“云計算”產(chǎn)生之初到今�,對其安全問題的質(zhì)疑就從未停止過�����,云計算是火起來了��,但云安全問題也頗為頭疼�。企業(yè)在關(guān)心自己的數(shù)據(jù)不會被肆意獲取、篡改外�,最關(guān)心的還是自己的私有信息不會被有意或無意的泄漏。
當(dāng)企業(yè)把數(shù)據(jù)交給云計算服務(wù)商后�����,具有數(shù)據(jù)優(yōu)先訪問權(quán)的并不是企業(yè)自己,而是云計算服務(wù)商����。如此一來,就不能排除企業(yè)數(shù)據(jù)被泄露的可能性��。而除了云計算服務(wù)商之外�����,大量覬覦云端數(shù)據(jù)的黑客們他們不停的挖掘著服務(wù)商Web應(yīng)用上的漏洞��,以期望打開缺口��,獲得有價值的數(shù)據(jù)�����。
雖然云計算可以讓企業(yè)用廉價的成本獲得以往無法想象的高計算能力�、高可用性、隨需應(yīng)變的動態(tài)資源分配特性�����、更快的市場響應(yīng)服務(wù),甚至更加綠色環(huán)保�、節(jié)能減排等技術(shù)價值。但是在擁抱云計算的同時云計算面對的風(fēng)險也是不容忽視��,如果不能很好的解決安全問題���,會不會成為過眼“浮云”呢?
云計算的七大安全隱患
在云計算下的三種類型的服務(wù)分別為IaaS,PaaS和SaaS�����,提供基礎(chǔ)設(shè)施云服務(wù)���、平臺云服務(wù)和軟件云服務(wù)����,在IaaS云環(huán)境下應(yīng)用軟件是用戶自己來設(shè)計����、PaaS云中是基于平臺來設(shè)計,而SaaS云中有直接可以使用的云軟件�。但是不論是哪種形式的云服務(wù)數(shù)據(jù)都將保存在云中,根據(jù)全球知名市場分析公司Gartner發(fā)布的一份研究報告,數(shù)據(jù)存放在云中存在著七大安全風(fēng)險:
1. 數(shù)據(jù)被未知的超級用戶訪問風(fēng)險
使用云計算后����,企業(yè)的數(shù)據(jù)存放在云中,再也不能像將數(shù)據(jù)存放在企業(yè)本地時可以通過物理控制��、邏輯控制���、人員控制對數(shù)據(jù)的訪問進行控制�����。存在云計算提供者的超級用戶有可能對企業(yè)的數(shù)據(jù)進行查看與修改的風(fēng)險;
2. 合規(guī)性檢查風(fēng)險
傳統(tǒng)合規(guī)性檢查時要求對企業(yè)內(nèi)部的數(shù)據(jù)提供安全保障�����,云計算環(huán)境下數(shù)據(jù)被存放在企業(yè)外部����,存在無法對數(shù)據(jù)安全性進行合規(guī)性檢查的風(fēng)險;
3. 數(shù)據(jù)存儲位置未知風(fēng)險
當(dāng)使用云計算后����,你將無法知道數(shù)據(jù)確切的存放位置,甚至不知道是被存放在了哪個國家�����。
4. 數(shù)據(jù)沒有被真正隔離的風(fēng)險
在使用云計算提供的服務(wù)時,雖然可以通過SSL對數(shù)據(jù)進行加密����,但是由于云計算同時為多個用戶提供服務(wù),你的數(shù)據(jù)很有可能與其他云客戶的數(shù)據(jù)存放在一起��。
5. 數(shù)據(jù)恢復(fù)風(fēng)險
盡管云計算提供者承諾他們的數(shù)據(jù)是安全的����、可靠的�、不會丟失,但是這個承諾只有當(dāng)真的發(fā)生時才能知道是否屬實���,存在數(shù)據(jù)損失后無法恢復(fù)的風(fēng)險����。
6. 增加司法調(diào)查困難的風(fēng)險
云計算同時為多個企業(yè)提供服務(wù)�����,同時記錄了多個企業(yè)使用云計算的情況��,當(dāng)某一個企業(yè)需要被調(diào)查時,這種多個企業(yè)使用云計算的日志被記錄在一起的情況增加了司法調(diào)查的難度���。甚至有可能存在司法調(diào)查無法進行的風(fēng)險���。
7. 長期可用性保證的風(fēng)險
企業(yè)用戶必須確認保存在云中的數(shù)據(jù)是長期可用的。當(dāng)出現(xiàn)問題時����,用戶可以在多長時間內(nèi)把你關(guān)心的數(shù)據(jù)交還給你。
“全云審計”的誕生
“全云審計”的目標(biāo)是對云計算本身的審計�,即:實現(xiàn)對IaaS,PaaS和SaaS各個層面的審計����,解決云計算用戶可信的問題。國都興業(yè)信息審計系統(tǒng)技術(shù)(北京)有限公司�,是國內(nèi)首家專業(yè)從事IT審計技術(shù)研究與產(chǎn)品開發(fā)的企業(yè),國都興業(yè)針對云時代IT審計業(yè)務(wù)的需求及云計算產(chǎn)業(yè)的發(fā)展����,于2009年提出了“企業(yè)云審計”解決方案,2010年在企業(yè)云審計解決方案的基礎(chǔ)上提出了“全云審計”的戰(zhàn)略�����。
“全云審計”可以有效控制數(shù)據(jù)在云里面臨的風(fēng)險。
1. 數(shù)據(jù)被未知的超級用戶訪問風(fēng)險?
“全云審計”獨立記錄了所有訪問數(shù)據(jù)的行為����,自動生成的審計報告可以發(fā)現(xiàn)數(shù)據(jù)被訪問、使用的情況;
2. 合規(guī)性檢查風(fēng)險?
“全云審計”以第三方獨立的形式對云計算進行全面的審計��,可以降低合規(guī)性風(fēng)險;
3. 數(shù)據(jù)存儲位置未知風(fēng)險?
“全云審計”不僅記錄了用戶使用數(shù)據(jù)的情況���,而且記錄了數(shù)據(jù)存儲的軌跡�����,可以提供數(shù)據(jù)存儲分析報告。
4. 數(shù)據(jù)沒有被真正隔離的風(fēng)險?
“全云審計”全面監(jiān)控云中數(shù)據(jù)存儲狀態(tài)�,跟蹤數(shù)據(jù)動向,發(fā)現(xiàn)潛在的數(shù)據(jù)沖突風(fēng)險����。
5. 數(shù)據(jù)恢復(fù)風(fēng)險?
“全云審計”對云中的數(shù)據(jù)可用性進行實時的監(jiān)控,當(dāng)發(fā)現(xiàn)可用性異常時可以在第一時間發(fā)送安全告警����。同時“全云審計”記錄了重要數(shù)據(jù)的變化過程,當(dāng)云中的數(shù)據(jù)出現(xiàn)問題時“全云審計”可以減少數(shù)據(jù)損失�����。
6. 增加司法調(diào)查困難的風(fēng)險?
“全云審計”對云平臺中數(shù)據(jù)的訪問提供全面的記錄與審計,通過“全云審計”平臺為司法調(diào)查提供便利����。
7. 長期可用性保證的風(fēng)險?
“全云審計”記錄了云計算提供方平臺自身的情況,可以清晰的了解到平臺為提供數(shù)據(jù)長期可用性所做的工作�����,降低可用性風(fēng)險����。
“全云審計”戰(zhàn)略需要國家和政府大力引導(dǎo)與支持,“全云審計”不僅為云服務(wù)提供商提供信息審計的支持��,同時為云服務(wù)的用戶提供第三方的審計報告��,通過這份報告可了解用戶在云中數(shù)據(jù)的安全情況�。“全云審計”能夠?qū)崿F(xiàn)對云計算服務(wù)的全面審計��,降低云數(shù)據(jù)的風(fēng)險��,使云服務(wù)提供商省心��,讓云服務(wù)使用者放心。
