1 引言
云计算的出现是传统IT领域和通信领域技术进步、需求推动和商业模式变化共同促进的结果,具有以网络为中心、以服务为提供方式、高扩展性和高可靠性以及资源使用透明化等重要特征。业界认为云计算是继PC、互联网之后信息产业的第三次变革,将对社会信息化发展产生深远影响。
随着云计算技术及理念的深入应用,云安全越来越成为安全业界关注的重点,一方面云计算应用的无边界性、流动性等特点引发了很多新的安全问题;另一方面云计算技术及理念也对传统安全技术及应用产生了深远的影响。从完整意义上来说,云安全包括2种含义,一种是云计算应用自身的安全;另一种是云计算技术在安全领域的具体应用。前者是云计算各类应用健康、可持续发展的基础,后者则是当前安全领域最为关注的技术热点。为便于区分,本文将前者定义为云计算应用安全,将后者定义为安全云。
本文将重点阐述云计算应用安全,安全云在本文则不作探讨。
2 云计算应用安全威胁分析
根据IDC在2009年年底发布的一项调查报告显示,云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。该三大挑战排名同IDC于2008年进行的云计算服务调查结论完全一致。2009年11月,Forrester Research公司的调查结果显示,有51%的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。由此可见,安全性是客户选择云计算应用时的首要考虑因素。
云计算应用由于其用户、信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多。如在2009年,Google、Microsoft、Amazon等公司的云计算服务均出现了重大故障,导致成千上万客户的信息服务受到影响,进一步加剧了业界对云计算应用安全的担忧。
总体来说,云计算应用主要面临如下安全威胁。
(1)服务可用性威胁
用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
(2)云计算用户信息滥用与泄露风险
用户的资料存储、处理、网络传输等都与云计算系统有关。如果发生关键或私隐信息丢失、窃取,对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求;如何实施有效的安全审计,对数据操作进行安全监控;如何避免云计算环境中多用户共存带来的潜在风险都成为云计算环境下所面临的安全挑战。
(3)拒绝服务攻击威胁
云计算应用由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,同时由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。
(4)法律风险
云计算应用地域性弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至国家,在政府信息安全监管等方面可能存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
3 云计算应用安全研究
