn)漏洞,采用虛擬機(jī)管理程序降低風(fēng)險無疑是可靠的��。
透明度
在過去��,有時搭建一個服務(wù)器之后卻忘了將其添加到庫��。這種失誤會直接導(dǎo)致很嚴(yán)重的安全事故發(fā)生����,但這在云環(huán)境里卻幾乎是不可能發(fā)生的事情�。因為云環(huán)境幾乎是完全透明的,用戶無法避開服務(wù)器��、工作站、防火墻或者云環(huán)境中的其他設(shè)備����。
在云端,危險動作透明可見
此外����,云環(huán)境的基礎(chǔ)網(wǎng)絡(luò)和安全架構(gòu)幾乎是完全開放的,但也正因為完全可見��,這一架構(gòu)的安全情況明顯增強(qiáng)���。在如此透明的云計算環(huán)境中使用正確的工具來收集和管理數(shù)據(jù)�����,該過程所涉及的危險動作都可由云合作伙伴所發(fā)覺�,解決問題也就更能有的放矢�。
配置管理
在云端,配置管理是一個需要高度安全環(huán)境的重要元素�。從安全角度來看,比如當(dāng)用戶需要啟動了一個新的服務(wù)器時�,配置會被預(yù)定后很快完成。而在傳統(tǒng)環(huán)境下����,這一過程可能需要數(shù)個小時�����,會涉及到多個層面��。而云端化后這一改變雖不起眼��,這卻是硬件供應(yīng)商所無法解決的問題���。
小動作,大變化
云環(huán)境可以幫助用戶迅速打包復(fù)制所用配置�,無論是作為服務(wù)器的一部分還是機(jī)器配置過程自動化的一部分。無論用戶創(chuàng)建多少新的工作�����,在云端都會呈現(xiàn)配置后的最新狀態(tài)����,這一過程是全自動的���,可以為用戶節(jié)省很多時間�����,有著非常積極的作用����。
云端安全審查
以美國為例,美國的聯(lián)邦信息安全管理法案(Federal Information Security Management Act defines����,F(xiàn)ISMA)定義了一個云部署時全面的安全框架系統(tǒng)和服務(wù)。而這一法案旨在為云提供商提供一個標(biāo)準(zhǔn)化的管理�。并且為云操作中添加一些特定操作增加安全性。
安全審查�,步步為營
該法案規(guī)定,所有云產(chǎn)品必須滿足安全要求����。這就意味著在使用云計算的初始時期就可以獲得一個超出目前范圍的安全保障。FISMA所提供的框架經(jīng)過了大量的驗證來滿足云基礎(chǔ)設(shè)施要求��。
作為客戶��,還必須要接受審查和云提供商的安全評估及控制���,必須提供一個全面的安全計劃��,這一計劃將被用于減少用戶的操作過程�。而這種審查制度可有效減少50%的云事故。
合作與責(zé)任
在業(yè)務(wù)置于云端后�,云服務(wù)提供商與用戶的關(guān)系絕不僅僅是商業(yè)合作,而且還會是重要的安全合作伙伴��。安全是雙方共同的責(zé)任����。云提供商還需要負(fù)責(zé)基礎(chǔ)設(shè)施的程序管理,負(fù)責(zé)操作系統(tǒng)和應(yīng)用程序運(yùn)行����,虛擬機(jī)管理等。
IaaS重要���,卻不是全部
而客戶則需要控制云端訪問情況�����,比如一些應(yīng)用程序數(shù)據(jù)�����、身份驗證��、授權(quán)等都屬于用戶的責(zé)任范圍�。用戶需要增加數(shù)據(jù)的加密級別��,并且盡量注意數(shù)據(jù)在傳輸和接受過程的安全情況���。需要用正確的方式保障訪問安全���,以免無意中造成巨大的損失。
在IaaS云環(huán)境方面的安全是一個十分復(fù)雜的問題�,提供固定的基礎(chǔ)設(shè)施也并非容易的事情。用戶需要花費(fèi)更多的世界和精力來專注于安全和環(huán)境問題���。
云安全重要���,需更多合作
IaaS提供商可以提供硬件基礎(chǔ)設(shè)施和軟件方面的虛擬機(jī)技術(shù),而PaaS和SaaS方面則需要更多的服務(wù)提供商來進(jìn)行幫助����,這會涉及到用戶的系統(tǒng)和數(shù)據(jù)安全。也意味著更多應(yīng)用層的安全控制需要用戶來做出努力�。我們不可能指望IaaS提供商來解決PaaS和SaaS安全問題。
總而言之����,云安全不是一個簡單可以做到的事情�����。如果僅僅指望云提供商來保護(hù)你的安全���,那么安全就形同空談。
