当前位置：首页 > 云计算 > 正文

云计算安全需求的能力层有哪些(云计算安全需求层次)

云计算
2024-04-25 13:11:45
9239

一、云计算的安全性具体包含哪些内容云计算安全联盟（CSA）发布的一份报告总结了云计算安全的九大威胁。其中，三类威胁排名靠前：数据泄露、数据丢失和数据盗窃。
安全威胁一：数据泄露
为了论证数据泄露对组织造成的损害程度，CSA在报告中提到了2012年11月发表的一篇研究文章，描述了黑客如何利用端-channel定时信息可以通过闯入虚拟机来获取同一服务器上其他虚拟机使用的私钥。然而，实际上，恶意黑客不一定需要花费如此多的精力来确保此类攻击成功。如果多租户云服务数据库设计不当，即使用户的应用程序只有一个漏洞，攻击者也可以获取该用户的数据以及其他用户的数据。
安全威胁二：数据丢失
CSA认为，云计算环境的第二大威胁是数据丢失。用户可能会眼睁睁地看着这些有价值的数据消失得无影无踪，但却无能为力。恶意黑客删除目标的数据。粗心的服务提供商或灾难（例如火灾、洪水或地震）也可能导致用户数据丢失。更糟糕的是，如果用户丢失加密密钥，加密数据会给用户带来问题。
安全威胁3：数据滥用
云计算的第三大安全风险是帐户或服务流量被盗。CSA认为云计算在这方面代表了新的威胁。如果黑客获得了公司的凭据，他们就有机会窃听相关活动和交易、操纵数据、返回虚假信息并将公司客户引导至非法网站。报告指出：“您的帐户或服务实例可能成为攻击者的新基地。然后他们会利用你的声誉发起外部攻击。”CSA在报告中提到，亚马逊在2010年遭遇了跨站脚本（XSS）攻击。
安全威胁4：不安全接口
第四大安全威胁是不安全接口(API)。IT管理员将使用API来配置、管理、协调和监控云服务。一般来说，API对于云服务的安全性和可用性极其重要。因此，公司和第三方经常在这些接口的基础上构建并提供附加服务。“这增加了接口管理的复杂性，”CSA在报告中表示。“这种方法也会增加风险，因为组织必须与第三方共享凭据才能相互通信。”
安全威胁5：拒绝服务攻击
分布式拒绝服务（DDoS是被列为云计算第五大安全威胁。多年来，DDoS一直是互联网的主要威胁。在云计算时代，许多公司需要一项或多项服务来维持24/7可用性。在这种情况下，这种威胁就显得尤为严重。DDoS造成的服务中断可能会导致服务提供商失去客户，也可能会给按使用时间和存储空间付费的云服务用户造成重大损失。
安全威胁六：恶意的“临时工”
第六大威胁是恶意的内部人员，他们可以是现任或前任员工、承包商或业务合作伙伴。他们怀着恶意访问网络、系统或数据。在云服务设计不佳的情况下，恶意的内部人员可能会造成更大的损害。从基础设施即服务(IaaS)、平台即服务(PaaS)到软件即服务(SaaS)，恶意内部人员比外部人员拥有更高级别的访问权限，从而允许他们访问关键系统并最终访问数据。
安全威胁7：滥用云服务
第七大安全威胁是滥用云服务。例如，犯罪分子使用云服务来破解普通计算机难以破解的加密密钥。另一个例子是恶意黑客利用云服务器发起分布式拒绝服务攻击、传播恶意软件或共享盗版软件。
安全威胁八：仓促行动
云计算的第八大安全威胁是调查不充分，即企业没有充分了解云计算的系统环境和相关风险云服务现在还为时过早。因此，迁移到云的公司必须与服务提供商签订合同，以解决责任和透明度问题。此外，如果公司的开发团队不熟悉云技术并急于将应用程序迁移到云端，则可能会出现运营和架构问题。
安全威胁9：常见隔离问题
最后，CSA将共享技术中的漏洞列为云计算的第九大安全威胁。云服务提供商通常共享基础设施、平台和应用程序，并以灵活且可扩展的方式提供服务。

二、以下哪些是云计算环境中安全的新需求在云计算环境下，新的安全需求体现在以下几个方面：
首先，安全架构设计服务至关重要。云提供商需要帮助客户根据公司使命、业务流程和IT支持来分析安全功能需求，并将企业安全规范框架与行业实践相结合，创建集成的安全架构。该架构应通过威胁建模和攻击面分析全面消除潜在威胁。
其次，网络流量异常分析必不可少。通过在云计算中心的出口链路部署流量检测系统，可以实现流量统计分析、路由分析、异常流量检测。这不仅有助于深入了解网络流量的分布和变化趋势，还有助于识别并有效应对DDoS攻击、网络滥用、P2P流量等异常情况。
第三，抵御拒绝服务攻击的能力是云服务提供商的必要条件。由于云计算中心很容易成为攻击目标，服务提供商必须采取特殊措施来应对。同时，云计算的弹性特性要求服务提供商拥有强大的网络和服务器资源，支持按需自助服务，处理业务激活和服务变更的弹性需求。这使得DDoS、蠕虫攻击等大规模流量攻击成为云平台的潜在威胁。
四是DNS域名保护体系需要构建完善的保护体系。系统应包括事前评估强化、事中实时防御、事后分析取证三个阶段，涵盖物理层面、系统层面、数据应用层面等多个维。
最后，网络入侵检测系统的作用不可低估。通过建立具体的安全规则，重点关注攻击成功的安全事件，过滤掉低风险或不易成功的攻击行为，可以减轻管理员的工作量，确保重要的攻击行为得到重点关注。同时，根据业务特点定制安全规则也很重要。