何为云计算?对云计算的定义有多种说法。对于到底什么是云计算,至少可以找到100种解释。 目前广为接受的是美国国家标准与技术研究院(NIST)定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问, 进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。
虽然云计算的优势很明显,但云计算同样存在许多的问题,尤其是那些牵涉敏感信息安全防护的问题,更是受到了许多人的“诟病”。云计算到底有哪些不稳定因素,它的发展瓶颈又有哪些?下面就让信息安全领域的专家山丽网安来告诉您吧。
五大云计算“瓶颈”大公开
引言:云攻击事件——“Code Spaces事件”
前不久,针对源代码托管运营商Code Spaces的真是案例中,攻击者利用组合工具入侵了Code Spaces基于亚马逊Web服务(AWS)的整体架构。该威胁始于攻击者尝试勒索Code Spaces,并以此作为停止对其发起的多载体DDoS攻击的交换条件。最后,攻击者控制了Code Spaces AWS控制台,几乎删除了所有存储在云中的数据。由此产生的因数据丢失和为SLA补救措施而付出的代价将使Code Spaces公司无法再运营下去。
这样的事件虽然不是很常见,但是从侧面反映了一个重要问题:那就是当企业在计划迁移数据到“云”中后,其中进一步要做的事情应该是部署制定严密的计划来应对泛滥的DDoS(分布式拒绝服务)攻击以及不断增加的威胁。
不过,多数企业不相信自己会成为DDoS的攻击者。所以,在制定IT预算时候,把适当的防御措施总是放在计划书的最后。但残酷的现实显示,由于大多数企业都没有检测工具,自己的资产被别人入侵,自己往往毫无意识。
其次,就是如何保护云计算?目前企业的重要数据放在不同的存储设备中,这些设备由不同的提供商和合作伙伴提供,因此,企业必须监控和保护新的“安全边界”,与此同时,如何仔细衡权保护基于云计算上的数据是整个企业应该考虑的安全问题之一。
第一:如何防护新的企业边界
过去,企业只需将安全重心放在保护数据中心的出口上。采用云技术就意味着企业数据和应用会分发到多个数据中心,这就为企业创建了新的安全边界,企业要在更多的地方实施防护。那么企业该如何在所有保存企业数据的地方防御攻击呢?
第二:维护远程访问
就定义来看,云技术是一种远程访问技术。如果企业的云服务提供商遭遇了严重的DDoS攻击,对服务的网络访问遭到禁止,这等同于企业应用被“宕机”了。企业的云服务提供商又要采取什么措施来防止这种情况发生在企业身上呢?
第三:如何实现内外隔离保护
攻击人员可以跟普通用户一样购买云服务。那么又如何在云环境内部保护企业数据远离威胁?
第四:云防护如何以小搏大
每周刊登的头条新闻都会谈论最新的针对大型银行或知名网站的千兆级大流量攻击。然而,仅有约25%的DDoS攻击是大流量攻击。云服务提供商该如何帮助企业应对这些大流量攻击呢?
第五:安全协议如何随“云”而变
为了建立有利于云计算市场竞争的定价,多数提供商都会选择创建对多数用户都可用的一般性保护配置文件,以降低解决方案成本。那么采用通用安全协议的云服务提供商又如何满足特定安全需求呢?
虽然以上五条是限制云计算发展的主要障碍,但有一个障碍可以说是在所有现代信息技术发展中“常态”存在的——那就是数据的安全防护问题。云计算在提高了数据运算效率的同时,也大大增加了数据泄漏的风险,如何保证那些在云中交互和储存的数据安全成了云计算发展中“瓶颈之中的瓶颈”。
不过,问题虽然严峻,但防护之法却“早已拥有”,对于现代多样的、由信息技术发展产生的多样数据防护问题,采用数据加密技术是最好的选择。
数据加密直接作用于数据本身,使得数据在各种情况下都可以得到加密的防护。再者由于加密防护特殊性,使得数据即使泄露了,加密防护依然存在,只要算法不被破译,数据和信息仍然可以称作是安全的。由于这两点保证,使得加密软件成为了现代企业防护信息安全的最主要和最可靠的手段。同时由于未来信息安全防护的多样需求,在加密软件或者说加密技术中,采用走在时代前沿的多模加密技术或是最好的选择。
多模加密技术采用对称算法和非对称算法相结合的技术,在确保了数据本源防护质量的同时,其多模的特性能让用户自主地选择加密模式,从而能更灵活地应对各种加密需求和安全环境。而作为这项技术使用的典型代表,山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术,从而进一步确保了信息安全防护的便利性和完整性(加密与格式无关)。
总而言之,云计算的安全问题确实存在不少,所以人们对于云计算是否安全仍较为担心。不过现实也不总是那么残酷的,事实证明,企业在使用云计算之后又大量的数据迁移工作单发生数据泄漏和被窃的情况仍然是少数。事实上,大多数涉及到云提供商的企业数据被窃事件都是由于企业错误造成的,而不是云服务提供商的问题。不过,对于那些虽然“少数”但可能发生的问题我们也不能“掉以轻心”,而主动采用灵活且具有针对性的加密软件进行数据本源的防护似乎是最为稳妥的做法。