剖析雲計算五大資訊安全瓶頸

隨著企業雲技術的發展，雲計算已經成為了大多數企業員工茶餘飯後的談資。

何為雲計算?對雲計算的定義有多種說法。 對於到底什麼是雲計算，至少可以找到100種解釋。 目前廣為接受的是美國國家標準與技術研究院(NIST)定義：雲計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網路訪問，進入可配置的計算資源分享池(資源包括網路，伺服器，存儲，應用軟體，服務)， 這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。

雖然雲計算的優勢很明顯，但雲計算同樣存在許多的問題，尤其是那些牽涉敏感資訊安全防護的問題，更是受到了許多人的「詬病」。 雲計算到底有哪些不穩定因素，它的發展瓶頸又有哪些?下面就讓資訊安全領域的專家山麗網安來告訴您吧。

五大雲計算「瓶頸」大公開

引言：雲攻擊事件——「Code Spaces事件」

前不久，針對原始程式碼託管運營商Code Spaces的真是案例中，攻擊者利用組合工具入侵了CodeSpaces基於亞馬遜Web服務(AWS)的整體架構。 該威脅始于攻擊者嘗試勒索CodeSpaces，並以此作為停止對其發起的多載體DDoS攻擊的交換條件。 最後，攻擊者控制了CodeSpacesAWS主控台，幾乎刪除了所有存儲在雲中的資料。 由此產生的因數據丟失和為SLA補救措施而付出的代價將使CodeSpaces公司無法再運營下去。

這樣的事件雖然不是很常見，但是從側面反映了一個重要問題：那就是當企業在計畫遷移資料到「雲」中後，其中進一步要做的事情應該是部署制定嚴密的計畫來應對氾濫的DDoS(分散式阻斷服務)攻擊以及不斷增加的威脅。

不過，多數企業不相信自己會成為DDoS的攻擊者。 所以，在制定IT預算時候，把適當的防禦措施總是放在計畫書的最後。 但殘酷的現實顯示，由於大多數企業都沒有偵查工具，自己的資產被別人入侵，自己往往毫無意識。

其次，就是如何保護雲計算?目前企業的重要資料放在不同的存放裝置中，這些設備由不同的供應商和合作夥伴提供，因此，企業必須監控和保護新的「安全邊界」,與此同時， 如何仔細衡權保護基於雲計算上的資料是整個企業應該考慮的安全問題之一。

而客戶在主動採取相應防禦措施的同時還應該對雲供應商DDoS緩解能力的進行評估，還應該指出在基於雲的解決方案中應用DDoS緩解策略時會遇到的問題。 而這些問題同時也是束縛雲計算發展所存在的主要「瓶頸」。

第一：如何防護新的企業邊界

過去，企業只需將安全重心放在保護資料中心的出口上。 採用雲技術就意味著企業資料和應用會分發到多個資料中心，這就為企業創建了新的安全邊界，企業要在更多的地方實施防護。 那麼企業該如何在所有保存企業資料的地方防禦攻擊呢?

第二：維護遠端存取

就定義來看，雲技術是一種遠端存取技術。 如果企業的雲服務提供者遭遇了嚴重的DDoS攻擊，對服務的網路訪問遭到禁止，這等同于企業應用被「宕機」了。 企業的雲服務提供者又要採取什麼措施來防止這種情況發生在企業身上呢?

第三：如何實現內外隔離保護

攻擊人員可以跟普通使用者一樣購買雲服務。 那麼又如何在雲環境內部保護企業資料遠離威脅?

第四：雲防護如何以小搏大

每週刊登的頭條新聞都會談論最新的針對大型銀行或知名網站的千兆級大流量攻擊。 然而，僅有約25%的DDoS攻擊是大流量攻擊。 雲服務提供者該如何説明企業應對這些大流量攻擊呢?

第五：安全協定如何隨「雲」而變

為了建立有利於雲計算市場競爭的定價，多數供應商都會選擇創建對多數使用者都可用的一般性保護設定檔，以降低解決方案成本。 那麼採用通用安全協定的雲服務提供者又如何滿足特定安全需求呢?

瓶頸之中的瓶頸 資料安全如何防護

雖然以上五條是限制雲計算發展的主要障礙，但有一個障礙可以說是在所有現代資訊技術發展中「常態」存在的——那就是資料的安全防護問題。 雲計算在提高了資料運算效率的同時，也大大增加了資料洩漏的風險，如何保證那些在雲中交互和儲存的資料安全成了雲計算發展中「瓶頸之中的瓶頸」。

不過，問題雖然嚴峻，但防護之法卻「早已擁有」，對於現代多樣的、由資訊技術發展產生的多樣資料防護問題，採用資料加密技術是最好的選擇。

資料加密直接作用於資料本身，使得資料在各種情況下都可以得到加密的防護。 再者由於加密防護特殊性，使得資料即使洩露了，加密防護依然存在，只要演算法不被破譯，資料和資訊仍然可以稱作是安全的。 由於這兩點保證，使得加密軟體成為了現代企業防護資訊安全的最主要和最可靠的手段。 同時由於未來資訊安全防護的多樣需求，在加密軟體或者說加密技術中，採用走在時代前沿的多模加密技術或是最好的選擇。

多模加密技術採用對稱演算法和非對稱演算法相結合的技術，在確保了資料本源防護品質的同時，其多模的特性能讓使用者自主地選擇加密模式，從而能更靈活地應對各種加密需求和安全環境。 而作為這項技術使用的典型代表，山麗防水牆的多模加密模組還採用了基於系統內核的透明加密技術，從而進一步確保了資訊安全防護的便利性和完整性(加密與格式無關)。

總而言之，雲計算的安全問題確實存在不少，所以人們對於雲計算是否安全仍較為擔心。 不過現實也不總是那麼殘酷的，事實證明，企業在使用雲計算之後又大量的資料移轉工作單發生資料洩漏和被竊的情況仍然是少數。 事實上，大多數涉及到雲供應商的企業資料被竊事件都是由於企業錯誤造成的，而不是雲服務提供者的問題。 不過，對於那些雖然「少數」但可能發生的問題我們也不能「掉以輕心」，而主動採用靈活且具有針對性的加密軟體進行資料本源的防護似乎是最為穩妥的做法。