老生常谈:云安全必须加以重视
云计算(Cloud computing)是一种基于互联网的超级计算模式,具有低成本高效率的优点。
随着互联网和大数据的发展,云计算已经成为一种势不可挡的趋势,然而伴随云的部署,关于云安全问题的争论也从未停止过。
首先,云服务提供商的网络是否安全,云端的用户信息,包括账户和存储是否安全,有无数据泄露危险?这些都是云服务商们要解决、要向用户承诺的问题。
其次,重要数据的安全问题,出于一些前车之鉴,最好不要过分依赖服务商提供的安保承诺或措施,重要数据不要放在云里,或将其加密后再放到云中,始终要把安全性作为第一因素考虑。
最后,用户要保管好自己的帐户,防止他人盗取你的帐号使用云中的服务,最后却让你买单。
云安全管理,主要需解决几个方面的问题:
1、虚拟化安全
虚拟化是云计算最重要的技术支持之一,但虚拟化的结果,却使许多传统的安全防护手段失效:虚拟化的网络结构,使得传统的分域防护变得难以实现;虚拟化的存储,使得数据的隔离与清除变得难以衡量;虚拟化的计算,使得应用进程间的相互影响更加难以捉摸……因此,虚拟化的服务提供模式,使得对使用者身份、行为等鉴别与审计变得极其重要。
2、Web安全
云计算模式中,WEB应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种WEB攻击手段,则直接影响到云计算的顺利发展。
3、身份或权限安全
在虚拟的、复杂的环境下,如何保证自己的应用、数据依然清晰可控,这既是用户的问题,也是云服务提供商的问题,而这一点也是信息安全界看得比较清楚的。大数用户对于云计算缺乏信心,极大原因正是出于对云模式下的使用权限和管理权限的顾虑。
关于云安全的一些建议
在云安全管理方面:云服务提供商需要采用防火墙保证不被非法访问;使用杀毒软件保证其内部的机器不被感染;用入侵检测和防御设备防止黑客的入侵;用户方面,则要采用数据加密、文件内容过滤等方式,防止敏感数据存放在相对不安全的环境中。
关于云安全问题,现如今已有包括Web及邮件过滤、网络流量访问监控等服务内容,不过一些是“在云中”的、一些是“针对云”的,即那些集成到云环境中作为虚拟设备提供给用户使用和控制的安全服务。
在选择云安全服务时,最好签订一份服务协议,可以有效降低企业的风险。同时,多和服务提供商沟通,了解他们能具体提供什么,以及自己的需求他们是否能满足。
另外,云安全状况变化非常快,安全技术人员必须了解影响他们工作的种种因素,包括政府法律和行业标准等,并且他们应该清楚这些因素是否被正确运用到风险评估方法中,评估方法是否定期修改,等等。