從現(xiàn)有的技術(shù)資料和已經(jīng)曝光的安全事件來(lái)看�,互聯(lián)網(wǎng)時(shí)代中傳統(tǒng)的安全威脅在云計(jì)算服務(wù)中同樣存在,而且伴隨著云計(jì)算特有的開(kāi)放性與復(fù)雜性還出現(xiàn)了一些新的安全挑戰(zhàn)���,因此�,云安全逐漸成為制約云計(jì)算發(fā)展的瓶頸�。
虛擬機(jī):加固流程抓逃逸
虛擬機(jī)逃逸被認(rèn)為是對(duì)虛擬機(jī)安全最嚴(yán)重的威脅。虛擬機(jī)逃逸是指攻擊者突破虛擬機(jī)管理器Hypervisor ��,獲得宿主機(jī)操作系統(tǒng)管理權(quán)限����,并控制宿主機(jī)上運(yùn)行的其他虛擬機(jī)��。產(chǎn)生此問(wèn)題的原因一是Hypervisor本身存在漏洞�����,二是服務(wù)商很難辨別虛擬機(jī)申請(qǐng)者的真實(shí)身份�����。由此�,攻擊者既可以攻擊同一宿主機(jī)上的其他虛擬機(jī)也可控制所有虛擬機(jī)對(duì)外發(fā)起攻擊�。
同時(shí)�����,虛擬機(jī)之間的嗅探對(duì)傳統(tǒng)安全設(shè)備提出了新挑戰(zhàn)���。由于同一物理服務(wù)器上的虛擬機(jī)之間可以不需要經(jīng)過(guò)防火墻與交換機(jī)設(shè)備相互訪(fǎng)問(wèn)�����,使得攻擊者可以利用簡(jiǎn)單的數(shù)據(jù)包探測(cè)器���,很輕松地讀取虛擬機(jī)網(wǎng)絡(luò)上所有的明文傳輸信息。目前����,傳統(tǒng)安全設(shè)備尚未提供基于虛擬機(jī)的安全防護(hù)手段。
對(duì)策:
虛擬機(jī)及其鏡像的安全加固��。建立安全加固流程�,提供主機(jī)入侵檢測(cè)和補(bǔ)丁自動(dòng)更新服務(wù)等手段來(lái)保證虛擬機(jī)的安全。在虛擬機(jī)鏡像生產(chǎn)流程中加入安全審核環(huán)節(jié)��,可對(duì)虛擬機(jī)鏡像提供加密�。
虛擬機(jī)隔離��。采用安全組實(shí)現(xiàn)不同用戶(hù)間的虛擬機(jī)隔離���,采用IP信息包過(guò)濾系統(tǒng)實(shí)現(xiàn)虛擬機(jī)和物理機(jī)間的隔離。
虛擬機(jī)管理和銷(xiāo)毀����。采用虛擬化在線(xiàn)管理系統(tǒng)對(duì)虛擬機(jī)進(jìn)行管理,對(duì)物理服務(wù)器及Hypervisor的運(yùn)維操作�����,遵循運(yùn)維相關(guān)流程并采用實(shí)時(shí)審計(jì)技術(shù)予以監(jiān)控��。針對(duì)虛擬機(jī)的銷(xiāo)毀及遷移后����,及時(shí)消除原有物理服務(wù)器上磁盤(pán)和內(nèi)存數(shù)據(jù)���,使得虛擬機(jī)無(wú)法恢復(fù)���。
數(shù)據(jù):看準(zhǔn)弱點(diǎn)倚評(píng)估
數(shù)據(jù)安全包括存儲(chǔ)數(shù)據(jù)安全、剩余數(shù)據(jù)安全���、傳輸數(shù)據(jù)安全����。
存儲(chǔ)數(shù)據(jù)安全問(wèn)題的根源在于,用戶(hù)的數(shù)據(jù)存在服務(wù)商的設(shè)備上��,同時(shí)不同用戶(hù)的數(shù)據(jù)共享存儲(chǔ)資源����。分析表明,存儲(chǔ)數(shù)據(jù)面臨的風(fēng)險(xiǎn)包括:服務(wù)商優(yōu)先訪(fǎng)問(wèn)即來(lái)自云服務(wù)商內(nèi)部人員對(duì)用戶(hù)數(shù)據(jù)的非授權(quán)訪(fǎng)問(wèn)和泄漏���;其他惡意租戶(hù)或黑客的非授權(quán)訪(fǎng)問(wèn)導(dǎo)致數(shù)據(jù)丟失和泄漏���;由于數(shù)據(jù)的跨境流動(dòng),個(gè)人和企業(yè)的隱私等敏感信息易被泄漏���;軟硬件故障�、電力中斷����、自然災(zāi)害等造成的數(shù)據(jù)丟失等。雖然分布式存儲(chǔ)使得數(shù)據(jù)丟失的可能性大大降低�,但黑客仍可通過(guò)分析數(shù)據(jù)分片規(guī)律達(dá)到重新復(fù)原被分割的數(shù)據(jù)的目的���。
剩余數(shù)據(jù)安全問(wèn)題是指,用戶(hù)在使用完云存儲(chǔ)服務(wù)后退租時(shí)����,如果只是對(duì)退租用戶(hù)磁盤(pán)中文件進(jìn)行簡(jiǎn)單的刪除,而下一次將磁盤(pán)空間(邏輯卷)重新分配給其他租戶(hù)時(shí)����,就可能會(huì)被惡意租戶(hù)使用數(shù)據(jù)恢復(fù)軟件讀出磁盤(pán)數(shù)據(jù),而導(dǎo)致前租戶(hù)的數(shù)據(jù)泄漏�����。
傳輸數(shù)據(jù)安全問(wèn)題是指�����,數(shù)據(jù)在傳輸過(guò)程中被竊取或篡改�。服務(wù)商需要通過(guò)手段���,防止傳輸數(shù)據(jù)被竊取或篡改��,需要保證數(shù)據(jù)即使丟失也不易泄密���。針對(duì)用戶(hù)未采用加密手段的情況��,服務(wù)商應(yīng)有相應(yīng)強(qiáng)度的加密措施����,保證用戶(hù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的機(jī)密性�、完整性和可用性。
對(duì)策:
增加針對(duì)數(shù)據(jù)安全級(jí)別的保護(hù)策略�。通過(guò)在風(fēng)險(xiǎn)評(píng)估方法中增加云安全特有的弱點(diǎn)和威脅,加強(qiáng)對(duì)云計(jì)算平臺(tái)和產(chǎn)品的云安全評(píng)估�����。在具體安全策略制定方面以信息標(biāo)志和處置的控制要求為起點(diǎn)�����,從數(shù)據(jù)安全性方面制定保護(hù)策略和實(shí)現(xiàn)手段�。
數(shù)據(jù)的保密性、可用性和完整性保護(hù)�。對(duì)存儲(chǔ)數(shù)據(jù)和傳輸數(shù)據(jù)進(jìn)行加密,對(duì)存儲(chǔ)數(shù)據(jù)一般采用效能較高的對(duì)稱(chēng)加密算法�,如高級(jí)加密標(biāo)準(zhǔn)(AES)、3DES等國(guó)際通用算法,或我國(guó)國(guó)有加密算法SCB2等���;對(duì)傳輸數(shù)據(jù)加密的主要技術(shù)措施包括IPSec���、SSL等VPN技術(shù)。針對(duì)剩余數(shù)據(jù)安全問(wèn)題����,在進(jìn)行存儲(chǔ)資源回收時(shí),需要使用軟件技術(shù)對(duì)邏輯卷的每個(gè)物理比特位進(jìn)行“清零”覆寫(xiě)���,保證磁盤(pán)空間重新分配給其他租戶(hù)時(shí)不能通過(guò)軟件方式恢復(fù)其原有數(shù)據(jù)��。
數(shù)據(jù)管轄與銷(xiāo)毀���。所有人員必須通過(guò)諸如堡壘機(jī)等設(shè)備進(jìn)入生產(chǎn)集群,口令包含動(dòng)態(tài)令牌和復(fù)雜口令���。堡壘機(jī)對(duì)所有賬號(hào)的權(quán)限進(jìn)行實(shí)時(shí)操作審計(jì)和實(shí)時(shí)報(bào)警���。
內(nèi)容:跟蹤溯源重法律
在公共云服務(wù)背景下,信息的發(fā)布和傳播具有不同于以往的特點(diǎn)��,公共云平臺(tái)容易成為有害和垃圾信息的傳播渠道����,給內(nèi)容合規(guī)性監(jiān)管帶來(lái)了三大難題。
更難以對(duì)不良信息進(jìn)行溯源���。在公共云服務(wù)中����,由于信息與其發(fā)布載體動(dòng)態(tài)綁定(可以支持公網(wǎng)IP地址�����、域名與云節(jié)點(diǎn)的動(dòng)態(tài)綁定)�����,難以確定服務(wù)器的物理位置�,使得對(duì)有害內(nèi)容的定位和溯源異常困難。
傳統(tǒng)內(nèi)容過(guò)濾手段失效�。由于境外云計(jì)算服務(wù)節(jié)點(diǎn)通常提供共享訪(fǎng)問(wèn)的SSL加密通道,除證書(shū)發(fā)行商名字����、IP��、端口外無(wú)法檢測(cè)任何內(nèi)容�,這使得傳統(tǒng)的內(nèi)容過(guò)濾無(wú)從下手����。對(duì)境外云服務(wù)缺乏有效手段進(jìn)行內(nèi)容審查,形成了監(jiān)管盲區(qū)���,會(huì)對(duì)國(guó)家安全構(gòu)成威脅��。
對(duì)超大規(guī)模數(shù)據(jù)流量的審查很困難����。云計(jì)算時(shí)代最大的特點(diǎn)就是數(shù)據(jù)流量超大�,現(xiàn)有設(shè)備處理能力無(wú)法達(dá)到要求,導(dǎo)致在線(xiàn)內(nèi)容審查很困難��,目前的技術(shù)和管理手段有待改善����。
對(duì)策:
拿起法律武器。從法律法規(guī)層面來(lái)界定云計(jì)算服務(wù)商的責(zé)任與義務(wù)��、明確保護(hù)用戶(hù)數(shù)據(jù)與隱私的重要性�����、劃清各有關(guān)部門(mén)的監(jiān)管職責(zé)等。針對(duì)數(shù)據(jù)跨境流動(dòng)問(wèn)題����,規(guī)定重要數(shù)據(jù)不得在境外存儲(chǔ)和處理�����。
強(qiáng)化技術(shù)手段��。加強(qiáng)加解密技術(shù)研究�,可利用云資源本身實(shí)現(xiàn)合法破解密文。加強(qiáng)跟蹤研究溯源技術(shù)最新進(jìn)展���,爭(zhēng)取掌握相關(guān)技術(shù)����。
加強(qiáng)國(guó)際合作與交流��。與各個(gè)國(guó)家加強(qiáng)合作�����,共同打擊不良信息傳播等非法活動(dòng)。同時(shí)��,積極學(xué)習(xí)借鑒國(guó)外先進(jìn)技術(shù)與管理手段�����。
來(lái)源:人民郵電報(bào) 作者:杜偉
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品���,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章�,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
