信息化觀察網(wǎng)

如何將智能化和運(yùn)維工作相結(jié)合，實(shí)現(xiàn)智能運(yùn)維！

云計(jì)算在IT技術(shù)領(lǐng)域大放異彩，成為引領(lǐng)技術(shù)潮流的新技術(shù)。云計(jì)算的高速發(fā)展為試圖重新聚焦關(guān)鍵業(yè)務(wù)目標(biāo)的企業(yè)帶來(lái)了許多利好，例如提高產(chǎn)品上市的速度、增加企業(yè)競(jìng)爭(zhēng)的優(yōu)勢(shì)以及降低資本和/或運(yùn)行的開(kāi)支等等。為了管理好云計(jì)算風(fēng)險(xiǎn)，首先了解風(fēng)險(xiǎn)到底是什么將是非常重要的。

所謂風(fēng)險(xiǎn)，也就是指我們不希望發(fā)生的事件發(fā)生的概率。在信息安全領(lǐng)域，風(fēng)險(xiǎn)就是一個(gè)惡意或非惡意暴露機(jī)密信息事件、或威脅數(shù)據(jù)一致性以及干擾系統(tǒng)和信息可用性事件發(fā)生的概率。任何接入互聯(lián)網(wǎng)的組織都處于風(fēng)險(xiǎn)之中，他們都應(yīng)考慮黑暗網(wǎng)絡(luò)的彈性特性和擴(kuò)展私有云計(jì)算和公共云計(jì)算網(wǎng)絡(luò)的能力。

根據(jù)學(xué)習(xí)，發(fā)現(xiàn)云計(jì)算技術(shù)面臨著下面幾個(gè)方面層次的安全威脅：

一、技術(shù)風(fēng)險(xiǎn)

1. IaaS層風(fēng)險(xiǎn)分析

基礎(chǔ)設(shè)施即服務(wù)(IaaS)為用戶提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和其它基礎(chǔ)計(jì)算資源，用戶可以在上面部署和運(yùn)行任意的軟件，包括操作系統(tǒng)和應(yīng)用程序，用戶不用管理和控制底層基礎(chǔ)設(shè)施，但要控制操作系統(tǒng)、存儲(chǔ)、部署應(yīng)用程序和具有對(duì)網(wǎng)絡(luò)組件(如主機(jī)防火墻)具有有限的控制權(quán)限的能力。許多最嚴(yán)重的IaaS風(fēng)險(xiǎn)很大程度是由于云管理員對(duì)操作系統(tǒng)，應(yīng)用程序和云管理界面的錯(cuò)誤配置或缺乏安全控制。

其中一個(gè)主要風(fēng)險(xiǎn)是缺乏安全的API，這些API是由云提供商提供以允許用戶與他們的服務(wù)以及服務(wù)管理更無(wú)縫的集成。盡管提供商負(fù)責(zé)提供安全的API和補(bǔ)丁，客戶應(yīng)該自己對(duì)這些API進(jìn)行評(píng)估，包括支持的傳輸方法以及什么樣的數(shù)據(jù)在與供應(yīng)商的交互過(guò)程中被來(lái)回發(fā)送。API或應(yīng)用程序的更新很容易導(dǎo)致兼容性問(wèn)題，甚至也可能引發(fā)數(shù)據(jù)泄露的場(chǎng)景，因此客戶應(yīng)該定期測(cè)試他們的程序和API交互的部分。

小招數(shù)：建議云客戶要在選定IaaS前徹底調(diào)研云服務(wù)提供商的安全控制和服務(wù)水平協(xié)議?？蛻魬?yīng)盡可能利用多因素身份驗(yàn)證，對(duì)數(shù)據(jù)進(jìn)行加密以減少內(nèi)部威脅，維護(hù)密鑰的控制權(quán)，并開(kāi)始比以往任何時(shí)候都更關(guān)注在云環(huán)境中的可用日志。定期掃描基于云的系統(tǒng)漏洞也是一個(gè)最佳做法。

2. PaaS層風(fēng)險(xiǎn)分析

PaaS平臺(tái)資源的容器是基于操作系統(tǒng)的虛擬化，與IaaS基礎(chǔ)環(huán)境實(shí)現(xiàn)解耦，平臺(tái)自身的實(shí)現(xiàn)多數(shù)是應(yīng)用較廣的開(kāi)發(fā)框架和標(biāo)準(zhǔn) API，能夠有效提升資源管理水平，有效避免廠商綁定;同時(shí)，合理調(diào)整單個(gè)操作系統(tǒng)之上容器密度的有效部署，可以更好提升資源使用率，降低硬件采購(gòu)成本。

PaaS主要以容器云形式實(shí)現(xiàn)，容器云依賴容器基礎(chǔ)技術(shù)，目前常見(jiàn)的有Docker和garden兩種類型。

平臺(tái)即服務(wù)(PaaS)上進(jìn)行網(wǎng)絡(luò)應(yīng)用開(kāi)發(fā)是存在著一定風(fēng)險(xiǎn)漏洞的。具體的威脅風(fēng)險(xiǎn)包括黑客、軟件設(shè)計(jì)缺陷或者不良的測(cè)試方法。這些風(fēng)險(xiǎn)有可能會(huì)利用漏洞來(lái)影響應(yīng)用或大幅度降低應(yīng)用的性能。

3. SaaS層風(fēng)險(xiǎn)分析

SaaS(Software-as-a-Service，軟件即服務(wù))，通過(guò)網(wǎng)絡(luò)在線交付服務(wù)，企業(yè)可以節(jié)省更多的成本，把更多的精力用在促進(jìn)業(yè)務(wù)發(fā)展上而不必被ERP這些軟件的升級(jí)維護(hù)瑣事而困擾，極大的提升運(yùn)營(yíng)效率。

但是很多企業(yè)，尤其是大型企業(yè)，很不情愿使用SaaS正是因?yàn)榘踩珕?wèn)題，SaaS解決方案缺乏標(biāo)準(zhǔn)化，企業(yè)要保護(hù)核心數(shù)據(jù)，不希望這些核心數(shù)據(jù)由第三方來(lái)負(fù)責(zé)。以前看到過(guò)一篇文章，據(jù)說(shuō)多達(dá)20%的SaaS部署項(xiàng)目之所以以失敗告終，原因是數(shù)據(jù)集成方面存在嚴(yán)重問(wèn)題。因此，企業(yè)在采用某一種部署模式之前，需要認(rèn)真分析各種部署模式在系統(tǒng)生命周期所有階段的優(yōu)缺點(diǎn)，這一點(diǎn)還挺重要噠。

不同的云計(jì)算模式責(zé)任劃分不同，具體可參見(jiàn)下圖：

二、管理風(fēng)險(xiǎn)

1. 云服務(wù)無(wú)法滿足SLA

企業(yè)依靠服務(wù)等級(jí)協(xié)議(SLA)來(lái)要求云計(jì)算供應(yīng)商為所提供的服務(wù)提供保障，并在發(fā)生服務(wù)故障時(shí)提出維權(quán)主張。比如，SLA明確規(guī)定了供應(yīng)商的責(zé)任，在什么樣的時(shí)限內(nèi)供應(yīng)商應(yīng)當(dāng)能夠解決問(wèn)題，以及發(fā)生停機(jī)時(shí)間和客戶失去業(yè)務(wù)情況下應(yīng)當(dāng)由供應(yīng)商承擔(dān)的責(zé)任。但是，當(dāng)談及云計(jì)算SLA時(shí)，問(wèn)題的癥結(jié)往往在于細(xì)節(jié)。比如，涉及客戶退還的內(nèi)容就是存在問(wèn)題的。

2. 云服務(wù)不可持續(xù)風(fēng)險(xiǎn)

企業(yè)用戶必須確認(rèn)保存在云中的數(shù)據(jù)是長(zhǎng)期可用的。當(dāng)出現(xiàn)問(wèn)題時(shí)，用戶可以在多長(zhǎng)時(shí)間內(nèi)把你關(guān)心的數(shù)據(jù)交還給你。

3. 身份管理

業(yè)務(wù)專家理解和接受與云計(jì)算客戶和云計(jì)算供應(yīng)商相關(guān)的風(fēng)險(xiǎn)。無(wú)論你擔(dān)任了什么樣的角色，要管理什么樣不想要發(fā)生的潛在事件，都必須實(shí)施風(fēng)險(xiǎn)管理。在云計(jì)算關(guān)系的特定情況下，雙方的風(fēng)險(xiǎn)管理工作都是必要的，其中企業(yè)用戶和云計(jì)算供應(yīng)商都必須擁有成熟的風(fēng)險(xiǎn)管理計(jì)劃。成熟度是通過(guò)一個(gè)有管理、有周期性報(bào)告以及維持低風(fēng)險(xiǎn)狀態(tài)定量證據(jù)的計(jì)劃來(lái)證明的。

三、法律法規(guī)風(fēng)險(xiǎn)

1. 數(shù)據(jù)跨境

隨著大數(shù)據(jù)時(shí)代的來(lái)臨，傳統(tǒng)的存儲(chǔ)架構(gòu)無(wú)法解決高速的數(shù)據(jù)增長(zhǎng)，越來(lái)越多的企業(yè)使用大數(shù)據(jù)平臺(tái)存儲(chǔ)數(shù)據(jù)。大數(shù)據(jù)平臺(tái)大多是基于一些開(kāi)源軟件開(kāi)發(fā)而成，其復(fù)雜的架構(gòu)，模塊的不穩(wěn)定，數(shù)據(jù)的跨地域傳輸?shù)忍攸c(diǎn)，都會(huì)給大數(shù)據(jù)平臺(tái)的安全帶來(lái)極大的威脅。當(dāng)使用云計(jì)算后，你將無(wú)法知道數(shù)據(jù)確切的存放位置，甚至不知道是被存放在了哪個(gè)國(guó)家。

2. 隱私保護(hù)

在使用云計(jì)算提供的服務(wù)時(shí)，雖然可以通過(guò)SSL對(duì)數(shù)據(jù)進(jìn)行加密，但是由于云計(jì)算同時(shí)為多個(gè)用戶提供服務(wù)，你的數(shù)據(jù)很有可能與其他云客戶的數(shù)據(jù)存放在一起。

3. 犯罪取證

云計(jì)算同時(shí)為多個(gè)企業(yè)提供服務(wù)，同時(shí)記錄了多個(gè)企業(yè)使用云計(jì)算的情況，當(dāng)某一個(gè)企業(yè)需要被調(diào)查時(shí)，這種多個(gè)企業(yè)使用云計(jì)算的日志被記錄在一起的情況增加了司法調(diào)查的難度。

這對(duì)云計(jì)算普及提出了更高的要求和更大的挑戰(zhàn)。在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中，云服務(wù)商和云租戶應(yīng)該共同承擔(dān)安全責(zé)任，建設(shè)安全防護(hù)措施。而現(xiàn)有云環(huán)境下，除提供邊界的安全防護(hù)和基本虛擬網(wǎng)絡(luò)保護(hù)外，缺少更豐富的安全服務(wù)，更無(wú)法直接為租戶提供安全服務(wù)，云租戶難以便利實(shí)現(xiàn)其網(wǎng)絡(luò)安全防護(hù)，履行其安全職責(zé)，存在合規(guī)性風(fēng)險(xiǎn)。