最常見(jiàn)的IaaS安全問(wèn)題和緩解方法
基礎(chǔ)設(shè)施即服務(wù)(IaaS)安全性問(wèn)題是用戶和提供商最關(guān)注的問(wèn)題之一,需要解決這些問(wèn)題才能實(shí)現(xiàn)更高的性能。
在當(dāng)今不斷數(shù)字化的世界中,由于其速度和靈活性,企業(yè)不斷將工作負(fù)載從傳統(tǒng)基礎(chǔ)設(shè)施轉(zhuǎn)移到IaaS平臺(tái)。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的預(yù)計(jì),到2021年初,全球IaaS市場(chǎng)將增長(zhǎng)近13.4%,市場(chǎng)規(guī)模達(dá)到504億美元。
但是,由于它是一種云計(jì)算驅(qū)動(dòng)的概念,因此也存在一些問(wèn)題和安全風(fēng)險(xiǎn)。這里的問(wèn)題是,只有一種功能并不能為IaaS環(huán)境提供完整的安全性。之所以如此,是因?yàn)镮aaS平臺(tái)的保護(hù)是一種共同的責(zé)任,其中客戶安全責(zé)任涉及確保安全地設(shè)計(jì)、部署和操作云計(jì)算基礎(chǔ)設(shè)施。其責(zé)任還包括維護(hù)防火墻、操作系統(tǒng)、數(shù)據(jù)、平臺(tái)等方面的安全性。IaaS提供商必須在存儲(chǔ)、全局基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)、計(jì)算等方面保護(hù)云平臺(tái)。
IaaS安全性問(wèn)題是用戶和提供商都最關(guān)注的問(wèn)題,需要解決這些問(wèn)題才能實(shí)現(xiàn)高性能。因此,人們需要了解IaaS的安全問(wèn)題。這將有助于為業(yè)務(wù)數(shù)據(jù)保護(hù)選擇合適的解決方案。
IaaS的安全性問(wèn)題
IaaS具有一些必須為實(shí)現(xiàn)高性能而必須解決的問(wèn)題。這些問(wèn)題可以分為兩大類:
1.組件方面的安全性問(wèn)題
(1)服務(wù)等級(jí)協(xié)議或其驅(qū)動(dòng)的問(wèn)題
服務(wù)等級(jí)協(xié)議(SLA)是客戶與服務(wù)提供商之間關(guān)于服務(wù)質(zhì)量和正常運(yùn)行時(shí)間保證的協(xié)議。在維護(hù)提供商和客戶之間的信任的同時(shí),執(zhí)行服務(wù)等級(jí)協(xié)議(SLA)和適當(dāng)監(jiān)控服務(wù)等級(jí)協(xié)議(SLA)是最常見(jiàn)的挑戰(zhàn)之一。解決這一挑戰(zhàn)的方法是創(chuàng)建Web服務(wù)級(jí)別協(xié)議(WSLA)框架,以監(jiān)視和實(shí)施面向服務(wù)的架構(gòu)。WSLA通過(guò)支持第三方創(chuàng)新來(lái)維護(hù)服務(wù)等級(jí)協(xié)議(SLA)在云計(jì)算中的服務(wù),從而維護(hù)了服務(wù)等級(jí)協(xié)議(SLA)的信任。
(2)效用計(jì)算驅(qū)動(dòng)的問(wèn)題
效用計(jì)算是網(wǎng)格和集群計(jì)算的商業(yè)界面,用戶在每次使用服務(wù)時(shí)都會(huì)為此付費(fèi)。效用計(jì)算所涉及的主要挑戰(zhàn)是其復(fù)雜性;例如,服務(wù)提供商向二級(jí)提供商提供服務(wù),二級(jí)服務(wù)商也向其他提供商提供服務(wù)。這使得很難對(duì)服務(wù)收費(fèi)進(jìn)行計(jì)量。另一個(gè)挑戰(zhàn)性問(wèn)題是,整個(gè)系統(tǒng)將容易受到網(wǎng)絡(luò)攻擊者的攻擊,他們希望無(wú)需付費(fèi)即可訪問(wèn)服務(wù)。應(yīng)對(duì)第一個(gè)挑戰(zhàn)的解決方案是AmazonDevpay,它使二級(jí)提供商能夠計(jì)量服務(wù)使用情況并相應(yīng)地向消費(fèi)者收費(fèi)。應(yīng)對(duì)第二個(gè)挑戰(zhàn)的解決方案是,服務(wù)提供商必須保持系統(tǒng)不受病毒和惡意軟件的侵害,并保持系統(tǒng)無(wú)風(fēng)險(xiǎn)。該系統(tǒng)也受到客戶端實(shí)踐的影響,因此,客戶端必須保持身份驗(yàn)證密鑰的安全。
(3)云計(jì)算軟件驅(qū)動(dòng)的問(wèn)題
云計(jì)算軟件是連接云計(jì)算組件作為一個(gè)組件的關(guān)鍵。網(wǎng)絡(luò)攻擊者有能力攻擊XML服務(wù)安全協(xié)議并攻擊Web服務(wù),這可能導(dǎo)致服務(wù)通信的徹底中斷。減輕此類攻擊的解決方案是用于身份驗(yàn)證和完整性保護(hù)的XML簽名。另一個(gè)解決方案是XML加密,它以加密的方式包裝數(shù)據(jù),并且需要對(duì)數(shù)據(jù)進(jìn)行解密以檢索原始數(shù)據(jù)。
(4)網(wǎng)絡(luò)驅(qū)動(dòng)的問(wèn)題
互聯(lián)網(wǎng)連接和網(wǎng)絡(luò)服務(wù)在通過(guò)互聯(lián)網(wǎng)提供服務(wù)中起著至關(guān)重要的作用。網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接中存在問(wèn)題,例如“中間人攻擊”,這指的是網(wǎng)絡(luò)攻擊者通過(guò)生成中間人訪問(wèn)來(lái)操縱網(wǎng)絡(luò)連接時(shí),可以從中訪問(wèn)所有分類的權(quán)限和數(shù)據(jù)。此類攻擊的另一種類型稱為“泛洪攻擊”,即未經(jīng)授權(quán)的用戶發(fā)送大量請(qǐng)求以增加由于這些請(qǐng)求而引起攻擊的機(jī)會(huì)。潛在的解決方案可能類似于流量加密,它使用點(diǎn)對(duì)點(diǎn)協(xié)議對(duì)連接進(jìn)行加密,以避免外部攻擊。另一個(gè)合適的解決方案是對(duì)服務(wù)進(jìn)行連續(xù)且有效的網(wǎng)絡(luò)監(jiān)視,以驗(yàn)證所有聯(lián)網(wǎng)參數(shù)是否正確運(yùn)行。還可以通過(guò)實(shí)施防火墻來(lái)保護(hù)連接免受外部攻擊。
2.總體安全問(wèn)題
整體安全問(wèn)題是根據(jù)IaaS提供商租用的整體服務(wù)來(lái)判斷的。其中一些類型的問(wèn)題如下:
(1)監(jiān)視數(shù)據(jù)泄漏和使用情況
在云中存儲(chǔ)的所有數(shù)據(jù)都必須保密。它指示提供商和客戶端必須知道如何訪問(wèn)數(shù)據(jù),并確保只有授權(quán)用戶才能訪問(wèn)數(shù)據(jù)。這些問(wèn)題可以通過(guò)最新的數(shù)據(jù)管理服務(wù)來(lái)解決,該服務(wù)將連續(xù)監(jiān)視數(shù)據(jù)使用情況,并根據(jù)安全策略限制使用情況。
(2)日志記錄和報(bào)告
必須有效地使用適當(dāng)?shù)娜罩居涗浐蛨?bào)告模塊,以使IaaS的部署更加高效。卓越的日志記錄和報(bào)告解決方案可以跟蹤信息的下落、用戶、處理信息的機(jī)器的信息以及存儲(chǔ)區(qū)域。
(3).授權(quán)與認(rèn)證
眾所周知的事實(shí)是,只是使用用戶名和密碼登陸可能不足以實(shí)現(xiàn)高度安全的身份驗(yàn)證機(jī)制。這是系統(tǒng)必須維護(hù)的最常見(jiàn)的安全措施。服務(wù)提供商必須使用多因素身份驗(yàn)證來(lái)解決這一威脅。
結(jié)論
這些是在云中部署任何服務(wù)之前必須解決的一些風(fēng)險(xiǎn)和問(wèn)題。必須有效地對(duì)資源進(jìn)行監(jiān)控,以實(shí)現(xiàn)服務(wù)質(zhì)量和供應(yīng)商的高性能最好在事情失控之前執(zhí)行預(yù)防措施。行業(yè)人士強(qiáng)烈建議將IaaS安全性作為一個(gè)嚴(yán)重關(guān)切事項(xiàng)。盡管保護(hù)IaaS環(huán)境是一個(gè)挑戰(zhàn),但高級(jí)別的控制使客戶能夠根據(jù)其要求設(shè)計(jì)和實(shí)施安全控制。
