云计算在IT技术领域大放异彩,成为引领技术潮流的新技术。云计算的高速发展为试图重新聚焦关键业务目标的企业带来了许多利好,例如提高产品上市的速度、增加企业竞争的优势以及降低资本和/或运行的开支等等。
为了管理好云计算风险,首先了解风险到底是什么将是非常重要的。
什么是风险?
所谓风险,也就是指我们不希望发生的事件发生的概率。
在信息安全领域,风险就是一个恶意或非恶意暴露机密信息事件、或威胁数据一致性以及干扰系统和信息可用性事件发生的概率。任何接入互联网的组织都处于风险之中,他们都应考虑黑暗网络的弹性特性和扩展私有云计算和公共云计算网络的能力。
根据学习,发现云计算技术面临着下面几个方面层次的安全威胁:
一、技术风险
1. IaaS层风险分析
基础设施即服务(IaaS)为用户提供计算、存储、网络和其它基础计算资源,用户可以在上面部署和运行任意的软件,包括操作系统和应用程序,用户不用管理和控制底层基础设施,但要控制操作系统、存储、部署应用程序和具有对网络组件(如主机防火墙)具有有限的控制权限的能力。许多最严重的IaaS风险很大程度是由于云管理员对操作系统,应用程序和云管理界面的错误配置或缺乏安全控制。
其中一个主要风险是缺乏安全的API,这些API是由云提供商提供以允许用户与他们的服务以及服务管理更无缝的集成。尽管提供商负责提供安全的API和补丁,客户应该自己对这些API进行评估,包括支持的传输方法以及什么样的数据在与供应商的交互过程中被来回发送。API或应用程序的更新很容易导致兼容性问题,甚至也可能引发数据泄露的场景,因此客户应该定期测试他们的程序和API交互的部分。
小招数:建议云客户要在选定IaaS前彻底调研云服务提供商的安全控制和服务水平协议。客户应尽可能利用多因素身份验证,对数据进行加密以减少内部威胁,维护密钥的控制权,并开始比以往任何时候都更关注在云环境中的可用日志。定期扫描基于云的系统漏洞也是一个最佳做法。
2. PaaS层风险分析
PaaS平台资源的容器是基于操作系统的虚拟化,与IaaS基础环境实现解耦,平台自身的实现多数是应用较广的开发框架和标准 API,能够有效提升资源管理水平,有效避免厂商绑定;同时,合理调整单个操作系统之上容器密度的有效部署,可以更好提升资源使用率,降低硬件采购成本。
PaaS主要以容器云形式实现,容器云依赖容器基础技术,目前常见的有Docker和garden两种类型。
平台即服务(PaaS)上进行网络应用开发是存在着一定风险漏洞的。具体的威胁风险包括黑客、软件设计缺陷或者不良的测试方法。这些风险有可能会利用漏洞来影响应用或大幅度降低应用的性能。
3. SaaS层风险分析
SaaS(Software-as-a-Service,软件即服务),通过网络在线交付服务,企业可以节省更多的成本,把更多的精力用在促进业务发展上而不必被ERP这些软件的升级维护琐事而困扰,极大的提升运营效率。
但是很多企业,尤其是大型企业,很不情愿使用SaaS正是因为安全问题,SaaS解决方案缺乏标准化,企业要保护核心数据,不希望这些核心数据由第三方来负责。以前看到过一篇文章,据说多达20%的SaaS部署项目之所以以失败告终,原因是数据集成方面存在严重问题。因此,企业在采用某一种部署模式之前,需要认真分析各种部署模式在系统生命周期所有阶段的优缺点,这一点还挺重要哒。
阅读推荐:云计算培训需要学那些东西?它靠谱吗![[云计算培训]云计算真的安全吗](http://www.runtimewh.com/uploads/dianhua.jpg "[云计算培训]云计算真的安全吗")
