首页 >> IDC行业新闻
云计算应用可能会遇到的安全风险
发布时间:2012-5-11 15:45:37 被阅览数:27892次 来源:云计算应用安全风险
云计算应用可能会遇到的安全风险
1)用户数据泄露或丢失
这是目前云计算用户最为担心的安全风险,也是用户数据泄露的重要途径。用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄露或丢失。现阶段可能导致安全风险的有以下几种典型情况:
由于服务器的安全漏洞导致黑客入侵造成的用户数据丢失;
由于虚拟化软件的安全漏洞造成的用户数据被入侵的风险;
数据在传输过程中没有进行加密导致信息泄露;
加密数据传输但是密钥管理存在缺失导致数据泄露;
不同用户的数据传输之间没有进行有效隔离导致数据被窃取;
用户数据在云中存储没有进行容灾备份等。
从这个角度看,云计算服务商在向用户推荐云计算服务时,需要和企业用户签署服务质量保证协议,并从技术和管理两个方面向用户进行安全保证,以减轻用户对于数据安全的担忧。
2)用户应用不能安全交付
在云计算的建设过程中,每个建设环节都可能导致安全问题,诸如物理机房环境的安全、网络的安全、应用系统的安全、数据存储的安全、管理平台的安全等。抛掉物理环境的安全不谈,其他几个环节可能导致的安全风险可以归结为以下几个方面。
云计算服务商在运行维护过程中,需要对整个云计算中心的服务器存储网络等资源进行运维管理。在这个过程中,任何运维管理环节的问题,都可能对用户的应用造成损害,如因为配置方面的疏忽,造成用户的虚拟化计算资源不足以正常运行业务系统;因为网络安全的配置错误导致互联网连接不通;因为服务商对公共安全风险如DDOS攻击防护不足导致用户对外的业务交付出现故障等。
3)内部人员数据窃取
企业的核心数据在云计算环境中的存储,离不开管理员的操作和审核,如果服务商内部的管理出现疏漏,将可能导致内部人员私自窃取用户数据,从而对用户的利益造成损害。在这种情况下,除了通过技术的手段加强数据操作的日志审计之外,严格的管理制度和不定期的安全检查十分必要。云计算服务供应商有必要对工作人员的背景进行调查并制定相应的规章制度避免内部人员“作案”,并保证系统具备足够的安全操作的日志审计能力,在保证用户数据安全的前提下,满足第三方审计单位的合规性审计要求。
4)用户身份认证的安全
云计算服务商在对外提供服务的过程中,需要同时应对多租户的运行环境,保证不同用户只能访问企业本身的数据、应用程序和存储资源。在这种情况下,运营商必须要引入严格的身份认证机制,不同的云计算租户有各自的帐号密码管理机制。如果运营商的身份认证管理机制存在缺陷,或者运营商的身份认证管理系统存在安全漏洞,则可能导致企业用户的帐号密码被仿冒,从而使得“非法”用户堂而皇之的对企业数据进行窃取。因此如何保证不同企业用户的身份认证安全,是保证用户数据安全的第一道屏障。
业务联系QQ:173723134