信息化觀察網(wǎng)

云的安全問(wèn)題，從云計(jì)算誕生開(kāi)始便備受關(guān)注。了解云計(jì)算的安全問(wèn)題，有助于我們更好地排除威脅，推動(dòng)云的發(fā)展。目前來(lái)看，云端存在的安全威脅主要有幾個(gè)方面：

大規(guī)模的數(shù)據(jù)中心更易成為外界攻擊的目標(biāo)

在沒(méi)有部署云計(jì)算時(shí)，承載信息服務(wù)的各個(gè)數(shù)據(jù)中心散列在各處，即便被攻擊，受影響的面也不會(huì)太大?，F(xiàn)在擁有數(shù)十萬(wàn)臺(tái)服務(wù)器的數(shù)據(jù)中心屢見(jiàn)不鮮，因?yàn)橹挥幸?guī)模上去，云計(jì)算的優(yōu)勢(shì)才能更加明顯。另一方面，擁有海量信息的數(shù)據(jù)中心目標(biāo)太大，很容易成為別人攻擊的目標(biāo)，加上云計(jì)算用戶(hù)的多樣性和規(guī)?；?，遭受攻擊的頻率也急劇增大。除此之外，不安全的接口和界面、新的攻擊方式、混亂的身份管理、高級(jí)持續(xù)性威脅、審查不充分、惡意SaaS應(yīng)用、共享技術(shù)問(wèn)題等等，都是云計(jì)算要面臨的安全威脅。

多租戶(hù)環(huán)境下，無(wú)法回避的數(shù)據(jù)安全問(wèn)題

在傳統(tǒng)網(wǎng)絡(luò)中也存在數(shù)據(jù)泄露威脅，但在云計(jì)算環(huán)境中數(shù)據(jù)泄露嚴(yán)重性更高。由于云服務(wù)器上保存了大量客戶(hù)的隱私數(shù)據(jù)，在多租戶(hù)環(huán)境下，一個(gè)客戶(hù)應(yīng)用存在漏洞可能就會(huì)導(dǎo)致其他客戶(hù)數(shù)據(jù)的泄露。

數(shù)據(jù)泄露不僅導(dǎo)致商業(yè)機(jī)密、知識(shí)產(chǎn)權(quán)和個(gè)人隱私的泄露，而且對(duì)企業(yè)而言可能產(chǎn)生毀滅性打擊。云計(jì)算依托的基礎(chǔ)就是海量數(shù)據(jù)，只有在超大型的數(shù)據(jù)中心才能充分發(fā)揮作用，而海量數(shù)據(jù)若發(fā)生泄露，造成的損失很大，尤其是各種數(shù)據(jù)混雜在一起，做不好數(shù)據(jù)防護(hù)，很容易被人所竊取。惡意黑客會(huì)使用病毒、木馬或者直接攻擊方法永久刪除云端數(shù)據(jù)來(lái)危害云系統(tǒng)安全。

盤(pán)根錯(cuò)節(jié)、難以悉數(shù)把握的虛擬層漏洞

云計(jì)算時(shí)代，一臺(tái)服務(wù)器上可以運(yùn)行十臺(tái)虛機(jī)，這些虛機(jī)還可能屬于十個(gè)不同用戶(hù)。攻擊者虛擬機(jī)可直接運(yùn)行在這臺(tái)服務(wù)器的內(nèi)存里面，僅僅是使用一個(gè)虛擬層隔離，一旦攻擊者掌握了可以穿透虛擬層漏洞，就可以毫不費(fèi)力完成入侵，常見(jiàn)的虛擬化層軟件如XEN、KVM都能找到類(lèi)似安全漏洞。

一般服務(wù)器是一臺(tái)標(biāo)準(zhǔn)Linux服務(wù)器，運(yùn)行著標(biāo)準(zhǔn)的Linux操作系統(tǒng)以及各種標(biāo)準(zhǔn)的服務(wù)，被攻擊者攻破的通道很多。為了實(shí)現(xiàn)虛擬機(jī)自動(dòng)遷移，虛擬化技術(shù)被應(yīng)用于云計(jì)算網(wǎng)絡(luò)中，這種虛擬網(wǎng)絡(luò)是一個(gè)大二層架構(gòu)，甚至是跨越機(jī)房、跨越城市的大二層架構(gòu)。在這樣一個(gè)超大的二層虛擬網(wǎng)絡(luò)中，ARP欺騙、以太網(wǎng)端口欺騙、NBNS風(fēng)暴等二層內(nèi)部的攻擊問(wèn)題，危害性都遠(yuǎn)遠(yuǎn)超過(guò)了它們?cè)趥鹘y(tǒng)網(wǎng)絡(luò)中的影響。

邊界防火墻的失效

在對(duì)外提供云計(jì)算業(yè)務(wù)之前，數(shù)據(jù)中心都是獨(dú)立機(jī)房，由邊界防火墻隔離成內(nèi)外兩塊。防火墻內(nèi)部屬于可信區(qū)域，自己獨(dú)占，外部屬于不可信區(qū)域，所有的攻擊者都在這里。安全人員只需要對(duì)這一道隔離墻加高、加厚即可保障安全，也可以在這道墻之后建立更多防火墻形成縱深防御；在開(kāi)始提供云計(jì)算業(yè)務(wù)之后，這種簡(jiǎn)潔的內(nèi)外隔離安全方案已經(jīng)行不通了，通過(guò)購(gòu)買(mǎi)云服務(wù)器，攻擊者已經(jīng)深入提供商網(wǎng)絡(luò)的腹地，穿越了邊界防火墻。

云計(jì)算內(nèi)部的資源不再是由某個(gè)用戶(hù)獨(dú)享，而是幾萬(wàn)、幾十萬(wàn)甚至更多互相不認(rèn)識(shí)的用戶(hù)共有，當(dāng)然也包含一些惡意用戶(hù)，這些用戶(hù)可以輕而易舉進(jìn)入云計(jì)算內(nèi)部，竊取私密信息。傳統(tǒng)劃分安全域做隔離已經(jīng)行不通了，哪里有云計(jì)算提供的服務(wù)，哪里就需要安全，安全防護(hù)要貫穿到整個(gè)云計(jì)算的所有環(huán)節(jié)，這無(wú)疑將提升云計(jì)算安全部署的成本，即便這樣防御效果還不見(jiàn)比以前好。

最后，隨著網(wǎng)絡(luò)安全問(wèn)題的日益突出，人們也逐步意識(shí)到了問(wèn)題的嚴(yán)重性，并提出了不少抵御安全威脅的方案；但另一方面，由于安全問(wèn)題關(guān)乎技術(shù)、管理和產(chǎn)業(yè)等各領(lǐng)域，需要各行業(yè)的人員共同努力，所以需要更多的時(shí)間，以及更多的實(shí)踐，無(wú)法一蹴而就。因此，大家在保持警惕同時(shí)，也應(yīng)循序漸進(jìn)、遵循科學(xué)合理的方式，做更為細(xì)致、全面的規(guī)劃。