公有云安全威胁及应对策略

授权是确认用户或系统身份后授予使用计算资源和访问数据权限的过程。授权被用来确定用户或服务是否具有执行某项操作所需要的权限。用户的所有操作还应该被审计。审计是指查看和检查有关认证、授权的记录和活动，以确定系统控制的完备性、核实与已有安全策略及过程的符合性，检测安全服务中的违规事件，并能给出相应的对策和整改意见。

2.2 数据安全

相对于传统的计算模式将数据保存在自己可控的局域网环境中，在公共云计算环境中，用户数据保存在云中，数据拥有和管理相分离。为实现用户数据安全，保护云计算中心中的用户数据免遭破坏、恶意修改或泄密，在公共云环境中，要切实保障数据的传输安全和存储安全。

数据传输安全

在非专用或分布式网络环境中，用户对在网络中交换数据所使用的通信信道控制能力很弱，通常没有。如果正在交换的数据没有安全地进行交换，则在这种情况进行认证的意义不大。为保证数据在传输过程中的安全性，通常采用的方法有两种：一种通过传输层安全性实现，通过使用加密网络通信信道，如使用虚拟专用网络(VPN)在用户和数据中心节点之间提供安全通道，从而确保传输的数据是安全的;二是使用数据层的安全性，不对通信信道进行加密，而是对所交换的数据进行加密。在分布式系统中第二种方法效率更高，很容易实现对公共网络上分发的数据进行加密。不管使用哪种方法，作为云安全的一部分，都应该确保加密机制是安全的，这可能需要经常地修改密钥和密码，利用公钥/私钥系统可以简化信息交换以及以后使用新的密钥更新信息的过程。同时也必须考虑信息安全要求和加密技术对网络运行负荷带来的负面影响，如资源开销、传输延迟等，要寻找安全需要与代价间的平衡。

数据存储安全

用户把数据存储在云计算环境中，数据的安全和隐私保护将是用户首要关心的问题。一方面，网络黑客通过技术手段可能会对用户数据造成威胁;另一方面，云服务提供商内部管理人员拥有特权，对用户数据安全和隐私保护存在潜在威胁，必须采取有效措施预防拥有特权账户的管理人员对用户数据可能造成的破坏。用户在客户端针对敏感数据进行加密可大大降低数据泄密风险。

数据残留是数据在被以某种形式擦除后所残留的数据碎片，这些碎片有可能被用来重建原始数据 。云服务提供商应保证，在释放用户存储空间后并在重新分配给其他用户使用前将存储介质上保留信息完全清除。同时还要向用户提供完善的数据备份与灾难恢复功能 J，这些在保证数据安全方面将发挥重要作用。访问控制方面，必须灵活融合多类访问控制方法，如基于属性和基于凭证的方法。

2.3 数据中心软硬件平台安全

云计算数据中心为云用户提供数据存储、云计算等服务，是整个云计算体系结构的核心。为确保数据中心安全，需要确保两方面的安全性：一是抵挡来自外部的安全威胁;二是确保数据中心软硬件平台安全平稳运行 。

在物理层面，一方面要考虑厂房安全，要极力避免因突发事件(如断电、地震等)造成系统停止服务;另一方面云服务提供商还必须对云计算数据中心进行严格管理，其中包括对数据中心出入人员授权的管理，保证只有授权人员才可以进入数据中心。针对拥有特权账户的管理人员加强管理(比如所有操作记日志)，防止数据在物理层面被窃取或破坏。同时还需要对云计算中心进行足够的监控，配置相应的监控设备，防止数据中心被非法侵入。

云计算服务提供商还需提供云存储的数据及云应用在服务器端的安全性管理，包括对网络攻击的防护和对病毒的检测和清除，保障云存储及各个应用的访问独立且互不影响。这类安全功能通常由安全软件提供。安全软件通过用户认证、权限控制、访问审计、入侵检测、攻击防护等一系列措施对数据中心内部的信息进行保护。其中，对访问控制的审核、足够细粒度的权限和加密密钥管管理是保护数据和应用的重要功能。通过身份认证、安全审查、数据加密、系统冗余等技术及管理手段提高云计算平台的健壮性、服务连续性和用户数据的安全性。

（编辑：网站开发网_安阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!