云计算环境下的信息安全问题

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

访问层应用接口层基础管理层

云计算环境下的信息安全问题

摘要:云计算是一种基于Internet 的新兴应用计算机技术,在信息行业的发展中占据着重要的位置,它为互联网用户提供了安全可靠地服务和计算能力。其信息安全问题不仅仅是云计算所要解决的首要问题,也是决定云计算的发展前景的关键性因素。本文主要对云计算的概述、云计算存在的安全风险及云计算信息安全进行了分析。

关键词:云计算;信息安全;网络

0 引言

云计算是一种商业计算模型,也是一种能便捷、按需、由网络接入到一个可定制的计算资源共享池的模式,它将计算任务分布在大量计算机构成的资源池上,使用户能够按需获取计算力、存储空间和信息服务,被看成是全球IT 产业革命中的第三次变革。用户可以动态申请部分资源,支持各种应用程序的运转,有利于提高效率、降低成本和技术创新。通过云计算技术,网络服务提供者可以在数秒之内,处理数以千万计甚至亿计的信息,达到和“超级计算机”同样强大的网络服务。云计算系统的建设目标是将原来运行在PC 上或单个服务器上独立的、个人化的运算转移到一个数量庞大的服务器“云”中,由这个云计算系统来负责处理用户的请求,并输出结果,它是一个以数据运算和处理为核心的系统。

1 云计算的概述

(1) 云计算的概念

狭义云计算是指IT 基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源。广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。按需部署是云计算的核心。要解决好按需部署,必须解决好资源的动态可重构、监控和自动化部署等,而这些又需要以虚拟化技术、高性能存储技术、处理器技术、高速互联网技术为基础。因此,云计算除了需要仔细研究其体系结构外,还要特别注意研究资源的动态可重构、自动化部署、资源监控、虚拟化技术、高性能存储技术、处理器技术等。

(2) 云计算体系架构

云计算的体系架构如图1所示,包括基础管理层、应用接口层及访问层。基础管理层解决计算资源的共享问题,应用接口层解决以何种方式对外提供服务,而访问层是采用云计算来解决一些实际问题。

图1 云计算体系架构

(3)云计算的特征

云计算是在分布式计算、网格计算、并行计算等发展的基础上提出的一种计算模型,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。它具有如下一些特点:

①较高的可靠性:云计算采用了计算节点同构可互换、数据多副本容错等分支,因此与本地计算机相比,其可靠性更高。

②大规模性:由具备一定规模的多个结点组成,系统规模可以无限大。

③高度的可扩展性:可用即插即用的方式方便、快速地增加和减少资源,可扩展性和弹性比较高。

④资源共享性:提供一种或多种形式的计算或存储能力资源池,如物理服务器,虚拟机,事物和文件处理能力或任务进程。

⑤动态分配:实现资源的自动分配管理,包括资源即时监控和自动调度等,并能够提供使用量监控和管理。

⑥跨地域:能够将分布于多个物理地点的资源进行整合,提供统一的资源共享,并能在各物理地点间实现负载均衡。

另外,由于云计算具有低廉的成本及广阔的应用空间,不断吸引着电信运营商和制造商的关注。如中国三大电信运营商纷纷开展了云计算的研究和试验工作,构建中国IT支撑云、业务云、公众服务云,为社会提供基于云计算的IT服务。

然而,在云计算应用发展中面临着诸多挑战,如标准化问题、网络带宽问题、安全风险问题,其中安全问题被认为是最大的挑战之一,对于云计算的商业模式能否成功起着至关重要的影响。云计算安全出了传统IT架构中的信息安全风险外,还包括虚拟化、多租户技术带来的新的业务风险,导致信息安全风险复杂度升高。

2云计算信息安全风险分析

尽管很多研究机构认为云计算提供了最可靠、最安全的数据存储中心,但安全问题是云计算存在的主要问题之一。虽然每一家云计算方案提供商都强调使用加密技术(如SSL)来保护用户数据,但即使数据采用SSL技术进行加密,也仅仅是指数据在网络上加密传输的,数据在处理和存储时的保护仍然没有解决。主要存在以下安全风险:

(1)由于网络边界模糊带来的安全风险

在传统的网络边界防护中,一般都是按照网络中资源重要程度的不同进行区域划分,各个区域之间边界明确,然后再在不同区域根据安全需求不同采取相应的边界防护措施。但在云计算环境下,由于大量运用虚拟化技术,资源池化技术导致云计算环境内服务器、存储设备和网络设备等硬件基础设施被高度整合,多个系统同时运行在同一个物理设备上,传统的网络边界正在被打破,传统意义上网络边界防护手段也需要调整以适应新的技术变革。

(2)数据安全面临的风险

①信息远程传输面临的安全风险

在云计算环境下,所有的数据处理、存储都是在云端完成的,用户一端只具有较少的计算处理能力。这就意味着用户的原始数据、发送的处理请求、用户端展示的内容等数据都需要通过网络进行传输,云计算环境中将严重依赖网络。在开放的互联网中如何保证云端与用户端之间数据传输的机密性、完整性是需要解决的问题。

②信息集中存储面临的安全风险

如果用户一旦迁移到云环境中后,用户所有的数据都将在云端,云服务商以何种技术保证用户的数据在云端得到了妥善保存而没有被无意或恶意的泄露出去,用户如何能保证自身存储的数据都是合法的、经过授权的用户所访问而没有被竞争对手窥探,云计算环境下的身份鉴别、认证管理和访问控制等安全机制是否符合用户的需求,这些都已经成为云计算环境下迫切需要解决的问题。

(3)云服务器面临的安全风险

在云计算环境中,由于数据和资源的大集中导致云服务器需要承担比传统网络架构的服务器更加繁重的任务。云计算环境对外提供的应用服务、用户提出的数据处理需求等等都需要由云服务器来完成。但同时云环境下开放的网络环境、多用户的应用场景给云服务器的安全带来更多的隐患。

3云计算环境下的信息安全策略

(1)边界安全

为了适应由于网络边界模糊带来的安全需求,大量的边界防护设备,如防火墙、入侵检测等系统也进行了相应的改造,提供虚拟化环境下的安全防护能力以适应新的安全需求。

以防火墙系统为例。在云计算环境下的防火墙普遍采用虚拟防火墙技术,将一台物理的防火墙基于虚拟设备资源进行划分,每个虚拟后的防火墙不但具备独立的管理员操作权限,能随时监控和调整策略的配置情况,同时多个虚拟防火墙的管理员也支持并行操作。物理防火墙能保存每个虚拟防火墙的配置和运行日志。经过虚拟化之后的防火墙能像普通的物理防火墙一样,由不同的业务系统使用,由各自业务系统自主管理和配置各自的虚拟防火墙,采用不同的安全策略,实现各业务系统之间的安全隔离。虚拟化之后的安全设备也与网络设备,服务器等一样实现的资源的池化。从安全的角度出发,不同的虚拟机也应该像物理服务器一样划分到不同的安全域,采取不同的边界隔离。

关于虚拟机之间边界防护的技术思路有两种,一种是虚拟化厂商为代表,在利用虚拟化的边界防护设备的基础上,与虚拟化管理功能进行整合,通过内置的端口检测虚拟机之间的数据流量。这种方式与交换设备无关,但消耗资源多,不能实施灵活的安全策略。另一种划分思路是以网络设备厂商为代表,由网络设备对虚拟机进行标识并将其流量牵引到物理交换机中实现流量监测,具体实现方法是采用边缘虚拟桥EVB协议将内部的不同虚拟机之间网络流量全部交与服务器相连的物理交换机进行处理。在这种工作模式下,交换设备与虚拟化管理层紧密结合,能实施灵活的虚拟机流量监控策略,同时也使得安全设备的部署变得更加简单。

(2)数据传输安全

在云计算环境中的数据传输包括两种类型,一种是用户与云之间跨越互联网的远程数据传输,

相关文档
最新文档