一、技术风险
1. IaaS层风险分析
基础设施即服务(IaaS)为用户提供计算、存储、网络和其它基础计算资源,用户可以在上面部署和运行任意的软件,包括操作系统和应用程序,用户不用管理和控制底层基础设施,但要控制操作系统、存储、部署应用程序和具有对网络组件(如主机防火墙)具有有限的控制权限的能力。许多最严重的IaaS风险很大程度是由于云管理员对操作系统,应用程序和云管理界面的错误配置或缺乏安全控制。
其中一个主要风险是缺乏安全的API,这些API是由云提供商提供以允许用户与他们的服务以及服务管理更无缝的集成。尽管提供商负责提供安全的API和补丁,客户应该自己对这些API进行评估,包括支持的传输方法以及什么样的数据在与供应商的交互过程中被来回发送。API或应用程序的更新很容易导致兼容性问题,甚至也可能引发数据泄露的场景,因此客户应该定期测试他们的程序和API交互的部分。
小招数:建议云客户要在选定IaaS前彻底调研云服务提供商的安全控制和服务水平协议。客户应尽可能利用多因素身份验证,对数据进行加密以减少内部威胁,维护密钥的控制权,并开始比以往任何时候都更关注在云环境中的可用日志。定期扫描基于云的系统漏洞也是一个最佳做法。
2. PaaS层风险分析
PaaS平台资源的容器是基于操作系统的虚拟化,与IaaS基础环境实现解耦,平台自身的实现多数是应用较广的开发框架和标准 API,能够有效提升资源管理水平,有效避免厂商绑定;同时,合理调整单个操作系统之上容器密度的有效部署,可以更好提升资源使用率,降低硬件采购成本。
PaaS主要以容器云形式实现,容器云依赖容器基础技术,目前常见的有Docker和garden两种类型。
平台即服务(PaaS)上进行网络应用开发是存在着一定风险漏洞的。具体的威胁风险包括黑客、软件设计缺陷或者不良的测试方法。这些风险有可能会利用漏洞来影响应用或大幅度降低应用的性能。
3. SaaS层风险分析
SaaS(Software-as-a-Service,软件即服务),通过网络在线交付服务,企业可以节省更多的成本,把更多的精力用在促进业务发展上而不必被ERP这些软件的升级维护琐事而困扰,极大的提升运营效率。
但是很多企业,尤其是大型企业,很不情愿使用SaaS正是因为安全问题,SaaS解决方案缺乏标准化,企业要保护核心数据,不希望这些核心数据由第三方来负责。以前看到过一篇文章,据说多达20%的SaaS部署项目之所以以失败告终,原因是数据集成方面存在严重问题。因此,企业在采用某一种部署模式之前,需要认真分析各种部署模式在系统生命周期所有阶段的优缺点,这一点还挺重要哒。
阅读推荐:云计算简史及服务层描述