安全，打开企业云计算桎梏的金钥匙.docVIP

安全，打开企业云计算桎梏的金钥匙 　　摘 要：随着全球云计算产业的兴起，云安全领域也取得了突破式发展。云计算正在转化传统的数据中心，包括公有云和私有云。企业将数据中心虚拟化，并将工作负荷和数据扩展到公有云，数据中心外围逐渐缩小。随着数据中心从物理转换为虚拟，并最终迁移到云端，企业业务将面临新的安全和管理的挑战。 　　关键词：云计算；云安全；云服务 　　1 什么是云计算 　　据统计，目前云计算的定义超过50种。不同的专家、企业都从自己的角度对云计算的概念进行了定义。其中得到认可的、比较权威的是美国国家标准技术研究所（NIST）的定义。 　　NIST对云计算的定义：云计算是一个模型，这个模型可以方便地按需访问一个可配置的计算资源（如网络、服务器、存储设备、应用程序以及服务）的公共集。这些资源可以被迅速提供并发布，同时最小化管理成本或服务提供商的干涉。云计算模型由五个基本特征、三种服务模型和四种发布形态组成。 　　云计算的五个基本特征：按需自助服务、广泛的网络访问、资源共享、快速的可伸缩性、可度量的服务。 　　云计算的三种服务模型：软件即服务（SaaS）、平台即服务（PaaS）、架构即服务（IaaS）。 　　云计算的四种发布形态：私有云、社区云、公有云、混合云。 　　2 云计算的安全挑战 　　近段时间以来，国内外先后发生数据中心或云主机宕机事件，对企业和用户造成了一定的损失。云安全这个问题又一次被摆上了台面，吸引了人们的目光。 　　2.1 易混淆的云计算安全 　　云安全的产业链条，包括了云安全环境、云安全设计、云安全部署、云安全交付、云安全管理、再到云安全咨询，是一个闭环。IDC 报告指出，云的安全性至少包含两个层次，一是制约用户接受云计算的信用环境问题，这是云计算得以应用的基础，也是广泛推广的门槛，然后才是云计算的应用安全。而其中，良好的信用环境是云计算安全之基础，也就是说，只有用户认可并采用了云服务，接下来才谈得上云安全的技术问题。对于云安全的推动和实现，市场上的云安全提供商也发出不同的声音。 　　同时不容忽视的是云计算安全，它与云安全的区别是Security for the cloud和Security form the cloud。云计算安全指的是如何保护云计算环境本身的安全性，云安全指的是如何利用云计算技术给用户提供安全服务。 　　2.2 云计算安全七宗罪 　　安全专家表示，选择云计算的企业可能熟悉多重租赁（多个公司将其数据和业务流程托管存放在SaaS服务商的同一服务器组上）和虚拟化等概念，但这并不表示他们完全了解云计算的安全情况。 　　安全专家Reavis认为，选择云计算时企业应该采取更加务实的做法，如采用风险评估来了解真正的风险以及如何降低风险，然后再决定是否应该采用云计算技术。 　　云安全联盟与惠普公司共同列出了云计算的七宗罪，主要是基于对29家企业、技术供应商和咨询公司的调查结果而得出的结论。 　　⑴数据丢失/泄漏：云计算中对数据的安全控制力度并不十分理想，API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏，并且还可能缺乏必要的数据销毁策略。 　　⑵共享技术漏洞：在云计算中，错误的配置可能会造成严重影响，因为云计算环境中的很多虚拟服务器共享着相同的配置。因此必须为网络和服务器执行服务水平协议（SLA），以确保及时安装修复程序。 　　⑶内奸：云计算服务供应商对工作人员背景的调查力度可能与企业数据访问权限的控制力度有所不同，很多供应商在这方面做得不错，但还不够，企业需要对供应商进行评估并提出如何筛选员工的方案。 　　⑷帐户、服务和通信劫持：很多数据、应用程序和资源都集中在云计算中，而云计算的身份验证机制如果很薄弱的话，入侵者就可以轻松获取用户帐号并登陆客户的虚拟机。因此建议主动监控这种威胁，并采用多重身份验证机制。 　　⑸不安全的应用程序接口：在开发应用程序方面，企业必须将云计算看作是新的平台，而不是外包。在应用程序的生命周期中，必须部署严格的审核过程，开发者可以运用某些准则来处理身份验证、访问权限控制和加密。 　　⑹没有正确运用云计算：在运用技术方面，黑客可能比技术人员进步更快，黑客通常能够迅速采取新的攻击技术在云计算中自由穿行。 　　⑺未知的风险：透明度问题一直困扰着云服务供应商，用户仅使用前端界面，他们无法确切知道供应商使用的是哪种平台以及将面临何种风险。 　　另外，云计算也有有网络方面的隐忧。由于病毒破坏，网络环境等因素，一旦网络出现问题，云计算反而成了桎梏。 　　3 云计算的发展与未来 　　云计算的发展大致分为三个阶段：首先是准备阶段，主要进行技术储备和概念推广，解决方案和商业模式尚在尝试中，用户对云计算认知度仍然较低，成功案例