2)用戶應用不能安全交付
云計算服務商在運行維護過程中��,需要對整個云計算中心的服務器存儲網(wǎng)絡等資源進行運維管理�。在這個過程 中,任何運維管理環(huán)節(jié)的問題��,都可能對用戶的應用造成損害,如因為配置方面的疏忽��,造成用戶的虛擬化計算資源不足以正常運行業(yè)務系統(tǒng);因為網(wǎng)絡安全的配置 錯誤導致互聯(lián)網(wǎng)連接不通;因為服務商對公共安全風險如DDOS攻擊防護不足導致用戶對外的業(yè)務交付出現(xiàn)故障等���。
3)內部人員數(shù)據(jù)竊取
企 業(yè)的核心數(shù)據(jù)在云計算環(huán)境中的存儲����,離不開管理員的操作和審核,如果服務商內部的管理出現(xiàn)疏漏���,將可能導致內部人員私自竊取用戶數(shù)據(jù)�,從而對用戶的利益造 成損害����。在這種情況下�����,除了通過技術的手段加強數(shù)據(jù)操作的日志審計之外���,嚴格的管理制度和不定期的安全檢查十分必要�����。云計算服務供應商有必要對工作人員的 背景進行調查并制定相應的規(guī)章制度避免內部人員“作案”��,并保證系統(tǒng)具備足夠的安全操作的日志審計能力���,在保證用戶數(shù)據(jù)安全的前提下,滿足第三方審計單位 的合規(guī)性審計要求。
4)用戶身份認證的安全
云計算服務商在對外提供服務的過程中�����,需要同時應對多租戶的運行環(huán)境����,保證不 同用戶只能訪問企業(yè)本身的數(shù)據(jù)、應用程序和存儲資源�。在這種情況下,運營商必須要引入嚴格的身份認證機制��,不同的云計算租戶有各自的帳號密碼管理機制��。如 果運營商的身份認證管理機制存在缺陷����,或者運營商的身份認證管理系統(tǒng)存在安全漏洞,則可能導致企業(yè)用戶的帳號密碼被仿冒����,從而使得“非法”用戶堂而皇之的 對企業(yè)數(shù)據(jù)進行竊取。因此如何保證不同企業(yè)用戶的身份認證安全��,是保證用戶數(shù)據(jù)安全的第一道屏障����。
3 云計算環(huán)境下安全防護的差異化分析
基于云計算環(huán)境下的安全風險分析���,在云計算安全的建設過程中,需要針對這些安全風險采取有針對性的措施進行防護��。和傳統(tǒng)的數(shù)據(jù)中心安全建設方式相比����,云計算環(huán)境下的安全建設有其明顯的特點,主要存在以下幾個方面的差異����。
3.1 云計算環(huán)境下一般性安全風險的特點
在云計算的建設過程中�����,盡管其在業(yè)務模型或者服務器虛擬化等方面有了革命性的變化��,但是其應用系統(tǒng)本身以及用戶訪問的行為并沒有發(fā)生本質的變化:服 務器業(yè)務系統(tǒng)的安全交付�、用戶訪問的安全隔離和控制、網(wǎng)絡本身對DDoS等惡意流量的攻擊防護��、病毒蠕蟲�、惡意代碼和釣魚網(wǎng)站等安全威脅仍然存在��。因此���, 云計算的安全防護首先需要考慮的是如何對這部分常規(guī)安全風險進行防護。從這個角度看��,傳統(tǒng)的防火墻和入侵防御等產(chǎn)品形態(tài)仍然適合����,而且涉及到的技術支撐和 設備的防護部署思路可以繼續(xù)借鑒。當然�����,在云計算環(huán)境下��,因為系統(tǒng)流量模型的相對集中���,對于安全設備的性能和擴展性等方面有了一些新的要求��,系統(tǒng)需要支持 更高性能的安全防護�����,尤其是當安全作為一種服務對外提供的環(huán)境下����,更需要安全資源池在高性能可擴展方面提供相應的保障。
