云計算六大安全隱患凸現(xiàn)四方向應對

江蘇省郵電規(guī)劃設計院 | 張云帆

伴隨著云計算的飛速發(fā)展，網(wǎng)絡安全問題日益突出，已成為制約其發(fā)展的主要障礙。若要讓企業(yè)和組織大規(guī)模應用云計算技術(shù)和平臺，放心地將自己的數(shù)據(jù)交付給云服務提供商管理，就必須解決云計算所面臨的各種安全問題。當前，云計算安全問題已得到廣泛關(guān)注和重視。

由于云計算是架構(gòu)在傳統(tǒng)服務器設施上的一種服務的交互和使用模式，所以傳統(tǒng)互聯(lián)網(wǎng)中存在的諸多安全問題同樣可能會在云計算環(huán)境下出現(xiàn)。此外，考慮到云計算的自身特點，可能會在網(wǎng)絡上引入新的安全隱患或改變原有的安全問題影響程度和范圍。目前，針對云計算自身特點，云計算面臨的安全隱患主要有以下六方面。

隱患一 云平臺成為重點攻擊目標的危險

云計算所要求的計算資源（包括物理資源、開發(fā)測試環(huán)境、數(shù)據(jù)與應用等）存在于“云”中，相比于傳統(tǒng)互聯(lián)網(wǎng)服務，云計算模式使原有用戶側(cè)和網(wǎng)絡側(cè)的安全風險都集中到云平臺上，而云暴露在公開的網(wǎng)絡中，更容易成為黑客攻擊的目標，并且影響范圍和造成的損失將遠大于傳統(tǒng)互聯(lián)網(wǎng)。另外，云中可能存在不安全的接口和API，也容易受到黑客的攻擊和病毒感染。當遇到重大事故時，云系統(tǒng)將可能面臨崩潰的危險，從而威脅到云上承載的所有業(yè)務。

隱患二 云平臺資源和能力存在被濫用的危險

“云”擁有非常龐大的資源，并且經(jīng)過云平臺的統(tǒng)一調(diào)度和組織，具有超級計算能力。IaaS服務提供商為方便用戶租用資源，通常其登記注冊管理并不嚴格，極有可能被網(wǎng)絡犯罪分子注冊成功并對云服務實施攻擊。此外，由于云計算資源租用服務價格極其低廉，網(wǎng)絡犯罪分子同樣可以很容易地租用到海量的計算和帶寬資源來實施分布式拒絕服務攻擊（DDos）。一旦云中的某個或者某些節(jié)點被攻陷，則網(wǎng)絡犯罪分子就可能會通過這些節(jié)點繼續(xù)去攻擊并控制云計算平臺，最終控制云計算平臺所組織起來的超級計算能力去實施更大的網(wǎng)絡破壞和攻擊，從而造成云平臺的資源和計算能力被濫用、惡用的情況。

隱患三 網(wǎng)絡違法行為難以溯源和展開調(diào)查的危險

在云計算廣泛應用的情況下，計算、存儲、帶寬服務可在全球跨國獲取。云計算應用地域性弱、信息流動大，信息服務或用戶數(shù)據(jù)可能分布在不同的地區(qū)甚至國家。一方面，不利于政府信息安全監(jiān)管，存在法律差異與糾紛；另一方面，在云計算的使用過程中，客戶并不清楚自己的數(shù)據(jù)被放置在哪臺服務器上，甚至不了解這臺服務器放置在哪個國家，不利于對網(wǎng)絡違法行為進行溯源和調(diào)查。

隱患四 數(shù)據(jù)訪問優(yōu)先權(quán)被云計算服務提供商惡意員工利用的危險

租用云計算存儲、虛擬機、平臺等資源的用戶希望能保障數(shù)據(jù)的機密性，所以用戶數(shù)據(jù)的存儲應當具有高保密性、可控制性和完整性。然而，當客戶把數(shù)據(jù)交給云計算服務提供商后，具有數(shù)據(jù)優(yōu)先訪問權(quán)的并不是數(shù)據(jù)的真正擁有者，而是云計算服務提供商。這樣的話，如果云計算服務提供商內(nèi)部有惡意員工（這種可能通常是存在的），用戶的企業(yè)機密就很可能被泄露出去。

隱患五 采用虛擬化技術(shù)后，物理安全邊界模糊的危險

利用虛擬化技術(shù)有利于加強在基礎設施、平臺、軟件層面提供多租戶云服務的能力，實現(xiàn)數(shù)據(jù)的池化和共享。然而利用虛擬化技術(shù)后，資源池中的數(shù)據(jù)具有無邊界性、流動性，存在物理安全邊界模糊、安全漏洞等隱患，會產(chǎn)生一系列安全問題。例如，當虛擬網(wǎng)絡受到破壞，那么客戶端也會受到損害。當主機出現(xiàn)問題，那么主機上的所有虛擬機都會產(chǎn)生問題。當惡意用戶非法取得虛擬機權(quán)限，就有可能威脅到同一臺物理服務器上的其他虛擬機?？蛻舳斯蚕砗椭鳈C共享存在安全漏洞，可能會被不法之徒利用。

隱患六 企業(yè)用戶的長期生存發(fā)展無法得到保障的危險

在當前云計算環(huán)境下，無論是IaaS、PaaS還是SaaS，都還缺乏服務整體遷移方面的標準和手段。如果用戶選用的某一家云計算服務提供商破產(chǎn)或被并購而不能繼續(xù)有效提供服務，用戶的業(yè)務和服務有可能會出現(xiàn)中斷或不穩(wěn)定等危險。

四維度保障云安全

根據(jù)上面的分析，由于云計算自身的海量資源、物理設施集中部署、虛擬化、用戶共享等技術(shù)特性，以及其尚未成熟的監(jiān)管和運營體系，使之有可能存在大量的安全隱患，運營商和企業(yè)應積極采取相應措施來最大限度地保障云計算環(huán)境下的網(wǎng)絡和信息安全。

（1）針對云計算技術(shù)發(fā)展和業(yè)務模式，制定和完善相應的法律法規(guī)和技術(shù)規(guī)范。例如，明確云計算服務提供商信息安全管理責任、規(guī)范跨境云計算經(jīng)營模式。明確個人隱私、商業(yè)秘密、數(shù)據(jù)保護、信息隔離方面的界定和要求等。

（2）進一步提升自主創(chuàng)新能力，大力培育由國內(nèi)企業(yè)占主導的云服務產(chǎn)業(yè)和市場，加大對云計算核心軟硬件的國內(nèi)自主研發(fā)力度，減少關(guān)鍵應用領(lǐng)域的技術(shù)產(chǎn)品對國外的依賴性。只有大力支持云計算關(guān)鍵技術(shù)的研發(fā)，加快推進云計算軟件、硬件、中間件及網(wǎng)絡設施等資源的創(chuàng)新，才能在未來云計算環(huán)境下從根本上保障國家信息的安全。

（3）加強國際合作，積極參與云計算國際標準的制定。當前，國際上云計算標準尚未推出，很多標準化組織正在推動相關(guān)標準的制定。我國應抓住機會，積極參與相關(guān)標準化組織的標準制定工作，推動國內(nèi)標準國際化，努力掌握國際話語權(quán)。

（4）強化教育，建設云計算人才隊伍。完善云計算人才培養(yǎng)模式，積極推進教育培訓，建立云計算認證、評測及安全體系，推動院校開設專業(yè)課程培養(yǎng)云計算人才隊伍。