標籤:

雲計算安全有哪些可以研究的?

12-29

大多數人對於安全是不care的,相關的話題關注的人和回答的人都不多,側面也應證了對安全不夠重視的情況。一般情況下,安全不能帶來業務的增長,只是作為防範業務風險,防止出問題才迫不得已去用。接觸的很多公司的CEO、CTO對安全的認識更多的是:被黑了找個人籌建團隊,只要不出事就行,也不會當安全是一件有競爭力的事情,自然也就認為不重要。

在雲計算沒有那麼火的年代,也就是大概10年前,公司還都在用安全廠商的產品,買個防火牆、WAF、入侵防禦,組建一支安全工程師的團隊,做滲透測試然後修復漏洞。未成規模的公司不會像大型互聯網公司那樣上升為系統化和工程化的日常活動。

要說雲計算企業安全之前,需要先明確一下企業安全包含哪些事情,而有些事情是雲計算無法代勞的。

  1. 網路安全。比如劃分網域,使用防火牆控制外部進入到內部網路的埠和IP,比如通常會遇到的DDoS攻擊。

  2. 業務安全。比如反欺詐,反欺詐是金融和電商常用到的安全防禦,防止一些惡意用戶利用技術手段獲取利益。舉個例子,某些網站通過id等手段進行價格判斷,但存在一定邏輯缺陷。導致可利用低價商品的ID號購買高價值的商品。

  3. 企業辦公安全。包括紙質文檔,客戶隱私,內部郵件,內部系統賬號,會議內容,運營數據,第三方權益信息等等。這些都是企業的重要信息和數據,需要關注並予以保護。

  4. 伺服器安全。伺服器的漏洞會導致伺服器被黑客攻擊引起停機,信息泄漏,攻擊內部其他機器等風險問題,一般會通過安裝防病毒軟體,定期的漏洞掃描和修復,及時更新和定期改密,密碼使用複雜的強密碼。(一般只包含數字或者密碼過短都屬於弱密碼)

  5. 資料庫安全。資料庫容易遭受SQL注入,撞庫攻擊等以資料庫為目標,獲取資料庫重要信息為目的的安全威脅。

  6. 機房安全。沒有上雲的企業一般是自建機房或者託管在IDC機房中,這就涉及到機房的安全措施和規範,不允許沒有許可權的人進入機房是最基本的規定,此外還要考慮機房的溫度、濕度等環境因素是否會造成機房的失火,設備運行不穩定等問題。對機房要做到控制並登記出入人員,24小時監控機房狀況,防止人為或者物理的威脅。

等等。其實安全的範圍很多也很雜,身處安全行業會感覺自己要有三頭六臂,但也防不住蠢蠢欲動的黑客,攻防是持久戰,出招拆招永不停息。

那雲計算和傳統的企業安全有什麼聯繫和區別?

從使用安全服務或者產品的甲方來看,雲計算會更方便一些,本身雲計算就是要像水電一樣的提供計算能力。同樣的,雲計算的安全也是要像水電一樣的提供安全服務。不過能夠提供的也是有限的,目前來說以下安全方面的問題可以交給雲計算去做,比如:

  1. 外網防火牆,使用雲主機就可以使用雲平台提供的外網防火牆。提供簡單的功能,比如對埠和IP進行放行或者攔截的限制。未來雲計算髮展應該會提供更豐富好用的防火牆。

  2. 高防服務。對於抗DDoS來說,使用雲平台的高防服務是省錢省力的一件事情,比如UCloud – 專業雲計算服務商的高防可以扛400G攻擊,使用的是一個專門的清洗機房。他們家用過體驗是最好的。遇到DDoS攻擊不會是每天都發生的事情,如果自己組建個團隊再部署一個清洗機房,拉好幾百G的帶寬來做這件事情成本高精力花的多,得不償失。不如使用雲上的服務。

  3. 伺服器審計系統。也就是堡壘機。使用雲上的堡壘機一個不容易宕機,另外一點是數據不容易被篡改,堡壘機作為第三方提供的服務,數據存放在自己的設備上,但是自己人沒辦法上去修改設備中的數據。更安全。

  4. 代碼審計,滲透測試,代碼框架的安全功能。這些屬於有點"繁瑣"的工程,大部份甲方團隊都沒有足夠的人力去應付產品線交付的數據量龐大的代碼,沒有能力去實踐完整的SDL,這也是比較有挑戰的安全業務,而且還在持續增長中。

  5. 業務安全,包括帳號安全、交易風控、徵信、泛價格爬蟲,反作弊,反釣魚,反垃圾信息。這些數據大型互聯網公司都有非常好的積累,可以直接拿過來用,不過存在一個弊端就是對業務的了解不足,需要投入人力對業務安全的規則,邏輯進行優化。目前優秀的反欺詐廠家有同盾、通付盾、阿里的蟻盾。

雲計算不能防護到的安全方面的問題包括:

  1. 辦公網安全。需要企業提升員工的安全意識,對接整個公司的各個部門,將紙質文檔,客戶隱私,內部郵件等等有意識的保護起來。

  2. 安全品牌營銷,渠道維護。比如為品牌的安全形象進行市場宣傳,尤其金融公司,使用者都非常關心金融公司的安全性,是否能夠保障資金的安全。

  3. 過一些安全資質的評審,比如信息安全評審,或者三級等級保護評審。

  4. 對業務形成自己的風控及安全管理方法論,要有自主評估和修復的能力。

未來雲計算安全的趨勢是大數據機器學習的方式發現問題,因此對於大數據方面也建議進行一些研究

雲計算是繼計算機、互聯網出現後信息領域又一次改革,雲計算的應用使各個企業能夠對先進信息技術進行更好更快的利用,能夠降低企業前期的運營成本,將企業的可獲利潤最大化。但是雲計算在給各行各業帶來福利時,雲計算安全事件也時有發生,由雲計算問題引發的計算機網路安全信任危機也愈演愈烈。如2011年3月大約有15萬Goolge Gmail用戶的郵件和聊天記錄被刪除和惡意使用,部分用戶賬戶信息被重置;2011年8月Microsoft和Amazon在歐洲的雲計算網路大規模停機,多家網站被同時關閉,數小時後才恢復正常,這些雲計算安全事故嚴重地影響了用戶使用雲服務的信心,據Morgan Stanley在2011年關於雲計算的調查結果表明,將近80%的用戶對雲服務的安全性表示擔憂。因此,在研究雲計算的技術架構和面向社會服務模式的同時,也要從企業商業機密安全和網路用戶私人信息安全形度,對雲計算時代所面臨的計算機網路安全威脅和相應的應對措施進行深刻的探討和研究。
  1 雲計算的基本概念和發展現狀
  1.1 雲計算的基本概念
  雲計算是分散式計算、並行計算、效用計算、網路存儲、虛擬化、負載均衡等傳統計算機和網路技術發展融合的產物,雲是網路、互聯網的一種比喻的說法,能提供資源的網路即可稱為「雲」,過去在圖形中往往用雲來作為互聯網的一種抽象表示。雲計算就是把所有的數據處理任務都交給計算機網路來處理,有功能超級強大的數據處理中心負責處理客戶電腦上的一切數據任務,這樣就可以通過一個數據中心同時向多個用戶提供服務,從而節省了企業的硬體資源,與傳統的互聯網應用模式相比,雲計算能夠從各個方面確保服務的靈活性、高效性和精確性,能夠為用戶帶來更完美的網路體驗,能夠為企業創造更多的利潤。
  1.2 雲計算的發展現狀
  隨著全球信息化的步伐逐漸加快,計算機所需存儲的數據和所需處理的數據也急劇增加,傳統的互聯網應用模式和計算機網路系統已不能滿足社會飛快發展的需求。於是,在2007年,Goolge首次提出了雲計算這個概念,這種新的網路應用模式使企業能夠充分對數據資源進行研究,使得數據收集和數據處理能夠在同一平台上進行,雲計算的出現徹底打破了地域的概念,使得資源可以跨地域存儲。但是,目前各個公司所開發和運營的雲計算業務還不夠成熟穩定,雲計算的數據存儲和處理對於用戶而言,就像一個黑匣子,用戶不知道自己的私人信息到底存儲在哪裡以及將以何種方式進行處理,而且,雲計算的數據處理方式和效率相當不穩定,非常不可控,這對於數據私密性不強的用戶而言算不上問題,但對那些數據私密性要求較高的用戶來說,雲計算頻繁出現的安全問題,會給他們帶來很多安全隱患和威脅。從目前雲計算的發展情況來看,用戶數據的安全、用戶隱私的保護、數據的跨區域存儲以及雲計算本身的穩定性和高效性等諸多問題是影響雲計算髮展的重要阻礙,而且能不能保證用戶的數據和隱私的安全,是用戶是否選擇雲計算的重要前提條件。
  2 雲計算的服務系統架構
  雲計算及其發展而來的雲安全就是雲計算服務方式的改變,目前,國際大型IT公司已經陸續建立起自己的雲計算服務終端以及向外提供各種雲計算服務業務,如2011年7月,「盛大雲」平台正式開放公測;2011年10月,在阿里巴巴開發者大會上,阿里雲計算正式發布旗下的雲計算產品與服務;2012年初,華為cloud+個人雲、HWcloud公有雲服務開始測試等等,根據美國國家標準與計算機研究院的定義,當前的雲計算服務體系架構可以分為3個層次:1)基礎管理層,基礎管理層主要是解決計算機資源的共享問題,主要可以分為集群系統、分散式文件系統、網路計算、並行計算等幾個方面,它們可以將IT基礎設施以服務的形式供用戶自由使用,主要包含伺服器、數據存儲和網路等資源,如Amazon的彈性計算雲、IBM的藍雲等。2)應用介面層,應用介面層主要是解決以何種方式對外提供服務,包含網路接入、用戶驗證、許可權管理等幾個方面,是一種由雲計算服務商集中部署的應用系統,客戶進行互聯網訪問的一種服務介面,如公用API介面、應用軟體、Web service等。3)訪問層,訪問層是指雲計算所提供的一些具體的應用,它將滿足某種應用需求的平台以服務的形式提供給用戶,如:個人空間服務、運營商空間租賃企事業單位或SMB實現數據備份、網路大容量在線存儲等。
  3 雲計算的安全問題
  雲計算的吸引力主要在於其擁有高可靠性、動態可擴展性、超強計算和存儲、虛擬化技術和低成本等顯著性的優點。然而任何以互聯網為基礎的應用都存在著一定的危險性,雲計算也不例外,雲計算的安全問題可以從傳統安全問題和新出現的安全問題兩大方面入手。
  3.1 傳統安全問題未能有效的解決
  3.1.1 不安全的API
  API(應用程序編程介面)的安全性是雲計算保證用戶數據安全的基本保障,通常雲服務的安全性和處理數據的能力與API的安全性息息相關,雲計算服務商需要提供大量的網路介面和API來整合上下游、尋找業務夥伴,甚至直接提供業務,所以這些API介面的設計必須能夠防禦意外和惡意企圖的信息泄露行為,以確保用戶認證、加密和訪問控制的有效性。然而傳統API 的性能並不理想,在針對網路介面和API上都還不夠成熟,在一些通常運行於後台相對安全環境的功能被開放出來之後,就會給雲計算服務帶來新的安全威脅。   3.1.2 審計功能不完備
  傳統服務提供商需要對用戶信息進行外部審計和安全認證,但一些雲計算提供商卻拒絕接受這樣的審計服務,而且,用戶只需要提交自身原始數據,數據的運算過程全部由雲計算伺服器處理,最終結果也直接通過雲計算伺服器提供,用戶無法參與數據運算過程也無法審計運算結果,使得原始數據提供者承擔了更多的責任和義務,除此之外,使用雲計算的用戶對自己數據的完整性和安全性負有最終的責任。這種審計功能的不完備性,使得用戶要蒙受更多的損失,嚴重影響了用戶對使用雲計算服務的信心。
  3.1.3 非法用戶的侵入
  雲計算在給用戶帶來快捷運算的同時,也給用戶的信息安全帶來威脅。黑客攻擊、病毒傳播、用戶信息被盜等這些不法行為也同樣可以發生在雲平台上,而且雲平台相比傳統互聯網服務具有更大的開放性和動態性,所以其影響範圍也將遠遠高於傳統互聯網,當雲計算平台受到黑客攻擊時將對所有的雲服務產生影響,並且黑客還可以利用雲計算工具將攻擊範圍大大擴張。
  3.2 雲計算新出現的安全問題
  3.2.1 業務定位模糊
  雲計算服務集成了互聯網內容服務、數據存儲、內容分發等業務,並擴大了經營範圍。由於其龐大的服務範圍和業務模式,所以根本無法簡單的將雲計算進行電信業務分類,就更談不上與之相對應的業務服務體系和執行標準了。同時,當前雲計算服務發展參差不齊,大到政府投資建設的、規模達數十億的雲計算中心,小到某一智能終端廠商開發的雲計算軟體商店,都沒制定出相應的服務條例和管理規則,導致雲計算服務行業沒有一個統一的標準去執行,這也大大增加了雲計算服務出現安全事件的可能性。
  3.2.2 數據恢復難度大
  雲計算環境下,用戶數據在眾多「雲」粒子終端運算,用戶不知道數據存儲的位置,在發生安全事故時,雲服務商不能及時的告知用戶他們所存儲的數據遇到了怎樣的情況,用戶也就無法對所需運輸的數據進行及時的處理。如:當用戶的數據正在運算過程中,突然遭遇斷電等突發事件,用戶的數據將無法保證。由於數據存放地點不清楚,數據恢復更是無從談起。而且也有可能被不法份子趁機盜取,給用戶造成巨大損失。
  3.2.3 複雜的合法規則性需求
  雲計算服務是面向全世界的一種計算機網路服務,每個國家都有權利制定相應的法律對雲計算業務進行監督管理,而不同國家所制訂和執行的法律之間,總會存在些許差異,這就對跨國運營的雲計算提供商提出了比較大的挑戰,使得雲計算的跨國合作更加困難。
  4 雲計算安全問題的解決措施
  4.1 完善相應的法律法規和技術規範
  理論是實踐的基礎,是實踐的指導軍師,所以必須基於雲計算的技術發展和業務模式,儘快制定完善的法律法規和技術規範,使得雲計算行業有統一的執行標準和服務條例。如出台數據保護法、建立雲計算平台網路安全防護制度與應急處置預案、明確雲計算服務提供商信息安全管理責任等。
  4.2 建設更有針對性的監控手段
  雲計算服務進一步降低了互聯網業務的開發和應用門檻,並為信息創造了更快捷、更廉價的傳播渠道,這不僅為用戶帶來了便利,同時也為企業帶來了福利。但是就是因為其有利可圖,所以需配套建設有力的技術管控手段,來確保雲計算服務行業的和諧與乾淨,如開發數據審計系統、違法信息和有害信息的發現和過濾系統、用戶信息驗證系統等等
  4.3 建立雲計算服務分級分類管理制度。
  由於雲計算服務範圍空前的廣泛,使得對其的管理難度也空前的巨大,但是我們可以採用「模塊化」思想,將雲計算服務按照使用對象、使用範圍、業務模式劃分為不同的安全等級要求,如根據使用對象劃分分為面向政府、企業和普通用戶的雲服務,根據使用範圍劃分為私有雲、公有雲、混合雲等,根據業務模式劃分為提供信息、軟體和基礎設施資源的雲服務,並根據每個等級的特點和需求制定安全防護標準和等級保護制度。除此之外,還可以建立誠實可信的第三方公共雲服務平台,如由中小企業提供的雲服務平台、由政府獨自開發的公共雲服務平台等等。
  4.4 積極自主研發新技術
  我國對雲計算的研究與應用要晚於歐美髮達國家,在雲計算核心技術方面的研究也嚴重不足,擁有自主知識產權的技術也較少,所以我國應該建立相應的雲計算研究部門,自主開發研究雲計算新技術,在一些重要的信息技術和網路設施要盡量使用我國自主研發的,這樣才能促進我國雲計算技術的發展,才能縮短與先進國家的差距,使我國的雲計算服務安全性能更高,使國內用戶能夠放心地、樂意地使用雲計算服務。
  在信息化時代的今天,雲計算將會越來越普及,雲計算的安全也會越來越受重視,雲計算的發展在給人們帶來便利靈活、高效處理數據能力的同時,也給人們帶來了許多未知的安全威脅,對於服務商來說,如何保證用戶的重要數據和私人信息的安全?對用戶來說,如何相信雲計算服務能夠保證自身數據的安全?這兩方面問題將是雲計算髮展道路上必須解決的問題。所以,我們需要對雲計算不斷的深入研究,儘快完善雲計算各個方面,讓雲計算為我們提供高質量且穩定可靠的服務。

更多內容,歡迎大家進入網站點擊我的博客,順便我們公司在做一款活動,感興趣的朋友可以來了解一下http://activity.cloudin.cn

補充一下

1、DDOS攻擊與防禦

2、應用層與內容防火牆

3、內部擁塞與性能調優

4、公有雲的對內防火牆

5、第三方加密介面與信任域

6、帶寬!帶寬!帶寬!

7、終端安全

雲計算的安全問題

  在雲計算平台上,用戶不再對計算和存儲擁有物理上的控制能力,數據都彙集在雲計算中心的平台上。而且雲計算採用了虛擬化技術和多租戶技術,多個用戶共享主機的計算能力和數據存儲能力,並且用戶將數據外包給雲計算中心來管理。

  雲計算中心的計算能力和數據的集中管理,必然會使雲計算中心成為黑客攻擊的重點對象。雲計算平台不僅會存在原有的傳統的安全問題,而且雲計算的這些新的服務模式會產生很多新的安全問題。雲安全聯盟(CSA)發布的分析報告提出了首要的九個雲計算的安全威脅:數據泄露、數據丟失、賬戶或者服務信息劫持、不安全的介面和API、拒絕提供服務、內部人員惡意破壞、雲服務的濫用、不充分的審查、共享技術漏洞。

虛擬化環境中的主機安全問題

  雲計算中應用到的最重要的技術就是虛擬化技術,虛擬化技術可以在一個物理計算機上劃分出一個或者多個完全獨立的「虛擬機」,同一台物理機上的所有虛擬機實際上是共享資源的,資源之間的安全隔離是由虛擬化技術來提供的。因此,虛擬化環境中的主機安全問題將直接影響雲計算的安全性。

VM Hopping

  一台虛擬機可能監控另一台虛擬機甚至會接入到宿主機,這稱為VM Hopping。如果兩個虛擬機在同一台宿主機上,一個在虛擬機1上的攻擊者通過獲取虛擬機2的 IP地址或通過獲得宿主機本身的訪問許可權可接入到虛擬機2。攻擊者監控虛擬機2的流量可以通過操縱流量攻擊或改變它的配置文件將虛擬機2由運行改為離線,造成通信中斷。當連接重新建立時,通信將需要重新開始。

VM Escape

虛擬機可以共享宿主機的資源,並且相互隔離。理想的情況下,一個運行在虛擬機中的程序不會影響其他虛擬機。但是,由於技術的受限或者是一些虛擬化軟體的漏洞,可能會讓程序繞過虛擬化軟體的隔離機制,利用宿主機,這種技術叫做VM Escape(虛擬機逃逸)。由於宿主機的特權,會威脅所有的虛擬機。

  VM Escape攻擊獲得Hypervisor的訪問許可權,從而對其他虛擬機進行攻擊。若一個攻擊者接入的主機運行多個虛擬機,它可以關閉Hypervisor,最終導致該Hypervisor上運行的所有虛擬機都不能提供服務

拒絕服務DoS

  在虛擬化環境下,資源如CPU、內存、硬碟和網路由虛擬機和宿主機一起共享。因此,DoS攻擊可能會加到虛擬機上從而獲取宿主機上所有的資源。因為沒有可用資源,從而造成系統將會拒絕來自客戶的所有請求。

  虛擬機也可能引起對主機的拒絕服務攻擊,所有運行在一台主機上的虛擬機共享主機資源。可能會有虛擬機失去控制佔用主機上的所有資源,拒絕向其它虛擬機提供伺服器。需要通過對所有虛擬機實施合適的資源訪問控制來防止此類問題的發生。

虛擬化系統的Rootkit

  Rootkit概念出現在Unix中,它是一些收集工具,能夠獲得管理員級別的計算機或計算機網路訪問。如果 Hypervisor被Rootkit控制,Rootkit可以得到整個物理機器的控制權。此外,虛擬機內的程序也可能會藉助於Rootkit等方法從虛擬機「逃離」,從而影響到宿主機安全。

遷移攻擊

  虛擬機的遷移是將虛擬機從一台主機移動到另一台,虛擬機的內容存儲在 Hypervisor的鏡像文件中,可以通過網路或USB複製虛擬機。

  在虛擬機移動到另一個位置的過程中,虛擬磁碟被重新創建,攻擊者能夠改變源配置文件和虛擬機的特性。一旦攻擊者接觸到虛擬磁碟,攻擊者有足夠的時間來打破所有的安全措施,例如密碼、重要認證等。由於該虛擬機是一個實際虛擬機的副本,難以追蹤攻擊者的此類威脅!

推薦看下:深度剖析雲計算應用面臨的安全威脅,探討雲計算應用安全研究! - 雲計算 多智時代

在雲應用得以快速發展的同時,雲平台的安全問題也越來越被人們所重視。近年來很多雲服務提供商爆出宕機事件,加劇了用戶對雲計算安全性的擔憂。

針對雲計算數據安全問題,目前業界已經開始討論,但有效的解決策略不多,更多的探索是建立在傳統的網路安全思路上,但由於雲應用的廣泛性和複雜性,雲計算特別是公有雲環境下的網路安全管理一直是一項全球性的難題。隨著傳統的安全解決方案對公有雲的架構失效,國內外的安全廠商都在轉向對雲安全解決方案的研究。目前市場還處於等待解決方案的狀態。

昂楷科技通過自身的技術積累,以及實際項目中的應用,率先取得了突破:

?針對小型的雲平台,包含公有或者私有的,我們使用虛擬化引流來解決;

? 針對大型的雲平台,特別是大型公有雲平台,我們採用純軟體的虛擬化資料庫審計技術來解決。

雲計算安全審計、雲計算環境下的攻擊溯源、雲平台安全事件追責等

雲計算曆經十餘年的發展,許多行業都開始用雲來承載數據、處理業務。在雲計算與行業快速融合的同時,更值得注意的應當是雲安全的問題,尤其是當人工智慧、區塊鏈等技術應用在雲計算平台上後,不先關注云安全問題,「雲」就會失去了意義和價值。

雲計算尚不能完全杜絕數據泄露、數據破壞和資源侵佔等情況,也無法對計算平台進行安全評估,此外,目前尚未對違法行為進行檢測和取證的完備的方法,因此雲計算面臨的安全風險比傳統信息化系統更加複雜。

IGNITE持續關注此方面的動態並對此有深刻的看法與認識,詳情可以關注微信公眾號:IGNITE。總而言之,我們應著重研究「雲安全」的問題,不為追求利益而盲目追隨「雲技術」的使用。

推薦閱讀:

什麼是大數據技術? 現在發展怎樣?
如何看待Oracle DBA在雲計算時代的職業危機?
1000M乙太網卡和交換機的吞吐量?
阿里雲強制換IP算不算違法,我們站長如何維權?
人工智慧可以為我們做些什麼?

TAG:雲計算 |