云計算安全問題包括云計算安全技術(shù)的挑戰(zhàn),服務(wù)供應(yīng)商及用戶如何進(jìn)行相互協(xié)作的管理方面的挑戰(zhàn),以及其跨地域性、多租戶、虛擬化等特性帶來的政府信息安全監(jiān)管、隱私保護(hù)和司法取證等方面的挑戰(zhàn)。云計算的安全問題主要還是指“云”端數(shù)據(jù)的使用安全。許多用戶希望更多的數(shù)據(jù)放在“云”上,這樣他們耗資更少,而得到的便利會更多。但越多的數(shù)據(jù)存于“云”中,就意味著有越多的數(shù)據(jù)被濫用的可能。云安全對云計算如此重要,下面介紹云安全主要方面的相關(guān)技術(shù)考慮。
一、基礎(chǔ)設(shè)施安全
基礎(chǔ)設(shè)施安全包括網(wǎng)絡(luò)、主機/存儲等核心IT基礎(chǔ)設(shè)施的安全。云計算相關(guān)的所有網(wǎng)絡(luò)層安全挑戰(zhàn)在云計算條件下變得更加嚴(yán)重,但這都不是云計算所造成的,網(wǎng)絡(luò)層面的安全控制包括網(wǎng)絡(luò)訪問控制(如防火墻),傳輸數(shù)據(jù)加密(如SSL、IPSec),安全事件日志,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)/入侵防御系統(tǒng)(IDS/IPS)等。
主機層的安全問題,例如日益增長的主機邊界安全的需求以及對安全增加虛擬化環(huán)境的需求,在云計算中也被擴(kuò)大了,卻也不是由云計算所引起的,主機層面的安全控制包括主機防火墻、訪問控制、安裝補丁、系統(tǒng)鞏固、強認(rèn)證、安全事件日志、基于主機的入侵檢測系統(tǒng)/入侵防御系統(tǒng)等。
基礎(chǔ)設(shè)施的安全以及云計算相關(guān)的問題需要理清哪一方提供什么層面的安全(例如是由用戶提供還是由云計算服務(wù)商提供),換句話說,需要定義信任邊界。云安全架構(gòu)的一個關(guān)鍵特點是云計算服務(wù)商所在的等級越低,用戶自己所要承擔(dān)的安全能力和管理職責(zé)就越多。
二、虛擬化安全
利用虛擬化帶來的經(jīng)濟(jì)上的可擴(kuò)展有利于加強在基礎(chǔ)設(shè)施、平臺、軟件層面提供多租戶云服務(wù)的能力,然而利用這些虛擬化技術(shù)也會帶來其它安全問題,如果云服務(wù)的基礎(chǔ)設(shè)施采用了虛擬機(VM)技術(shù),這些VM系統(tǒng)間的隔離加固是必須要考慮的。
虛擬操作系統(tǒng)管理方面的實踐現(xiàn)狀是:大多數(shù)提供缺省安全保護(hù)的進(jìn)程都未被加入,因此必須特別注意如何代替它們的功能。虛擬化技術(shù)本身引入了hypervisor和其它管理模塊這些新的攻擊層面,但更重要的是虛擬化對網(wǎng)絡(luò)安全帶來的嚴(yán)重威脅,虛擬機間通過硬件的背板而不是網(wǎng)絡(luò)進(jìn)行通信,因此,這些通信流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的,無法對它們進(jìn)行監(jiān)測、在線封堵,類似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。
數(shù)據(jù)混合在集中的服務(wù)和存儲中是另一需考慮的問題,云計算服務(wù)提供的集中數(shù)據(jù)在理論上應(yīng)比在大量各種端點上分布的數(shù)據(jù)更安全,然而這同時也將風(fēng)險集中了,增加了一次入侵可能帶來的后果。
還有一個問題是不同敏感度和安全要求的VM如何共存。在云計算中,某一最低安全保護(hù)的租戶,其安全性會成為多租戶虛擬環(huán)境中所有租戶共有的安全性,除非設(shè)計一種新的安全結(jié)構(gòu),安全保護(hù)它們之間不會通過網(wǎng)絡(luò)相互依賴。因此,需要考慮虛擬機的安全隔離、虛擬機鏡像安全管理、虛擬化環(huán)境下的通信安全、虛擬化和物理安全設(shè)備的統(tǒng)一管理和可視化等技術(shù)。對不需要運行的虛擬機應(yīng)當(dāng)立即關(guān)閉。
三、數(shù)據(jù)安全
云用戶和提供商需要避免數(shù)據(jù)丟失和被竊。如今,個人和企業(yè)數(shù)據(jù)加密都是強烈推薦的,甚至有些情況下是世界范圍法律法規(guī)強制要求的。云用戶希望他們的提供商為其加密數(shù)據(jù),以確保無論數(shù)據(jù)物理上存儲在哪里都受到保護(hù)。同樣的,云提供商也需要保護(hù)其用戶的敏感數(shù)據(jù)。
強加密及密鑰管理是云計算系統(tǒng)需要用以保護(hù)數(shù)據(jù)的一種核心機制。由于加密本身不能保證防止數(shù)據(jù)丟失,加密提供了資源保護(hù)功能,同時密鑰管理則提供了對受保護(hù)資源的訪問控制。
數(shù)據(jù)安全技術(shù)包括諸如數(shù)據(jù)隔離、數(shù)據(jù)加密解密、身份認(rèn)證和權(quán)限管理,保障用戶信息的可用性、保密性和完整性。密碼學(xué)界正在努力研究謂詞加密等新方法,避免在云計算中處理數(shù)據(jù)時對數(shù)據(jù)進(jìn)行解密,近期公布的完全同態(tài)加密方法所實現(xiàn)的加密數(shù)據(jù)處理功能,都大大地推進(jìn)了云計算的數(shù)據(jù)安全。
四、身份和訪問管理安全
管理身份和訪問企業(yè)應(yīng)用程序的控制仍然是當(dāng)今的IT面臨的最大挑戰(zhàn)之一。雖然企業(yè)可以在沒有良好的身份和訪問管理策略的前提下利用若干云計算服務(wù),但從長遠(yuǎn)來說延伸企業(yè)身份管理服務(wù)到云計算確是實現(xiàn)按需計算服務(wù)戰(zhàn)略的先導(dǎo)。因此對企業(yè)基于云的身份和訪問管理(IAM)是否準(zhǔn)備就緒進(jìn)行一個誠實的評估,以及理解云計算服務(wù)商的能力,是采納云生態(tài)系統(tǒng)的必要前提。
云中實施成功有效的身份管理必不可少的IAM功能包括:身份供應(yīng)/取消供應(yīng)、認(rèn)證、聯(lián)盟、授權(quán)和用戶配置文件管理。同時還包括支持SAML、使用SPML開通用戶,以及能滿足各種用戶和訪問流程自動化需求的開放式應(yīng)用程序接口等。
企業(yè)在云計算中有效管理身份和訪問控制最重要的因素是:需要在組織內(nèi)構(gòu)建一套強大的目錄和身份聯(lián)合管理功能——如體系架構(gòu)和系統(tǒng)、用戶和訪問生命周期管理流程、以及審計和合規(guī)功能。對于認(rèn)證云計算中的用戶和服務(wù),除了基于風(fēng)險的認(rèn)證方法外,還需要注意簡單性和易用性。
五、Web安全
云計算模式中,Web應(yīng)用是用戶最直觀的體驗窗口,也是唯一的應(yīng)用接口。而近幾年風(fēng)起云涌的各種Web攻擊手段,則直接影響到云計算的順利發(fā)展。
“瀏覽器就是你的操作系統(tǒng)”的說法恰當(dāng)?shù)卣f明了瀏覽器的重要作用。為了達(dá)到云計算終端到終端的安全,用戶保持瀏覽器的良好安全狀態(tài)是很必要的,這就需要對瀏覽器安裝補丁和升級以降低瀏覽器漏洞的威脅。此外,針對目前幾種典型的云計算模式,部分廠商采取了細(xì)化應(yīng)用安全防護(hù)的手段,針對不同的應(yīng)用,提供專業(yè)級的網(wǎng)關(guān)安全產(chǎn)品。
六、應(yīng)用安全
由于云環(huán)境其靈活性、開放性、以及公眾可用性這些特性,在SaaS、PaaS、IaaS的所有層面,對于應(yīng)用程序來說,云計算都是一個特別的挑戰(zhàn);谠朴嬎愕膽(yīng)用軟件需要經(jīng)過類似于DMZ區(qū)部署的應(yīng)用程序那樣的嚴(yán)格設(shè)計。這包括深入的前期分析,涵蓋傳統(tǒng)的如何管理信息的機密性、完整性、以及可用性等方面。
由于云計算應(yīng)用程序面向公眾的性質(zhì),無疑增加了軟件開發(fā)生命周期的安全需求,同時也需確保API徹底經(jīng)過安全測試。部署于公共云中的網(wǎng)絡(luò)應(yīng)用程序必須根據(jù)互聯(lián)網(wǎng)威脅模型進(jìn)行設(shè)計,而且必須在軟件開發(fā)生命周期(SDLC)中內(nèi)嵌安全。
應(yīng)用程序的安全控制手段包括軟件開發(fā)生命周期內(nèi)嵌安全的開發(fā)流程、“最小特權(quán)”配置、及時安裝應(yīng)用程序補丁、用戶認(rèn)證、訪問控制、帳戶管理、瀏覽器用最新的補丁加固、終端安全措施包括反病毒、入侵防御系統(tǒng)、基于主機的入侵檢測系統(tǒng)、主機防火墻和用于管理的虛擬專用網(wǎng)絡(luò)VPN等。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:云安全主要技術(shù)分析
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839715788.html