“云计算”产生之初到今,对其安全问题的质疑就从未停止过,云计算是火起来了,但云安全问题也颇为头疼。企业在关心自己的数据不会被肆意获取、篡改外,最关心的还是自己的私有信息不会被有意或无意的泄漏。
当企业把数据交给云计算服务商后,具有数据优先访问权的并不是企业自己,而是云计算服务商。如此一来,就不能排除企业数据被泄露的可能性。而除了云计算服务商之外,大量觊觎云端数据的黑客们他们不停的挖掘着服务商Web应用上的漏洞,以期望打开缺口,获得有价值的数据。
虽然云计算可以让企业用廉价的成本获得以往无法想象的高计算能力、高可用性、随需应变的动态资源分配特性、更快的市场响应服务,甚至更加绿色环保、节能减排等技术价值。但是在拥抱云计算的同时云计算面对的风险也是不容忽视,如果不能很好的解决安全问题,会不会成为过眼“浮云”呢?
云计算的七大安全隐患
在云计算下的三种类型的服务分别为IaaS,PaaS和SaaS,提供基础设施云服务、平台云服务和软件云服务,在IaaS云环境下应用软件是用户自己来设计、PaaS云中是基于平台来设计,而SaaS云中有直接可以使用的云软件。但是不论是哪种形式的云服务数据都将保存在云中,根据全球知名市场分析公司Gartner发布的一份研究报告,数据存放在云中存在着七大安全风险:
1. 数据被未知的超级用户访问风险
使用云计算后,企业的数据存放在云中,再也不能像将数据存放在企业本地时可以通过物理控制、逻辑控制、人员控制对数据的访问进行控制。存在云计算提供者的超级用户有可能对企业的数据进行查看与修改的风险;
2. 合规性检查风险
传统合规性检查时要求对企业内部的数据提供安全保障,云计算环境下数据被存放在企业外部,存在无法对数据安全性进行合规性检查的风险;
3. 数据存储位置未知风险
当使用云计算后,你将无法知道数据确切的存放位置,甚至不知道是被存放在了哪个国家。
4. 数据没有被真正隔离的风险
在使用云计算提供的服务时,虽然可以通过SSL对数据进行加密,但是由于云计算同时为多个用户提供服务,你的数据很有可能与其他云客户的数据存放在一起。
5. 数据恢复风险
尽管云计算提供者承诺他们的数据是安全的、可靠的、不会丢失,但是这个承诺只有当真的发生时才能知道是否属实,存在数据损失后无法恢复的风险。
6. 增加司法调查困难的风险
云计算同时为多个企业提供服务,同时记录了多个企业使用云计算的情况,当某一个企业需要被调查时,这种多个企业使用云计算的日志被记录在一起的情况增加了司法调查的难度。甚至有可能存在司法调查无法进行的风险。
7. 长期可用性保证的风险
企业用户必须确认保存在云中的数据是长期可用的。当出现问题时,用户可以在多长时间内把你关心的数据交还给你。
“全云审计”的诞生
“全云审计”的目标是对云计算本身的审计,即:实现对IaaS,PaaS和SaaS各个层面的审计,解决云计算用户可信的问题。国都兴业信息审计系统技术(北京)有限公司,是国内首家专业从事IT审计技术研究与产品开发的企业,国都兴业针对云时代IT审计业务的需求及云计算产业的发展,于2009年提出了“企业云审计”解决方案,2010年在企业云审计解决方案的基础上提出了“全云审计”的战略。
“全云审计”可以有效控制数据在云里面临的风险。
1. 数据被未知的超级用户访问风险?
“全云审计”独立记录了所有访问数据的行为,自动生成的审计报告可以发现数据被访问、使用的情况;
2. 合规性检查风险?
“全云审计”以第三方独立的形式对云计算进行全面的审计,可以降低合规性风险;
3. 数据存储位置未知风险?
“全云审计”不仅记录了用户使用数据的情况,而且记录了数据存储的轨迹,可以提供数据存储分析报告。
4. 数据没有被真正隔离的风险?
“全云审计”全面监控云中数据存储状态,跟踪数据动向,发现潜在的数据冲突风险。
5. 数据恢复风险?
“全云审计”对云中的数据可用性进行实时的监控,当发现可用性异常时可以在第一时间发送安全告警。同时“全云审计”记录了重要数据的变化过程,当云中的数据出现问题时“全云审计”可以减少数据损失。
6. 增加司法调查困难的风险?
“全云审计”对云平台中数据的访问提供全面的记录与审计,通过“全云审计”平台为司法调查提供便利。
7. 长期可用性保证的风险?
“全云审计”记录了云计算提供方平台自身的情况,可以清晰的了解到平台为提供数据长期可用性所做的工作,降低可用性风险。
“全云审计”战略需要国家和政府大力引导与支持,“全云审计”不仅为云服务提供商提供信息审计的支持,同时为云服务的用户提供第三方的审计报告,通过这份报告可了解用户在云中数据的安全情况。“全云审计”能够实现对云计算服务的全面审计,降低云数据的风险,使云服务提供商省心,让云服务使用者放心。
