云计算安全+

云环境下的风险与挑战


发布时间 2019-01-04  


随着用户将传统业务系统迁移至云计算环境中,云安全面临的挑战也更加严峻,传统环境下的安全问题在云环境下仍然存在,而云环境下又面临一些列新的安全风险与挑战,云计算面临的主要安全风险和挑战包括以下几个方面。



1.1 云环境下的合规风险



网安法、CII条例、等保2.0、个人信息安全规范的相继出台,为云计算环境下的安全保障指明了方向,云服务的提供者和使用者违反相关法规,将面临法律处罚。


《国家网络安全法》第21条规定“网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”第34条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”


《网络安全法》和CII条例对违反法规的情况,给予相应的民事或刑事处罚,涉及个人信息保护、安全产品认证、数据存储地、违规信息、安全事件上报、数据泄露、在境外存储网络数据或者向境外提供网络数据等方面。



1.2 云环境下的管理风险



1.2.1 责任难以界定


在云计算模式下,云计算平台的管理主体、运营主体、数据安全责任主体三者不同,相互之间的责任难以界定,特别是在云租户与云服务提供商之间。而不同的服务模式(例如提供SaaS服务的云服务商可能将其服务建立在其他云服务商的PaaS或IaaS 之上)则进一步增加了界定云租户与云服务商之间责任的难度。


1.2.2 租户业务风险


在云计算环境,租户将自己的数据和业务系统迁移到云上,失去对这些数据和业务的直接控制能力,同时云服务商具有访问、利用或操控租户数据的能力。


云服务商把云计算平台的安全措施及其状态视为知识产权和商业秘密,租户不能有效监管云服务商的内部人员对客户数据的越权访问和使用,增加了租户数据和业务的风险。


1.2.3 数据保护困难


云服务商使用其他第三方的功能组件,使云计算平台结构复杂性增加,实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。


1.2.4 数据残留风险


当客户退出云计算服务时,云服务商应该完全删除客户的数据。但目前,还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作。



1.3 云环境下的技术挑战



1.3.1 自适应云安全


云环境下,硬件资源转变为虚拟化形态,并实现虚拟化资源的自动化部署、按需分配、弹性扩容、动态迁移等功能,安全产品如何适应云环境的业务特点实现自适应安全(自动化部署、按需分配、弹性扩容、策略跟随、协同响应、安全闭环)是云安全面临的一大挑战。


1.3.2网络安全威胁


云环境下,恶意人员通过对云平台的攻击,对云租户的业务安全造成威胁: 
单台虚拟机被入侵后对其他虚拟机进行的渗透攻击,并导致病毒在网络内传播蔓延
虚拟机之间进行的ARP攻击、嗅探
云内网络带宽的非法抢占
因云平台管理员账号被盗导致的从互联网直接非法访问云资源

东西向安全问题,例如虚拟机之间的端口扫描、暴力破解、入侵攻击等


1.3.3 主机安全威胁


服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问、操作窃听
同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露 
服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访问和入侵 

虚拟机因异常原因产生的资源占用过高而导致宿主机或其它虚拟机的资源不足


1.3.4 应用安全威胁


网页被恶意篡改
利用应用系统对外接口,对云平台发起攻击

云内应用系统健康状况不透明


1.3.5 数据安全威胁


在虚拟环境传输的文件或者数据被监听
云用户从虚拟机逃逸后获取镜像文件或其他用户的隐私数据
敏感数据存储漂移导致的不可控
数据安全隔离不严格导致恶意用户可以访问其他用户数据


相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、软件组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。