云计算、物联网、大数据的安全风险和对策研究

2016-04-20

1、前言

如今越来越丰富的市场数据,正在打消人们对于“云”概念的怀疑。越来越多的成功部署案例,表明云计算不再是漂浮在头顶上一团虚无缥缈的水气。目前,对云计算的定义和特征、应用等存在各种不同的看法和流派,较为公认的一个云计算描述是美国技术和标准研究院(NIST)的五个关键特征,即按需的自服务、宽带接入、虚拟池化的资源、快速弹性架构、可测量的服务[1]

随着云计算的部署和实施,云计算服务的提供者需要考虑一个亟待解决的问题,即如何在保障云计算平台自身安全的基础上,更好的为客户提供服务。本文将针对这个问题,给出一种云计算安全技术体系框架,旨在为云计算平台安全技术体系的建设,提供一个有益的参考和借鉴。

2、云计算面临的主要安全威胁

一般而言,要解决安全问题,应该先正确的识别其安全威胁。云安全联盟CSA 于2010 年3 月份发表了自己的研究成果——云计算的七大威胁[2],获得了广泛的引用和认可,相关分析阐述如下:

2.1、云计算的滥用、恶用、拒绝服务攻击(Abuse and Nefarious Use ofCloudComputing),一是针对云计算服务的拒绝服务攻击,会导致整个平台的不可用;二是利用云计算的强大服务能力,对其他系统发起的攻击将是致命的。云计算服务很容易成为滥用、恶意使用服务的温床。在2010 年Defcon 大会上,DavidBryan 公开演示了,如何在Amazon的EC2 云计算服务平台上,以6 美元的成本对目标网站发起致命的拒绝服务攻击 。另外,利用云计算服务来破解密码、构建僵尸网络等恶意使用案例也屡有报道。

2.2、不安全的接口和API(InsecureInterfacesand APIs),云计算服务商需要提供大量的网络接口和API,整合上下游、发展业务伙伴、甚至直接提供业务。但是,从业界的安全实践来看,开发过程的安全测试、运行过程中的渗透测试等,不管从测试工具还是测试方法等,针对网络接口和API 都还不够成熟,这些通常工作于后台相对安全环境的功能被开放出来后,带来了额外的安全入侵入口。

2.3、恶意的内部员工(Malicious Insiders),Verizon Business 最新的数据泄漏调查报告(DBIR 2010)显示,48% 的数据泄漏是由于恶意的内部人士所为。对于云计算服务而言,有权限、有能力接触并处理用户数据的人员范围进一步扩大,这种访问权限范围的扩大,增加了恶意的“内部员工”滥用数据和服务、甚至实施犯罪的可能性。

2.4、共享技术产生的问题(Shared Technology Issues),资源的虚拟池化和共享是云计算的根本,但是这种共享并不是没有代价的。最为典型的代价就是安全上的不足。事实上,针对虚拟层(hypervisor)的安全研究已经被广为重视,从2007 年开始,主流的虚拟层(hypervisor)软件常有漏洞被披露。

 

 

电话

24小时热线:

4006-371-379

咨询电话:

0371-55056677

0371-55056699


举报

“扫黄打非”举报专区:


您可以通过邮箱举报的方式向我们举报不良信息,将举报类型、举报网址、举报IP、举报描述、违法截图以及您的联系方式等信息发送至我们的邮箱:

support@htuidc.com