雲計算資料中心安全剖析

目前，雲計算受到產業界的極大推崇並推出了一系列基於雲計算平臺的服務。 但在已經實現的雲計算服務中，安全問題一直令人擔憂。 安全和隱私問題已經成為阻礙雲計算普及和推廣的主要因素之一。
　　

在IDC的一次關於「您認為雲計算模式的挑戰和問題是什麼」的調查中，安全以74.6%的比率位居榜首，可見安全問題是人們對雲計算最大的擔心。 2011年1月21日，來自研究公司ITGI的消息稱，考慮到自身資料的安全性，很多公司正在控制雲計算方面的投資。 在參與調查的21家公司的834名首席執行官中，有半數的官員稱，出於安全方面的考慮，他們正在延緩雲的部署，並且有三分之一的使用者正在等待。
　　

雲計算資料中心做為雲計算的核心平臺，其安全性考慮更加重要。 對比通常的資料中心，雲計算帶來哪些與眾不同的風險點，需要我們特別關注呢？
　　

一、雲計算資料中心的特別風險點
　　

由於雲計算的「動態雲」特性，雲計算的主要風險點可歸納如下：
　　

1、資源和資料外包
　　

企業的資源和資料置於共用公共網路上，置於企業邊界之外。 雲計算這種全新的服務模式將資源的擁有權、管理權及使用權進行了分離，因此使用者失去了對物理資源的直接控制，會面臨與雲服務商協作的一些安全問題。 同時，越來越多的資料存于「雲」中，就意味著有越多的資料被濫用的可能。 如果只是不重要的資料，企業對於其關注度也沒那麼大；如果是機密資料，也就是屬於企業隱私，這些資料被盜，對於企業的打擊則非常大，這也是很多企業至今不敢嘗試雲計算的原因。
　　

2、雲計算服務商的可靠性
　　

理想情況下，你的雲計算服務商絕不會破產或被一家較大的公司收購和吞併。 你必須確定資料在發生了此類事件後仍能繼續使用。 要詢問可能的雲計算服務商，怎麼才能要回你的資料，資料格式是否可以讓你能夠導入到替代的應用之中。
　　

3、多租戶環境
　　

資料在雲中通常是處在一個和其他客戶的資料共用的環境中。 加密雖然是有效的，但並不是萬能靈丹，因此要找出你的資料在休眠時是否做了隔離。 雲計算平臺上集成了多個租戶，多租戶之間的資訊資源如何進行安全隔離、服務專業化引發的多層轉包導致的安全問題等。
　　

4、動態的信任邊界
　　

企業的信任邊界是動態的，企業無法確定信任邊界的變動情況。 客戶在使用雲計算時，可能無法確切地知道你的資料到底被託管在什麼地方。 事實上，你甚至可能不知道這些資料存放在了哪個國家，也可能遍佈在不斷變化的一組主機和資料中心中。
　　

5、缺乏透明性
　　

雲計算服務商的安全控制和實施缺乏透明性，大多數雲服務商在服務水準協定、供應商管理功能以及安全責任這些領域缺乏透明度。 如雲計算服務軟體的漏洞對雲計算使用者並不是透明的，這就阻礙了使用者對與漏洞相關的運行風險的管理。
　　

6、雲計算管理標準缺乏
　　

雲計算服務商必須遵守各種不同的IT流程式控制制和管理需求，包括外部需求和內部需求，可以通過聯合的合規工作以處理所有這些需求，使用更加統一和有策略的方法，從而提高效率並滿足合規性，同時實現不同雲計算間的無縫互通。 而目前各類雲計算標準還很缺乏，使得企業改變雲服務商變得非常困難。
　　

二、雲計算資料中心安全性原則
　　

雲計算安全和傳統IT安全兩者有很多相同之處，它們最終的目標都是為了保護資料的完整性，保護的物件也都是計算資源、存儲資源和網路資源。 但由於雲計算的不同特性，除傳統的IT防護技術外，以下是針對雲計算資料中心安全的應對考慮。

序號雲計算風險點安全性原則1資源和資料外包 1、必須要求雲服務商提供有關雇用和監督特權管理員的具體資料，以及控制他們訪問的辦法。 2、要求雲服務商接受外部審計和安全認證。 3、對瀏覽器安裝補丁和升級以降低瀏覽器漏洞的威脅。 2雲計算服務商的可靠性 1、選擇大品牌、實力雄厚的雲服務商。 2、選擇具有高可用性指標的雲服務商。 3、選擇採用通用雲計算介面 API 的雲服務商。 3多租戶環境 1、雲服務商應保證資料資源所在的存儲空間被釋放或重新分配給其它雲使用者前得到完全清除。 2、資料採用謂詞加密或完全同態加密方案。 4動態的信任邊界 1、對需要相互通信的虛擬伺服器之間的網路連接應通過VPN 的方式來進行。 2、採用身份聯合架構和流程。 5缺乏透明性 1、要求雲服務商在服務水準協定 SLA、供應商管理功能以及安全責任這些領域提供需要的資訊。 2、需要對雲服務商提供的身份認證和存取控制加以額外關注和瞭解。 3、雲服務商在採用協力廠商應用、元件或 Web 服務的情況下，使用者應對協力廠商應用供應商做風險評估。 6雲計算管理標準缺乏 1、政府機構的資訊監管、隱私保護等相關制度的出臺，將維護行業的健康持續發展。 2、完善雲計算各類通用標準和實踐，加以行業推廣。

　　

三、小結
　　

一個安全的資訊系統不僅僅要考慮環境安全和技術安全，還要考慮管理安全；不僅僅能夠提供靜態的保護能力，包括防止和降低故障、損害，還需要具備主動防禦的能力，能夠及時發現攻擊，並能夠從破壞中恢復。 對於雲計算資料中心的安全保護，通過單一的手段是遠遠不夠的，需要有一個完備的體系，涉及多個層面，需要從法律、技術、監管三個層面進行。 目前雲計算的安全問題是絕對存在的，但隨著雲計算技術的發展，實現對雲計算更好的瞭解、更多的透明度以及更好的安全技術能力，雲計算安全方面的顧慮與聲音將會逐步消失。