关于云计算安全,还是通过三个问题来了解下。第一个问题,云计算安全和传统安全相比,有什么特点?云安全同传统安全相比,有以下几个特点:
- 第一,多租户:云为更多的个人或者组织服务,多租户的方式,对云的安全提出了新的挑战;
- 第二,数据在云端:云用户的数据以前存放在本地,现在放到云端,如何保证用户的数据安全,也有了新的挑战;
- 第三,虚拟化层的安全:云基于虚拟化技术,虚拟化层的漏洞,会严重影响云的安全,比如之前暴露的虚拟机逃逸,虚拟机内存泄漏等安全漏洞;
- 第四,云环境变化频率很高:云的特点就是弹性灵活,云的规模,用户数,网络,都在不断变化,即使用户自己的应用,也在不断的变化,对安全方面提出了新的挑战。
- 第五,云在法律和合规性方面,面临挑战:比如数据不能在境外存放,甚至像金融行业,有明确的要求,数据必须存放在本地。
第二个问题,云安全面临那些挑战?一是云厂商内部的挑战
- 利用镜像挂载、克隆等虚拟化技术盗取云主机内部数据:
- 还有盗取客户残留数据:被删除的卷,被删除的对象存储数据等等
- 还有就是盗取传输过程中的数据,尤其是未加密的传输
二是恶意云用户导致的问题比如利用虚拟化技术或者云平台的漏洞:
- 攻击数据存储池,窃取数据
- 攻击其他用户
- 监听其他用户通讯
- 使用身份验证及管理漏洞,盗取数据
- 利用虚拟机逃逸漏洞,获得宿主机权限
- 利用虚拟机内存泄露,盗取数据
- 利用云平台本身漏洞,盗取或者破坏数据
三是应用层面的安全问题,比如:
- Web漏洞、Sql注入、DDos攻击,这和传统安全查不多,不过由于云规模大,造成的危害也更大。
- 还有就是被云厂商锁定,这个其实也是安全问题
- 还有就是云厂商可用性不达标:数据中心停电,网络问题,大面积软件BUG,这个大家也时常有听说。
第三个问题,云安全的设计原则是什么,有那些具体的实践?首先,安全在一切层面,包括:
- 一切可追踪审计
- 最低权限原则
- 自动化
另外,云还有一个特点,云用户只需要专注自己系统和业务那么云安全的一些具体措施有那些?
- 身份与访问管理:
- 用户密码
- 网络隔离VPC和VPN
- 传输加密
2.定期攻防演练3.所有的数据有防护措施4.安全响应制度并且持续改进。
对于客户来说,传统安全就是采购硬件,通过硬件的能力把一些攻击阻挡在外面;而云计算的安全,是通过采集数据,然后智能清洗,把一些不合理的访问拒绝掉。
说白了,一个是要你买硬件,一个是买服务。但是,从某种程度上来说,传统安全相当于花钱请保镖,没钱了或者保镖反水了,就什么都没有了;云计算安全是自己修炼内功,武功秘籍给你,练好了是自己长本事,练不好也怪不到别人头上。
所以,到了云计算时代,大部分客户都使用云计算来进行经营业务的时候,传统硬件厂商就会变得很难过,因为他手里的硬件不知道卖给谁。其实,这跟后来镖局没生意也是差不多的道理。
与此同时,云计算时代,崛起最快的也是最终成为最强的安全厂商就是云计算公司本身,这一点从亚马逊阿里云身上都是得到验证的,他们分别是成长最快的安全公司。
原创文章,作者:小编,如若转载,请注明出处:http://www.ranqigaiguan.com/yhtg/16303.html
