浅论安全问题云计算环境下安全理由及其对策
最后更新时间:2024-04-11
作者:用户投稿
本站原创
点赞:17161
浏览:72586
本站原创
点赞:17161
浏览:72586
论文导读:
摘要:随着云计算的深入应用,云计算安全问题应运而生,本文在分析云计算安全问题以及云安全发展的现状、云计算安全问题给用户带来的影响之后对云安全风险从IaaS、PaaS、SaaS三个方面进行了分析,并在此基础上分别提出了相应的解决对策。
关键词:云计算;云安全;安全对策
1007—9599 (2012) 14—0000—02
一、引言
云计算以无人可挡的气势汹涌而来,人们甚至还没有认识云计算,云服务就已经走进千家万户,它使我们的生活更加丰富多彩。然而,在它带来方便的同时,也带来了云安全的相关问题。本文接下来将分析云安全的相关问题并尝试给出相应的应对策略。
二、云计算
云计算安全从模型体系结构上划分,又可以分为IaaS安全风险、PaaS风险、SaaS风险,接下来本文将详细介绍一下三种风险。
②计算服务性不稳定。主要包括硬件与软件问题,硬件问题包括服务器、存储、网络的问题,硬件的不兼容、不稳定、以及不易维护性,这都有可能造成计算机性能的不可靠;软件主要指统一部署与硬件之上的虚拟化软件的可靠性能,如兼容性、稳定性等。
③远程认证风险。IaaS资源在远端,因此用户需要进行登录,因此就存在用户信息被盗用,修改等认证风险。
④服务中断。包括数据中心宕机,停止对外服务,以及战争、灾难、电力供应等的毁灭性破坏。
②综合考虑数据中心软硬件部署。在硬件选用中,考虑品牌厂商,硬件的选择要综合考虑质量、品牌、易用性、、高可维护性等一系列因素,并选择性价比高的厂商产品。在虚拟化软件选择中,也需要在、厂商、质量之间平衡。建议有条件的客户首先聘请咨询公司进行咨询。市场上,目前有三个云计算联盟可以提供完整的云计算解决方案,包括从底层的硬件到上层的软件。分别是Cisco+EMC+VMware,IBM,HP+Microsoft。
③建立安全的远程管理机制。根据定义,IaaS资源在远端,因此你需要某些远程管理机制,最常用的远程管理机制包括:VPN:提供一个到IaaS资源的安全连接。远程桌面、远程Shell:最常见的解决方案是SSH。Web控制台UI:提供一个自定义远程管理界面,通常它是由云服务提供商开发的自定义界面(如管理亚马逊AWS服务的RightScale界面)。
④建立健全IT行业法规。在云服务中,用户的焦虑很大一部分来自于不知道自己的数据究竟存储在哪,通过建立健全法规可以对数据泄露和数据丢失等问题进行改善,减少用户对云服务的不信任。
⑤针对突然的服务中断等不可抗拒新因素,采取两地三中心策略[5]。服务中断在IT环境中始终存在,在设置云计算摘自:本科生毕业论文www.7ctime.com
数据中心是,最好采用两地三中心策略,进行数据的备份。这种策略主要指在数据中心附近(10km以内)设置一同城灾备中心,同时在别的城市(可以跨越几个省份)设置一个异地灾备中心。
①应用配置不当。在云基础架构中运行应用以及开发平台时,应用在默认配置下安全运行的概率机会基本为零。因此,最需要做的事就是改变应用的默认安装配置。②平台构建漏洞,可用性、完整性差。任何平台都存在漏洞的风险,有些平台极端环境下可用性、完成性的工作能力不够,比如在大量网络连接下,web服务器的承受能力等。
③SSL协议及部署缺陷。
④云数据中的非安全访问许可。对于PaaS用论文导读:FederalInformationSecurityManagementAct)认证,是业界第一家以FIA—Moderate等级获得FIA认证的多客户使用的云端套件。(三)微软微软在2009年专业开发者大会(PDC,ProfessionalDevelopersConference)上透露了自己代号为“Sydney”的安全计划。Sydney计划面向虚拟化、多租户的云环境,提供一种新安全结构,以帮
户而言,第四个需要考虑的威胁是需要解决对云计算中数据的非安全访问问题。尽管说这似乎是一个特定环境下的问题,但许多应用实际上存在严重的信息漏洞职称论文范文www.7ctime.com
,数据的基本访问许可往往设置不当。从安全的角度讲,这意味着系统需要批准的访问权限太多。
②保证补丁能够及时得到更新。需要依靠应用供应商来提供正确应用配置或配置补丁的具体步骤。这里最关键的问题是要及时,必须要确保自己有一个变更管理项目,来确保SSL补丁和变更程序能够迅速发挥作用。
③重新设计安全应用。要解决这一问题,需要从两方面来考虑。一方面需要对你的应用进行重新设计,把安全工作做得更细一点,来确保使用应用的所有用户都能被证明是真实可靠的。另一方面,通过这样做,你可以应用适当的数据和应用许可制度,来确保所有访问控制决策都是基于用户授权来制定的。
①数据安全。
②垃圾邮件与病毒。
③软件漏洞,版权问题。
④人员管理以及制度管理的缺陷。
⑤缺少第三方监督认证机制。
⑥操作系统以及IE浏览器的安全漏洞。
②数据存储与备份。
③选择可靠的操作系统,定期升级软件补丁,并关注版权信息。选择稳定的主流操作系统,定期更新操作系统与软件补丁,定时扫描漏洞。有条件的客户可以选择安全专家对系统做评估,并选用的网络设备或者硬件设施。
④对服务器跟客户端的安全都要重视。对于客户端,最好采用通过SSL服务器端认证的HTTPS协议,保证所有传输的数据都是加密过的,以保证数据传输安全。
⑤选择可靠的SaaS提供商。首先,可靠的SaaS提供商应该具有业界领先的成熟的安全技术,比如对于SaaS邮件提供商,成熟的反病毒、反垃圾邮件技术必不可少。其次,知识产权也比较重要,SaaS提供商拥有核心知识产权,可以保证以后服务的延续性与可靠性。最后,SaaS提供商最好要有业界良好的信誉以及安全资质,可以保证服务运行的可靠性与可信度,并能够提供持续的技术支持。
⑥安全管理。首先,最好建立第三方监理制度,应用第三方监理确保科学化、公平化、专业化,才能使SaaS更合理、有效的运营下去。其次,安全制度也非常重要,要建立服务商与客户之间的诚信体系,社会方面也需要提供外部的法律支持,使泄露客户商机的行为能够收到惩处。良好的信用体系是SaaS安全发展的一个必要条件。再次,需要加强对人员技术知识和应急安全事件处理能力的培训,增强安全管理意识,并遵守安全管理规范。
2010年2月,IBM公司与美国空军签订试验性合同,获准为后者建立一个能安全支持国防和情报网络的云计算系统,“云计算”首次进入军事领域。2010年7月,IBM的X—Force安全研究团队宣布推出新的云计算安全产品:Proventia虚拟化网络安全平台(PVNSP,Proventia Virtualized Network Security Platform)。
(三)微软
微软在2009年专业开发者大会(PDC,Professional Developers Conference)上透露了自己代号为“Sydney”的安全计划。Sydney计划面向虚拟化、多租户的云环境,提供一种新安全结构,以帮助用户共享数据中心资源。
五、结束语
云计算就像是一座等待人们去挖掘的宝库,随着越来越深入的研究它将会带给我们更多的机遇和挑战。2010年,赛迪顾问曾发布中国首个《云计算产业发展白皮书》,引发了业界和媒体的广泛关注[4]。近两年来,世界云计算应用规模呈加速增长态势,其中北美和欧洲的云计算市场规模最大,美国政府对推动云计算发展态度积极,对于云计算的发展,我国应该未雨绸缪,在研究发展云计算的同时注重云计算安全发展的同步。相信在未来的时间里,云计算的应用会越来越广,成为推动社会进步不可或缺的催化剂。
参考文献:
(美)John W.Rittinghouse.云安全实现、管理与安全[M].田思源,赵学锋译.北京:机械工业出版社,2010.
牛继斌.云安全发展现状以及解决方案概述[EB/OL].http://wenku.baidu.com/view/bbd63ea4b0717fd5360cdc2b.html.
[3]胡乐明,冯明,唐宏.云计算安全技术与应用[M].北京:电子工业出版社,2012.
[4]百晟.中国云计算白皮书2011版发布 呼吁产业政策出台[EB/OL].http:///ei/yjs/cyyw/webinfo/2011/07/1316135576393505.htm.
摘要:随着云计算的深入应用,云计算安全问题应运而生,本文在分析云计算安全问题以及云安全发展的现状、云计算安全问题给用户带来的影响之后对云安全风险从IaaS、PaaS、SaaS三个方面进行了分析,并在此基础上分别提出了相应的解决对策。
关键词:云计算;云安全;安全对策
1007—9599 (2012) 14—0000—02
一、引言
云计算以无人可挡的气势汹涌而来,人们甚至还没有认识云计算,云服务就已经走进千家万户,它使我们的生活更加丰富多彩。然而,在它带来方便的同时,也带来了云安全的相关问题。本文接下来将分析云安全的相关问题并尝试给出相应的应对策略。
二、云计算
(一)云计算概念
云计算是在并行计算(Parallel Computing)、分布式计算(Distributed Computing)、网格计算(Grid Computing)等发展的基础上提出的一种新型计算模型,是一种新兴的共享基础框架的方法,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。云计算是一种全新网络服务方式,将传统的以桌面为核心的任务处理转变为以网络为核心的任务处理,利用互联网实现自己想要完成的一切处理任务,使网络成为传递服务、计算力和信息的综合媒介、真正实现按需计算、多人协作。(二)云计算服务模型体系结构
云计算的服务层次是根据服务类型即服务集合来划分,与计算机网络体系结构中层次的划分不同。在计算机网络中每个层次都实现一定的功能,层与层之间有一定关联。而云计算体系结构中的层次是可以分割的,即某一层次可以单独完成一项用户的请求而不需要其他层次为其提供必要的服务和支持。云计算服务模型体系结构可以划分为三个层次,包括IaaS(基础设施即服务),PaaS(平台即服务)和SaaS(软件即服务)。三、云安全相关问题问题
(一)云计算安全问题
在云计算环境中,云服务使用用户不再拥有基础设施的硬件资源,软件都运行在云中,业务数据也存储在云中,因此用户们开始担心用户隐私信息、身份的安全性,云安全问题随之而来。举个例子,就像是一位客户把行李寄存在旅行社,但他会担心他的行李会不会丢东西,会不会被人打开,以及由谁来运送等。(二)云计算安全问题对用户的影响
云计算给云服务使用用户提供了方便的存储和应用,使得用户客户端主机成功减压,但是大量数据存储在云端,用户对云的依赖使得云安全问题越来越重要,云就好比是供给整个城市的电力系统,一旦系统瘫痪,整个城市也将陷入混乱。例如著名的亚马逊云安全事件以及2009年2月24日Google Gmail邮箱爆发的全球性故障。云计算安全从模型体系结构上划分,又可以分为IaaS安全风险、PaaS风险、SaaS风险,接下来本文将详细介绍一下三种风险。
(三)IaaS安全风险及应对策略
1.IaaS安全风险
①用户的数据在云中存在泄露的危险。②计算服务性不稳定。主要包括硬件与软件问题,硬件问题包括服务器、存储、网络的问题,硬件的不兼容、不稳定、以及不易维护性,这都有可能造成计算机性能的不可靠;软件主要指统一部署与硬件之上的虚拟化软件的可靠性能,如兼容性、稳定性等。
③远程认证风险。IaaS资源在远端,因此用户需要进行登录,因此就存在用户信息被盗用,修改等认证风险。
④服务中断。包括数据中心宕机,停止对外服务,以及战争、灾难、电力供应等的毁灭性破坏。
2.IaaS安全风险的应对策略
①客户数据可控和数据隔离。可以通过用户控制其使用的网络策略和安全以及虚拟化存储来解决数据泄露的风险。②综合考虑数据中心软硬件部署。在硬件选用中,考虑品牌厂商,硬件的选择要综合考虑质量、品牌、易用性、、高可维护性等一系列因素,并选择性价比高的厂商产品。在虚拟化软件选择中,也需要在、厂商、质量之间平衡。建议有条件的客户首先聘请咨询公司进行咨询。市场上,目前有三个云计算联盟可以提供完整的云计算解决方案,包括从底层的硬件到上层的软件。分别是Cisco+EMC+VMware,IBM,HP+Microsoft。
③建立安全的远程管理机制。根据定义,IaaS资源在远端,因此你需要某些远程管理机制,最常用的远程管理机制包括:VPN:提供一个到IaaS资源的安全连接。远程桌面、远程Shell:最常见的解决方案是SSH。Web控制台UI:提供一个自定义远程管理界面,通常它是由云服务提供商开发的自定义界面(如管理亚马逊AWS服务的RightScale界面)。
④建立健全IT行业法规。在云服务中,用户的焦虑很大一部分来自于不知道自己的数据究竟存储在哪,通过建立健全法规可以对数据泄露和数据丢失等问题进行改善,减少用户对云服务的不信任。
⑤针对突然的服务中断等不可抗拒新因素,采取两地三中心策略[5]。服务中断在IT环境中始终存在,在设置云计算摘自:本科生毕业论文www.7ctime.com
数据中心是,最好采用两地三中心策略,进行数据的备份。这种策略主要指在数据中心附近(10km以内)设置一同城灾备中心,同时在别的城市(可以跨越几个省份)设置一个异地灾备中心。
(四)PaaS安全风险及应对策略
1.PaaS安全风险
PaaS是把服务器平台作为一种服务提供的商业模式。通过网络进行程序提供的服务称之为SaaS(Software as a Service),而云计算时代相应的服务器平台或者开发环境作为服务进行提供就成为了PaaS(Platform as a Service)。根据其定义,PaaS在使用时,有可能有如下风险:①应用配置不当。在云基础架构中运行应用以及开发平台时,应用在默认配置下安全运行的概率机会基本为零。因此,最需要做的事就是改变应用的默认安装配置。②平台构建漏洞,可用性、完整性差。任何平台都存在漏洞的风险,有些平台极端环境下可用性、完成性的工作能力不够,比如在大量网络连接下,web服务器的承受能力等。
③SSL协议及部署缺陷。
④云数据中的非安全访问许可。对于PaaS用论文导读:FederalInformationSecurityManagementAct)认证,是业界第一家以FIA—Moderate等级获得FIA认证的多客户使用的云端套件。(三)微软微软在2009年专业开发者大会(PDC,ProfessionalDevelopersConference)上透露了自己代号为“Sydney”的安全计划。Sydney计划面向虚拟化、多租户的云环境,提供一种新安全结构,以帮
户而言,第四个需要考虑的威胁是需要解决对云计算中数据的非安全访问问题。尽管说这似乎是一个特定环境下的问题,但许多应用实际上存在严重的信息漏洞职称论文范文www.7ctime.com
,数据的基本访问许可往往设置不当。从安全的角度讲,这意味着系统需要批准的访问权限太多。
2.PaaS安全风险对策
①严格参照手册进行配置。严格按照应用程序供应商提供的安全手册进行配置,尤其是在Windows环境下,你需要具备确保Internet Information Services(IIS)、Microsoft SQL和.NET安全的能力。不要留有默认的或者不安全的Guest账户。②保证补丁能够及时得到更新。需要依靠应用供应商来提供正确应用配置或配置补丁的具体步骤。这里最关键的问题是要及时,必须要确保自己有一个变更管理项目,来确保SSL补丁和变更程序能够迅速发挥作用。
③重新设计安全应用。要解决这一问题,需要从两方面来考虑。一方面需要对你的应用进行重新设计,把安全工作做得更细一点,来确保使用应用的所有用户都能被证明是真实可靠的。另一方面,通过这样做,你可以应用适当的数据和应用许可制度,来确保所有访问控制决策都是基于用户授权来制定的。
(五)SaaS安全风险及应对策略
1.SaaS安全风险
SaaS是指SaaS用户所需要的软件统一部署在云服务厂商的服务器上,用户可以根据自己的需求,通过互联网子向厂商进行,并且通过交付费用来获得相应的软件服务。SaaS有如下风险:①数据安全。
②垃圾邮件与病毒。
③软件漏洞,版权问题。
④人员管理以及制度管理的缺陷。
⑤缺少第三方监督认证机制。
⑥操作系统以及IE浏览器的安全漏洞。
2.SaaS安全风险对策
①建立可信安全平台。②数据存储与备份。
③选择可靠的操作系统,定期升级软件补丁,并关注版权信息。选择稳定的主流操作系统,定期更新操作系统与软件补丁,定时扫描漏洞。有条件的客户可以选择安全专家对系统做评估,并选用的网络设备或者硬件设施。
④对服务器跟客户端的安全都要重视。对于客户端,最好采用通过SSL服务器端认证的HTTPS协议,保证所有传输的数据都是加密过的,以保证数据传输安全。
⑤选择可靠的SaaS提供商。首先,可靠的SaaS提供商应该具有业界领先的成熟的安全技术,比如对于SaaS邮件提供商,成熟的反病毒、反垃圾邮件技术必不可少。其次,知识产权也比较重要,SaaS提供商拥有核心知识产权,可以保证以后服务的延续性与可靠性。最后,SaaS提供商最好要有业界良好的信誉以及安全资质,可以保证服务运行的可靠性与可信度,并能够提供持续的技术支持。
⑥安全管理。首先,最好建立第三方监理制度,应用第三方监理确保科学化、公平化、专业化,才能使SaaS更合理、有效的运营下去。其次,安全制度也非常重要,要建立服务商与客户之间的诚信体系,社会方面也需要提供外部的法律支持,使泄露客户商机的行为能够收到惩处。良好的信用体系是SaaS安全发展的一个必要条件。再次,需要加强对人员技术知识和应急安全事件处理能力的培训,增强安全管理意识,并遵守安全管理规范。
四、云安全发展动态
(一)IBM2010年2月,IBM公司与美国空军签订试验性合同,获准为后者建立一个能安全支持国防和情报网络的云计算系统,“云计算”首次进入军事领域。2010年7月,IBM的X—Force安全研究团队宣布推出新的云计算安全产品:Proventia虚拟化网络安全平台(PVNSP,Proventia Virtualized Network Security Platform)。
(二)Google
Google于2010年7月宣布自己的Goole Apps 平台去得了联邦信息安全管理法案(FIA,Federal Information Security Management Act)认证,是业界第一家以FIA—Moderate等级获得FIA认证的多客户使用的云端套件。(三)微软
微软在2009年专业开发者大会(PDC,Professional Developers Conference)上透露了自己代号为“Sydney”的安全计划。Sydney计划面向虚拟化、多租户的云环境,提供一种新安全结构,以帮助用户共享数据中心资源。
五、结束语
云计算就像是一座等待人们去挖掘的宝库,随着越来越深入的研究它将会带给我们更多的机遇和挑战。2010年,赛迪顾问曾发布中国首个《云计算产业发展白皮书》,引发了业界和媒体的广泛关注[4]。近两年来,世界云计算应用规模呈加速增长态势,其中北美和欧洲的云计算市场规模最大,美国政府对推动云计算发展态度积极,对于云计算的发展,我国应该未雨绸缪,在研究发展云计算的同时注重云计算安全发展的同步。相信在未来的时间里,云计算的应用会越来越广,成为推动社会进步不可或缺的催化剂。
参考文献:
(美)John W.Rittinghouse.云安全实现、管理与安全[M].田思源,赵学锋译.北京:机械工业出版社,2010.
牛继斌.云安全发展现状以及解决方案概述[EB/OL].http://wenku.baidu.com/view/bbd63ea4b0717fd5360cdc2b.html.
[3]胡乐明,冯明,唐宏.云计算安全技术与应用[M].北京:电子工业出版社,2012.
[4]百晟.中国云计算白皮书2011版发布 呼吁产业政策出台[EB/OL].http:///ei/yjs/cyyw/webinfo/2011/07/1316135576393505.htm.