應用CIA三性界定雲計算風險和防護措施之可用性

本文針對雲計算的風險類型採用經典的「CIA三性」，即機密性、完整性和可用性來進行界定，並針對性地提出相關的防禦、檢測、阻止措施。 本部分介紹可用性。

「A」：可用性(Availability)風險

當考慮到需要可靠地使用低風險和低故障發生率的服務時，這些風險與服務可靠性自身的脆弱性和威脅緊密相關。

1) 服務拒絕

拒絕服務(DoS)或分散式阻斷服務(DDoS)攻擊是試圖使得電腦資源對它的目標使用者不可用。 它常常涉及到使用多種通信請求來使目的機器達到飽和，以至於它不能回應合法的通信請求，或者回應得非常緩慢而被有效地釋放，從而不能對使用者可用。 雲服務特別容易受到測定體積的DDoS攻擊，其中大量的主機湧入雲網路和伺服器，它們攜帶有超出自身處理能力的更多資料，使自己陷入停頓狀態。 針對雲服務的基於應用的DDoS攻擊對於這個雲基礎設施中的特定應用(如Web伺服器或資料庫) 也非常有效。 此外，分散式反射拒絕服務(DRDoS)攻擊，在導致受害者系統重新發送用於填塞網路的資料包方面更「有效」，它們在雲環境中工作得更好。 尤其是在單次攻擊中想要比攻擊個別組織或電腦占取更多基礎設施的攻擊者，會針對雲供應商，特別是當這些供應商很出名，能給攻擊者帶來「榮耀」或者正遭受駭客或駭客團體的報復時。

防禦：選擇對網路攻擊具有堅實防護的服務提供者。 在雲計算基礎設施(主要是互聯網存取點)的網路邊界實現防火牆和網路過濾，以防禦利用網路黑名單的攻擊和敵對網路。 此外，使用冗余的供應商，因為對一個供應商環境的攻擊可能不會影響另一個。

檢測：在24×7的基礎上選擇一個執行和監控入侵偵測的服務提供者，並簽署該功能相關的所有適當的附加服務。

阻止：與服務提供者的法律部門協作，以確保攻擊者被發現和起訴。

剩餘風險：由於大多數DoS攻擊來自其他國家，它們很難被檢測和追蹤，所以對於通過了環境防禦設施的攻擊，我們的應對措施很少。

2) 中斷

任何意外中斷或者電腦系統或網路的不可達。

防禦：對任何服務中斷的主要防禦是冗余的。 確保環境可以自動在中斷時切換到不同的供應商。 此外，採用堅實的故障恢復方案來為擴大的中斷做準備。

檢測：應用監控工具，以持續監控雲環境的可用性和回應時間。

阻止：中斷的代價很高昂。 計算中斷成本，並確保與服務供應商的合同中，指出了可以補償所產生的實際成本，而不僅僅是服務本身成本的報酬。

剩餘風險：由於中斷發生通常是因為軟體問題，我們用來防禦的措施也很少。

3) 不穩定和應用程式故障

由於軟體或固件問題(bugs)造成的功能損失或者電腦或網路的缺陷。 程式的凍結，鎖定，或崩潰造成的反應遲鈍。

防禦：確保供應商能頻繁為它的基礎設施進行所有的軟體更新。 這對所有客戶擁有的虛擬系統也同樣適用。

檢測：實現業務監控，以檢測並提醒一個應用程式何時不能正確回應。

阻止：用法律語言清楚地設定服務提供者會保持一個穩定環境的期望。

剩餘風險：應用程式和基礎設施的不穩定性通常是由於軟體問題，所以我們的防禦措施也很少。

4) 緩慢

電腦或網路的不可接受的回應時間。

防禦：使用冗余的供應商和互聯網連接來建立架構，使應用程式的訪問能自動切換到最快的環境。 另外，還要確保服務提供者已經實現了能自動擴充資源的高容量服務。

檢測：持續檢測基礎應用的回應時間，並確保警報有帶外的路徑來支援工作人員，使得回應問題不會阻止警報傳遞。

阻止：與那些能為你不可接受的回應時間提供處罰賠償的服務提供者建立合同語言。

剩餘風險：延遲或慢回應可以被看作是中斷的一種形式，照此，它由軟體和容量問題造成的中斷也會最大限度得持續存在。

5) 高可用性集群失效

我們發現，應該進行容錯移轉的設備實際上並沒有在本應該的時機接管。

防禦：監控在一個高可用性集群中的二級系統和所有系統的健壯性。

檢測：定期進行容錯移轉測試。

阻止：從服務提供者的角度來看，他們對於保證客戶系統在期望時進行切換，可以做的準備很少。

剩餘風險：有時一個主設備會減慢到對所有實際用途都不做反應，但並不是因為軟體才正式的「減慢」，所以後備系統不會接管。

6) 備份失效

我們發現，你正在依靠的這些資料備份實際上並沒有什麼作用。

防禦：利用供應商彈性來避免傳統離線備份(磁帶或光碟)的使用。

檢測：經常進行恢復測試，以驗證資料的恢復能力。

阻止：在與服務商的合同中建立資料——丟失條款，他們將對意外的資料丟失負責。

剩餘風險：備份失效，但多個復原路徑可以消除大部分的風險。 備份資料的做法已經出現很久，因此它是最可靠的安全措施之一。 只要資料被恰當地備份，它就可以一直存在，所以在這種情況下的大部分剩餘風險都是由不合格的資料複製行為或者對此事件的關注不夠造成的。