毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

公有云安全威脅及應(yīng)對(duì)策略

云計(jì)算是一種計(jì)算模式，在這種模式中，各類應(yīng)用、數(shù)據(jù)和IT資源以服務(wù)的方式通過網(wǎng)絡(luò)提供給用戶。大量的計(jì)算資源組成IT資源池，用于動(dòng)態(tài)創(chuàng)建高度虛擬化的資源，供用戶使用。提供這些計(jì)算能力的資源對(duì)用戶是不可見的，使用資源的用戶無需關(guān)心如何部署和維護(hù)這些資源，這些資源被比喻為“云” 引。在云計(jì)算模式下，計(jì)算工作由位于互聯(lián)網(wǎng)中的計(jì)算資源完成，得到授權(quán)的用戶，只需通過網(wǎng)絡(luò)進(jìn)行連接，借助輕量級(jí)客戶端如手機(jī)、瀏覽器等即可使用這些資源。在云計(jì)算生態(tài)鏈中，各類角色可以簡(jiǎn)單地劃分為3類。私有云計(jì)算平臺(tái)的使用者。這些用戶會(huì)建設(shè)屬于自己的基于云計(jì)算的私有數(shù)據(jù)中心，并通過該IT平臺(tái)支撐企業(yè)的業(yè)務(wù)應(yīng)用，面向內(nèi)部用戶和外部客戶提供云計(jì)算服務(wù)。 公共云計(jì)算服務(wù)的使用者。這些用戶將自己的應(yīng)用部署到第三方提供的云計(jì)算平臺(tái)上，或直接使用第三方提供的基于云計(jì)算的應(yīng)用，即SaaS（Software as a Service）方式。他們不需要關(guān)心如何建設(shè)云計(jì)算平臺(tái)，只要向云計(jì)算服務(wù)提供商訂購服務(wù)即可。 公共云計(jì)算服務(wù)的提供者。以Google、Amazon為代表，這些企業(yè)建設(shè)基于云計(jì)算的數(shù)據(jù)中心，并將云計(jì)算中心管理的資源（包括虛擬機(jī)、存儲(chǔ)空間、具體業(yè)務(wù)、應(yīng)用軟件等）作為服務(wù)出租給最終用戶。無論是中小型企業(yè)還是大型企業(yè)，都可以使用云計(jì)算服務(wù)。既可建設(shè)自己的私有云計(jì)算平臺(tái)，也可使用第三方提供的公共云計(jì)算服務(wù)，甚至可以成為公共云服務(wù)的提供商，為其他企業(yè)提供公共云服務(wù)。建設(shè)私有云對(duì)企在資金、技術(shù)、人員等諸多方面要求較高，中小企業(yè)通過租用方式使用第三方提供的公共云計(jì)算服務(wù)是個(gè)較好的選擇。使用公共云計(jì)算服務(wù)可以幫助這些企業(yè)節(jié)省IT系統(tǒng)的投入，通過租用方式替代購買硬件、軟件等固定產(chǎn)。這樣中小企業(yè)可以通過使用公共云計(jì)算服務(wù)，以較小的投入獲得穩(wěn)定的IT平臺(tái)。與傳統(tǒng)基礎(chǔ)架構(gòu)模式相比，企業(yè)選擇公共云計(jì)算基礎(chǔ)架構(gòu)會(huì)帶來節(jié)省成本、資源利用率高、設(shè)備管理簡(jiǎn)單、應(yīng)用部署簡(jiǎn)化等好處。 云計(jì)算節(jié)省成本、提高IT基礎(chǔ)架構(gòu)效率、應(yīng)用部署簡(jiǎn)化等方面的優(yōu)勢(shì)已經(jīng)得到用戶一定程度上的認(rèn)可。但公共云計(jì)算是否安全，這是中小企業(yè)選擇公共云計(jì)算服務(wù)必須要面對(duì)的問題，公共云服務(wù)提供商為開展業(yè)務(wù)，實(shí)現(xiàn)通過提供云計(jì)算服務(wù)盈利，也必須保證云安全。筆者通過分析當(dāng)前公共云面臨的安全威脅，設(shè)計(jì)公共云安全參考框架，以應(yīng)對(duì)公共云面臨的安全威脅，以期為云用戶在選擇云服務(wù)時(shí)提供安全方面的參考。1、公共云安全威脅分析隨著云計(jì)算的不斷普及，安全問題的重要性呈現(xiàn)逐步上升趨勢(shì)，已成為企業(yè)關(guān)注的焦點(diǎn)。用戶對(duì)公共云計(jì)算服務(wù)的主要擔(dān)憂就是安全性問題，其中涉及云計(jì)算技術(shù)的安全風(fēng)險(xiǎn)以及據(jù)監(jiān)管方面的風(fēng)險(xiǎn)，對(duì)這兩方面的擔(dān)憂遠(yuǎn)超過其他選項(xiàng)。要使企業(yè)和組織大規(guī)模應(yīng)用云計(jì)算技術(shù)，放心將自己的數(shù)據(jù)、應(yīng)用交付給云服務(wù)提供商管理，就必須全面分析并著手解決云計(jì)算所面臨的各種安全問題。 在傳統(tǒng)數(shù)據(jù)中心中，應(yīng)用程序部署在機(jī)構(gòu)的范圍之內(nèi)，信任邊界處于企業(yè)IT部門的監(jiān)控之下，幾乎是靜態(tài)的。信任邊界包括網(wǎng)絡(luò)、系統(tǒng)和位于私有數(shù)據(jù)中心并由IT部門管理的應(yīng)用程序。通過虛擬專用網(wǎng)絡(luò)VPN、防火墻、入侵檢測(cè)系統(tǒng)IDs、入侵防御系統(tǒng)IPS以及多因素身份認(rèn)證等網(wǎng)絡(luò)安全控制手段來保障數(shù)據(jù)中心安全。 采用公共云計(jì)算服務(wù)后，機(jī)構(gòu)的信任邊界變成動(dòng)態(tài)的，并且遷移到企業(yè)IT部門管理和控制范圍之外。這種控制權(quán)的轉(zhuǎn)移，使安全責(zé)任轉(zhuǎn)移到云服務(wù)提供商一端，對(duì)已有的信任管理和控制模式形成了很大的挑戰(zhàn)。同云計(jì)算環(huán)境下新型服務(wù)模式以及虛擬化技術(shù)的引入不可避免地帶來一系列新的安全問題。客戶數(shù)據(jù)和應(yīng)用分別存儲(chǔ)、運(yùn)行在遠(yuǎn)端云中，云服務(wù)提供商控制云計(jì)算數(shù)據(jù)中心基礎(chǔ)架構(gòu)，數(shù)據(jù)是否安全、云服務(wù)是否可靠都是選擇公共云計(jì)算服務(wù)必須面對(duì)的問題。公共云服務(wù)最終用戶主要安全目標(biāo)有數(shù)據(jù)安全性和云計(jì)算服務(wù)可用性及性能。對(duì)數(shù)據(jù)安全性、云計(jì)算服務(wù)可用性及性能構(gòu)成安全威脅主要來源有3方面。 1）用戶數(shù)據(jù)安全與隱私保護(hù)。因?yàn)樵朴?jì)算平臺(tái)，特別是公共云計(jì)算平臺(tái)的一個(gè)重要特征就是開放性，各種應(yīng)用整合在一個(gè)平臺(tái)上，各類軟件運(yùn)行的硬件平臺(tái)是動(dòng)態(tài)變化的，沒有固定不變的安全邊界，難以實(shí)現(xiàn)用戶數(shù)據(jù)安全與隱私保護(hù)，對(duì)數(shù)據(jù)泄漏和數(shù)據(jù)完整性的擔(dān)心是云計(jì)算平臺(tái)必須解決的問題。 2）數(shù)據(jù)中心軟硬件的安全性。由于資源共享，如果云計(jì)算平臺(tái)運(yùn)行過程中軟件出現(xiàn)錯(cuò)誤或硬件發(fā)生故障，將可能導(dǎo)致相關(guān)應(yīng)用無法正常使用，使存儲(chǔ)的數(shù)據(jù)丟失或損壞，會(huì)降低云計(jì)算平臺(tái)的可用性。從技術(shù)層面講，云算要保證不同用戶、不同應(yīng)用的隔離性。這就需要采用可靠的系統(tǒng)監(jiān)控、災(zāi)難恢復(fù)機(jī)制以確保軟硬件系統(tǒng)的安全運(yùn)行。 3）由于控制權(quán)的轉(zhuǎn)移導(dǎo)致的安全問題。IT平臺(tái)由企業(yè)內(nèi)部控制轉(zhuǎn)移到由云服務(wù)提供商管理進(jìn)而會(huì)引發(fā)出許多安全問題。2、安全應(yīng)對(duì)策略公共云計(jì)算的安全管理不應(yīng)僅局限于使用某種特定安全技術(shù)，應(yīng)該是覆蓋整個(gè)云計(jì)算體系結(jié)構(gòu)的整體安全策略。由于不同用戶針對(duì)安全需求存在差異，云計(jì)算平臺(tái)應(yīng)具備提供不同安全等級(jí)云服務(wù)的能力，并且至少能提一個(gè)最低安全控制列表，使用戶認(rèn)為其提供的云服務(wù)對(duì)用戶足夠安全。簡(jiǎn)單來講，公共云計(jì)算平臺(tái)的安全結(jié)構(gòu)可以分為用戶管理、數(shù)據(jù)安全、數(shù)據(jù)中心軟硬件安全和控制權(quán)轉(zhuǎn)移引發(fā)的安全問題4個(gè)層面，為了保障云計(jì)算安全可靠也需要從這4個(gè)層面同時(shí)人手。公共云安全體系結(jié)構(gòu)如圖12.1 用戶管理為確保僅讓已知和授權(quán)的用戶訪問和使用云計(jì)算中心的計(jì)算資源及數(shù)據(jù)，同時(shí)保護(hù)數(shù)據(jù)及計(jì)算資源不被非授權(quán)用戶訪問和使用，必須對(duì)用戶身份進(jìn)行有效管理。用戶管理應(yīng)包括認(rèn)證、授權(quán)和審計(jì)3種基本功能 。 為實(shí)現(xiàn)用戶應(yīng)用在云端計(jì)算，同時(shí)也為保證用戶如同在一個(gè)可互操作的單一系統(tǒng)上一樣訪問所有相關(guān)云資源，云服務(wù)提供商必須提供聯(lián)合身份驗(yàn)證。聯(lián)合是指多個(gè)獨(dú)立資源（物理／虛擬硬件、軟件、網(wǎng)絡(luò)、身份、相關(guān)配置信息等）組合充當(dāng)單一資源的能力。聯(lián)合身份驗(yàn)證是使云計(jì)算成為可能的一個(gè)基本條件。認(rèn)證是核實(shí)用戶或系統(tǒng)身份的過程，用戶要使用云計(jì)算數(shù)據(jù)中心資源（包括硬件、軟件及數(shù)據(jù)）需取得相關(guān)信任憑證。信任是指雙方能通過身份驗(yàn)證機(jī)構(gòu)定義信任關(guān)系的能力。這一身份驗(yàn)證機(jī)構(gòu)能交換憑證（通常是用戶名／密碼和X.509證書），然后使用這些憑證確保消息安全，創(chuàng)建署名安全令牌，用戶通過它們提交任務(wù)并接收響應(yīng)信息。為確保賬戶安全，這些信息還需要周期性更新，比如周期性地修改密碼，并在不需要的時(shí)候取消賬戶登錄系統(tǒng)的能力。 授權(quán)是確認(rèn)用戶或系統(tǒng)身份后授予使用計(jì)算資源和訪問數(shù)據(jù)權(quán)限的過程。授權(quán)被用來確定用戶或服務(wù)是否具有執(zhí)行某項(xiàng)操作所需要的權(quán)限。用戶的所有操作還應(yīng)該被審計(jì)。審計(jì)是指查看和檢查有關(guān)認(rèn)證、授權(quán)的記錄和活動(dòng)，以確定系統(tǒng)控制的完備性、核實(shí)與已有安全策略及過程的符合性，檢測(cè)安全服務(wù)中的違規(guī)事件，并能給出相應(yīng)的對(duì)策和整改意見。2.2 數(shù)據(jù)安全相對(duì)于傳統(tǒng)的計(jì)算模式將數(shù)據(jù)保存在自己可控的局域網(wǎng)環(huán)境中，在公共云計(jì)算環(huán)境中，用戶數(shù)據(jù)保存在云中，數(shù)據(jù)擁有和管理相分離。為實(shí)現(xiàn)用戶數(shù)據(jù)安全，保護(hù)云計(jì)算中心中的用戶數(shù)據(jù)免遭破壞、惡意修改或泄密，在公共云環(huán)境中，要切實(shí)保障數(shù)據(jù)的傳輸安全和存儲(chǔ)安全。 數(shù)據(jù)傳輸安全 在非專用或分布式網(wǎng)絡(luò)環(huán)境中，用戶對(duì)在網(wǎng)絡(luò)中交換數(shù)據(jù)所使用的通信信道控制能力很弱，通常沒有。如果正在交換的數(shù)據(jù)沒有安全地進(jìn)行交換，則在這種情況進(jìn)行認(rèn)證的意義不大。為保證數(shù)據(jù)在傳輸過程中的安全性，通常采用的方法有兩種：一種通過傳輸層安全性實(shí)現(xiàn)，通過使用加密網(wǎng)絡(luò)通信信道，如使用虛擬專用網(wǎng)絡(luò)（VPN）在用戶和數(shù)據(jù)中心節(jié)點(diǎn)之間提供安全通道，從而確保傳輸?shù)臄?shù)據(jù)是安全的；二是使用數(shù)據(jù)層的安全性，不對(duì)通信信道進(jìn)行加密，而是對(duì)所交換的數(shù)據(jù)進(jìn)行加密。在分布式系統(tǒng)中第二種方法效率更高，很容易實(shí)現(xiàn)對(duì)公共網(wǎng)絡(luò)上分發(fā)的數(shù)據(jù)進(jìn)行加密。不管使用哪種方法，作為云安全的一部分，都應(yīng)該確保加密機(jī)制是安全的，這可能需要經(jīng)常地修改密鑰和密碼，利用公鑰／私鑰系統(tǒng)可以簡(jiǎn)化信息交換以及以后使用新的密鑰更新信息的過程。同時(shí)也必須考慮信息安全要求和加密技術(shù)對(duì)網(wǎng)絡(luò)運(yùn)行負(fù)荷帶來的負(fù)面影響，如資源開銷、傳輸延遲等，要尋找安全需要與代價(jià)間的平衡。 數(shù)據(jù)存儲(chǔ)安全 用戶把數(shù)據(jù)存儲(chǔ)在云計(jì)算環(huán)境中，數(shù)據(jù)的安全和隱私保護(hù)將是用戶首要關(guān)心的問題。一方面，網(wǎng)絡(luò)黑客通過技術(shù)手段可能會(huì)對(duì)用戶數(shù)據(jù)造成威脅；另一方面，云服務(wù)提供商內(nèi)部管理人員擁有特權(quán)，對(duì)用戶數(shù)據(jù)安全和隱私保護(hù)存在潛在威脅，必須采取有效措施預(yù)防擁有特權(quán)賬戶的管理人員對(duì)用戶數(shù)據(jù)可能造成的破壞。用戶在客戶端針對(duì)敏感數(shù)據(jù)進(jìn)行加密可大大降低數(shù)據(jù)泄密風(fēng)險(xiǎn)。 數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的數(shù)據(jù)碎片，這些碎片有可能被用來重建原始數(shù)據(jù) 。云服務(wù)提供商應(yīng)保證，在釋放用戶存儲(chǔ)空間后并在重新分配給其他用戶使用前將存儲(chǔ)介質(zhì)上保留信息完全清除。同時(shí)還要向用戶提供完善的數(shù)據(jù)備份與災(zāi)難恢復(fù)功能 J，這些在保證數(shù)據(jù)安全方面將發(fā)揮重要作用。訪問控制方面，必須靈活融合多類訪問控制方法，如基于屬性和基于憑證的方法。2.3 數(shù)據(jù)中心軟硬件平臺(tái)安全云計(jì)算數(shù)據(jù)中心為云用戶提供數(shù)據(jù)存儲(chǔ)、云計(jì)算等服務(wù)，是整個(gè)云計(jì)算體系結(jié)構(gòu)的核心。為確保數(shù)據(jù)中心安全，需要確保兩方面的安全性：一是抵擋來自外部的安全威脅；二是確保數(shù)據(jù)中心軟硬件平臺(tái)安全平穩(wěn)運(yùn)行 。 在物理層面，一方面要考慮廠房安全，要極力避免因突發(fā)事件（如斷電、地震等）造成系統(tǒng)停止服務(wù)；另一方面云服務(wù)提供商還必須對(duì)云計(jì)算數(shù)據(jù)中心進(jìn)行嚴(yán)格管理，其中包括對(duì)數(shù)據(jù)中心出入人員授權(quán)的管理，保證只有授權(quán)人員才可以進(jìn)入數(shù)據(jù)中心。針對(duì)擁有特權(quán)賬戶的管理人員加強(qiáng)管理（比如所有操作記日志），防止數(shù)據(jù)在物理層面被竊取或破壞。同時(shí)還需要對(duì)云計(jì)算中心進(jìn)行足夠的監(jiān)控，配置相應(yīng)的監(jiān)控設(shè)備，防止數(shù)據(jù)中心被非法侵入。 云計(jì)算服務(wù)提供商還需提供云存儲(chǔ)的數(shù)據(jù)及云應(yīng)用在服務(wù)器端的安全性管理，包括對(duì)網(wǎng)絡(luò)攻擊的防護(hù)和對(duì)病毒的檢測(cè)和清除，保障云存儲(chǔ)及各個(gè)應(yīng)用的訪問獨(dú)立且互不影響。這類安全功能通常由安全軟件提供。安全軟件通過用戶認(rèn)證、權(quán)限控制、訪問審計(jì)、入侵檢測(cè)、攻擊防護(hù)等一系列措施對(duì)數(shù)據(jù)中心內(nèi)部的信息進(jìn)行保護(hù)。其中，對(duì)訪問控制的審核、足夠細(xì)粒度的權(quán)限和加密密鑰管管理是保護(hù)數(shù)據(jù)和應(yīng)用的重要功能。通過身份認(rèn)證、安全審查、數(shù)據(jù)加密、系統(tǒng)冗余等技術(shù)及管理手段提高云計(jì)算平臺(tái)的健壯性、服務(wù)連續(xù)性和用戶數(shù)據(jù)的安全性。 為保證云計(jì)算各類應(yīng)用平穩(wěn)正常運(yùn)行，系統(tǒng)必須對(duì)整個(gè)云計(jì)算平臺(tái)基礎(chǔ)架構(gòu)進(jìn)行全面的監(jiān)控。讓系統(tǒng)管理員能隨時(shí)掌握整個(gè)架構(gòu)的運(yùn)行情況。監(jiān)控通常是通過監(jiān)控軟件實(shí)現(xiàn)。監(jiān)控對(duì)象包括系統(tǒng)硬件設(shè)備如服務(wù)器、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)等，也包括軟件如各類應(yīng)用軟件、數(shù)據(jù)庫、中間件等。通過對(duì)重要系統(tǒng)資源的監(jiān)控，檢測(cè)出系統(tǒng)瓶頸和潛在的問題，能為運(yùn)營(yíng)商及時(shí)優(yōu)化資源，保證系統(tǒng)可用性及性能提供理論依據(jù)，并能在出現(xiàn)嚴(yán)重問題的情況下進(jìn)行自動(dòng)恢復(fù)，以支撐云計(jì)算平臺(tái)的靈活性和高可用性。如監(jiān)控系統(tǒng)必須監(jiān)控CPU分配情況、使用率和負(fù)載的實(shí)時(shí)變化情況，這樣才有可能在某一應(yīng)用的工作負(fù)載發(fā)生變化時(shí)及時(shí)分配相應(yīng)的資源。監(jiān)控所產(chǎn)生的結(jié)果可以通過監(jiān)控軟件自動(dòng)進(jìn)行處理，也可以提交給系統(tǒng)管理員。監(jiān)控軟件應(yīng)該具備完整的監(jiān)控流程管理功能，能夠進(jìn)行性能閾值設(shè)定，超過閾值后自動(dòng)發(fā)出報(bào)警信息，跟蹤報(bào)警的原因，并發(fā)出相應(yīng)的管理指令，采取相應(yīng)的操作等一系列工作，使系統(tǒng)監(jiān)控處理可以自動(dòng)完成。此外，監(jiān)控功能還需具備一定的預(yù)測(cè)能力，通過歷史數(shù)據(jù)分析云計(jì)算資源池中的資源消耗趨勢(shì)、預(yù)測(cè)和避免問題發(fā)生。2.4 控制權(quán)轉(zhuǎn)移為保證服務(wù)質(zhì)量（QoS：Quality of Service），用戶通常會(huì)和服務(wù)提供商簽署服務(wù)水平協(xié)議（SLA：ServiceLevel Agreement）。SLA通常是購買第三方服務(wù)或提供IT服務(wù)時(shí)最通用的制定服務(wù)標(biāo)準(zhǔn)的方式。首先用戶根據(jù)自身業(yè)務(wù)特點(diǎn)提出相應(yīng)的QoS要求，為了能在使用相關(guān)服務(wù)的過程中始終滿足用戶需求，云服務(wù)提供商需要對(duì)服務(wù)質(zhì)量要求進(jìn)行量化，并且與用戶協(xié)商制定相應(yīng)的SLA；最后根據(jù)sLA內(nèi)容進(jìn)行資源配置以達(dá)到QoS要求。SLA用于確定云計(jì)算服務(wù)商實(shí)際能夠提供給用戶的服務(wù)，以及這些服務(wù)能達(dá)到的水平。當(dāng)服務(wù)提供商提供的服務(wù)未達(dá)到SLA要求時(shí)，用戶將得到相應(yīng)的補(bǔ)償。能否按SLA提供云計(jì)算服務(wù)，是衡量云服務(wù)提供商運(yùn)營(yíng)水平最重要標(biāo)準(zhǔn)。除了制定相應(yīng)的服務(wù)水平協(xié)議之外，由于云計(jì)算是個(gè)新興產(chǎn)業(yè)，國(guó)家還需要在相關(guān)領(lǐng)域制定相應(yīng)的法律、法規(guī)，以來規(guī)范云服務(wù)提供商和用戶雙方的行為。3 、安全評(píng)估云計(jì)算是一個(gè)新興產(chǎn)業(yè)，商業(yè)運(yùn)作模式還不成熟，用戶與云計(jì)算服務(wù)商之間在管理范圍、責(zé)任認(rèn)定等問題可能存在分歧，如何界定云服務(wù)是否安全？制定行業(yè)相應(yīng)的安全標(biāo)準(zhǔn)及其測(cè)評(píng)體系是解決上述分歧的根本方法 。明確定義安全目標(biāo)，保護(hù)范圍及程度，在賬戶安全、數(shù)據(jù)安全及隱私保護(hù)、數(shù)據(jù)中心安全和控制權(quán)轉(zhuǎn)移引發(fā)的安全問題給出標(biāo)準(zhǔn)化測(cè)評(píng)方法。安全標(biāo)準(zhǔn)可為云用戶制定安全目標(biāo)提供參考依據(jù)，出現(xiàn)安全事故可利用測(cè)評(píng)方法快速進(jìn)行責(zé)任認(rèn)定，解決云用戶和運(yùn)營(yíng)商之間分歧。結(jié) 語云計(jì)算具有很好的應(yīng)用前景，同時(shí)由于開放性使得云計(jì)算又面臨著前所未有的安全挑戰(zhàn)，要想大規(guī)模應(yīng)用必須解決安全問題。安全性又是個(gè)實(shí)時(shí)問題，需要持續(xù)不斷地進(jìn)行審視，因?yàn)椴坏h(huán)境會(huì)發(fā)生變化，而且隨著云計(jì)算技術(shù)大規(guī)模的應(yīng)用，需要和需求也可能會(huì)發(fā)生變化。