在存储和传送数据的时候,应当始终加密数据,在存储的时候使用单独的对称密钥。对用户密钥特有的保护将需要云供应商的一些合作。与专用硬件不同,在下列情况下将内存缓冲区清零不可能删除密钥:①内存被一个系统管理程序加固而使其持久地保存。②为了恢复的需要,虚拟机已经被快照获取。③虚拟机在连续地迁移到不同的硬件上。如何在云内安全地使用密钥是一个尚未解决的问题。
在决定如何鉴定大量的不同用户的时候,互联网的可接入性和多租赁形成挑战。因为常规的鉴定服务趋向使用共享的公共资源,资源缩放和多租赁使鉴定过程变得复杂。例如,在Active Directory中,Everyone团体的成员能够看见和列出所有种类资源的清单。
第一代云要求所有终端用户在其数据库中具有单独的账号,必须分别登录到每个他们所具有账号的网站上。很明显,要求终端用户为他们将来要使用的每个Web服务注册和管理个别的登录账号是不切实际的。任何优良身份元系统的主要原则是用户应该只必须出示服务和事务处理所必需暴露最少的身份信息。关于广泛身份鉴定方案的工作仍然在进行之中。
在《内部威胁的真实程度》一书中,对3000名英国工人的调查结果显示,37%的人曾经与朋友和家庭共享特权的公司信息。即使58%的个人计算机与其他人共享或者至少能够被别人访问,21%的便携/桌面计算机拥有者曾经将公司的数据转移到其个人计算机中,14%的人承认将工作信息转移到个人的智能手机中。82%的回答者认为内部威胁等于或者比由外部攻击者对组织构成的威胁更大。内部安全可能是内部人员有意或无意而造成的,也可能是内外部勾结而进行的恶意攻击或窃取信息。但是,迄今为止,涉及云计算安全的文献中很少讨论云的内部安全问题。《防御内部威胁,降低IT风险》讨论了云计算、虚拟化和内部威胁。云计算中,内部人员不再仅仅是在防火墙之内的职工,并且也包括为组织提供云服务的服务供应商内部成员,这增加了内部威胁的复杂性。内部威胁明显地涉及到虚拟化,在关键服务器被虚拟化的时候,需要严格控制以限制特权用户控制那些虚拟服务器的权利。
云计算的性能问题
Compuware公司在2010年11月对几乎700个美国和欧洲企业进行独立调查,其中378个北美公司,英国、德国和法国各100个公司,并于2011年2月19日发布了《云中性能调查报告》。
《云中性能调查报告》认为,云计算性能严重地依赖于延伸交付链中的每一个组成部分:数据中心、传送网络(包括互联网、广域网、局域网或物理运输工具等)、其他服务供应商,甚至终端用户的设备和浏览器。
Compuware公司以前的研究清楚地证明,应用性能和收入之间存在直接的联系。例如,在公司网站页面响应时间接近4秒的时候,用户越来越感到灰心;在达到6秒的时候,33%的用户将放弃访问页面,并转向竞争企业的页面。
影响传送网络响应时间的因素包括:正在传送的数据总量、WAN的带宽、往返行程时间、应用轮流的数目、同时TCP会话的数目、服务器端的延迟和客户端的延迟。Riverbed Technology公司在《释放云性能,使云的承诺成为现实》的报告中比较了IT发展的历史,分析了网络反应时间对公共云性能的影响。公共云可以或可以不“合并”,就是说,一个企业可以将其资产分离在其数据中心和其他人的云中,但是一些资产将在更远处的公共云中。将资源迁移到远离用户会导致性能问题。在云供应商方面有一个假设:如果他们管理其云内基础设施的性能,在云和终端用户(无论业务用户或IT用户)之间的性能将不会影响技术和业务价值。这个假定是不成立的,因为云服务将迫使用户和其数据拉开更大的距离而导致更大的延迟,并影响性能。
