云计算特有的数据和服务外包、虚拟化、多租户和跨域共享
等特点,带来了前所未有的安全挑战。云计算受到产业界的极大推崇并推出了一系列基于云计算平台的服务。但在已经实现的云计算服务中,安全问题一直令人担忧。安全和隐私问题已经成为阻碍云计算普及和推广主要因素之一。
2011年1月21日,来自研究公司ITGI的消息称,考虑到自身数据的安全性,很多公司正在控制云计算方面的投资。在参与调查的21家公司的834名首席执行官中,有半数的官员称,出于安全方面的考虑,他们正在延缓云的部署,并且有三分之一的用户正在等待。
由于云计算环境下的数据对网络和服务器的依赖,隐私问题尤其是服务器端隐私的问题比网络环境下更加突出。客户对云计算的安全性和隐私保密性存在质疑,企业数据无法安全方便的转移到云计算环境等一系列问题,导致云计算的普及难以实现。 云计算的特点带来的安全问题:(一)数据和服务外包 :(1)隐私泄露(2)代码被盗;(二)多租户和跨域共享 :(1)信任关系的建立、管理和维护更加困难;(2)服务授权和访问控制变得更加复杂;(3)反动、黄色、钓鱼欺诈等不良信息的云缓冲(4)恶意SaaS应用;(三)虚拟化:(1)用户通过租用大量的虚拟服务使得协同攻击变得更加容易,隐蔽性更强; (2)资源虚拟化支持不同租户的虚拟资源部署在相同的物理资
源上,方便了恶意用户借助共享资源实施侧通道攻击。 实际上,对于云计算的安全保护,通过单一的手段是远远不够的,需要有一个完备的体系,涉及多个层面,需要从法律、技术、监管三个层面进行。
传统安全技术,如加密机制、安全认证机制、访问控制策略通过集成创新,可以为隐私安全提供一定支撑,但不能完全解决云计算的隐私安全问题。
需要进一步研究多层次的隐私安全体系(模型)、全同态加密算法、动态服务授权协议、虚拟机隔离与病毒防护策略等,为云计算隐私保护提供全方位的技术支持。
由此可见,云计算环境的隐私安全、内容安全是云计算研究的关键问题之一,它为个人和企业放心地使用云计算服务提供了保证,从而可促进云计算持续、深入的发展。
云计算安全的非技术手段 (一)第三方认证
第三方认证是提升信任关系的一种有效手段,即采用一个中立机构对信任双方进行约束。 (二)企业信誉
企业信誉对于任何一个竞争领域的企业来讲都是至关重要的。一般来讲,越大的企业对于自身信誉越看重,不会因为利益去窃取客户的数据。 (三)合同约束
目前已经有很多云计算服务提供商退出了自己的云计算服务的服务水平协议,这些协议从服务质量、技术支持和知识产权等方面对服务进行了规范,对服务提供者与使用者的权利和义务进行了明确。
云计算安全的技术手段
安全性要求 数据访问的权限控制 数据运行时的私密性 数据在网络上传输的私密性 数据完整性 数据持久可用性 数据访问速度
对其他用户 存储隔离 对服务提供商 存储加密、文件加密 虚拟机隔离、操作系操作系统隔离 统隔离 传输层加密 网络加密 数据检验 数据备份、数据镜像、分布式存储 高速网络、数据缓存、CDN
因篇幅问题不能全部显示,请点此查看更多更全内容