云計算還存在哪些技術或管理方面的風險?
安全問題是企業開展云計算業務的關鍵。最近幾年,業界主流云服務商接連發生的安全事件暴露了云計算應用安全在服務可用性、內容安全與隱私保護方面存在諸多隱患。作為一種新型的計算模式,云計算的運營有別于傳統IT業務,面臨新的安全風險,主要包括技術風險和管理風險。
風險,也就是指我們不希望發生的事件發生的概率。在信息安全領域,風險就是一個惡意或非惡意暴露機密信息事件、或威脅數據一致性以及干擾系統和信息可用性事件發生的概率。任何接入互聯網的組織都處于風險之中,他們都應考慮黑暗網絡的彈性特性和擴展私有云計算和公共云計算網絡的能力。
從技術角度來看,云服務系統和傳統IT系統類似,傳統IT系統中各個層次存在的安全問題在云環境中仍然存在,如系統的物理安全、主機、網絡等基礎設施安全、應用安全等。云服務器中,硬件平臺通過虛擬化為多個應用共享。由于傳統安全策略主要適用于物理設備,如物理主機、網絡設備、磁盤陣列等,而無法管理到每個虛擬機、虛擬網絡等,使得傳統的基于物理安全邊界的防護機制難以有效保護共享虛擬化環境下的用戶應用及信息安全。
用戶在使用云服務器的過程中,不可避免地要通過互聯網將數據從其主機移動到云上,并登錄到云上進行數據的管理。在此過程中,如果沒有采取足夠的安全措施,將面臨數據泄漏和被篡改的安全風險。
業務專家理解和接受與云計算客戶和云計算供應商相關的風險。無論你擔任了什么樣的角色,要管理什么樣不想要發生的潛在事件,都必須實施風險管理。在云計算關系的特定情況下,雙方的風險管理工作都是必要的,其中企業用戶和云計算供應商都必須擁有成熟的風險管理計劃。成熟度是通過一個有管理、有周期性報告以及維持低風險狀態定量證據的計劃來證明的。
用戶的數據和業務應用處于云計算系統中,其業務流程將依賴于云計算服務提供商所提供的服務,這對服務提供商的云平臺服務連續性、SLA和IT流程、安全策略、事件處理和分析能力等提出了挑戰。同時,當發生系統故障時,如何保證用戶數據的快速恢復也成為一個重要問題。
隨著大數據時代的來臨,傳統的存儲架構無法解決高速的數據增長,越來越多的企業使用大數據平臺存儲數據。大數據平臺大多是基于一些開源軟件開發而成,其復雜的架構,模塊的不穩定,數據的跨地域傳輸等特點,都會給大數據平臺的安全帶來極大的威脅。當使用云計算后,你將無法知道數據確切的存放位置,甚至不知道是被存放在了哪個國家。
這對云計算普及提出了更高的要求和更大的挑戰。在網絡安全等級保護制度中,云服務商和云租戶應該共同承擔安全責任,建設安全防護措施。而現有云環境下,除提供邊界的安全防護和基本虛擬網絡保護外,缺少更豐富的安全服務,更無法直接為租戶提供安全服務,云租戶難以便利實現其網絡安全防護,履行其安全職責,存在合規性風險。
