云安全主要技術分析

    云計算安全問題包括云計算安全技術的挑戰，服務供應商及用戶如何進行相互協作的管理方面的挑戰，以及其跨地域性、多租戶、虛擬化等特性帶來的政府信息安全監管、隱私保護和司法取證等方面的挑戰。云計算的安全問題主要還是指“云”端數據的使用安全。許多用戶希望更多的數據放在“云”上，這樣他們耗資更少，而得到的便利會更多。但越多的數據存于“云”中，就意味著有越多的數據被濫用的可能。云安全對云計算如此重要，下面介紹云安全主要方面的相關技術考慮。

　　一、基礎設施安全

　　基礎設施安全包括網絡、主機/存儲等核心IT基礎設施的安全。云計算相關的所有網絡層安全挑戰在云計算條件下變得更加嚴重，但這都不是云計算所造成的，網絡層面的安全控制包括網絡訪問控制（如防火墻），傳輸數據加密（如SSL、IPSec），安全事件日志，基于網絡的入侵檢測系統/入侵防御系統（IDS/IPS）等。

　　主機層的安全問題，例如日益增長的主機邊界安全的需求以及對安全增加虛擬化環境的需求，在云計算中也被擴大了，卻也不是由云計算所引起的，主機層面的安全控制包括主機防火墻、訪問控制、安裝補丁、系統鞏固、強認證、安全事件日志、基于主機的入侵檢測系統/入侵防御系統等。

　　基礎設施的安全以及云計算相關的問題需要理清哪一方提供什么層面的安全（例如是由用戶提供還是由云計算服務商提供），換句話說，需要定義信任邊界。云安全架構的一個關鍵特點是云計算服務商所在的等級越低，用戶自己所要承擔的安全能力和管理職責就越多。

　　二、虛擬化安全

　　利用虛擬化帶來的經濟上的可擴展有利于加強在基礎設施、平臺、軟件層面提供多租戶云服務的能力，然而利用這些虛擬化技術也會帶來其它安全問題，如果云服務的基礎設施采用了虛擬機（VM）技術，這些VM系統間的隔離加固是必須要考慮的。

　　虛擬操作系統管理方面的實踐現狀是：大多數提供缺省安全保護的進程都未被加入，因此必須特別注意如何代替它們的功能。虛擬化技術本身引入了hypervisor和其它管理模塊這些新的攻擊層面，但更重要的是虛擬化對網絡安全帶來的嚴重威脅，虛擬機間通過硬件的背板而不是網絡進行通信，因此，這些通信流量對標準的網絡安全控制來說是不可見的，無法對它們進行監測、在線封堵，類似這些安全控制功能在虛擬化環境中都需要采用新的形式。

　　數據混合在集中的服務和存儲中是另一需考慮的問題，云計算服務提供的集中數據在理論上應比在大量各種端點上分布的數據更安全，然而這同時也將風險集中了，增加了一次入侵可能帶來的后果。

　　還有一個問題是不同敏感度和安全要求的VM如何共存。在云計算中，某一最低安全保護的租戶，其安全性會成為多租戶虛擬環境中所有租戶共有的安全性，除非設計一種新的安全結構，安全保護它們之間不會通過網絡相互依賴。因此，需要考慮虛擬機的安全隔離、虛擬機鏡像安全管理、虛擬化環境下的通信安全、虛擬化和物理安全設備的統一管理和可視化等技術。對不需要運行的虛擬機應當立即關閉。

　　三、數據安全

　　云用戶和提供商需要避免數據丟失和被竊。如今，個人和企業數據加密都是強烈推薦的，甚至有些情況下是世界范圍法律法規強制要求的。云用戶希望他們的提供商為其加密數據，以確保無論數據物理上存儲在哪里都受到保護。同樣的，云提供商也需要保護其用戶的敏感數據。

　　強加密及密鑰管理是云計算系統需要用以保護數據的一種核心機制。由于加密本身不能保證防止數據丟失，加密提供了資源保護功能，同時密鑰管理則提供了對受保護資源的訪問控制。

　　數據安全技術包括諸如數據隔離、數據加密解密、身份認證和權限管理，保障用戶信息的可用性、保密性和完整性。密碼學界正在努力研究謂詞加密等新方法，避免在云計算中處理數據時對數據進行解密，近期公布的完全同態加密方法所實現的加密數據處理功能，都大大地推進了云計算的數據安全。

　　四、身份和訪問管理安全

　　管理身份和訪問企業應用程序的控制仍然是當今的IT面臨的最大挑戰之一。雖然企業可以在沒有良好的身份和訪問管理策略的前提下利用若干云計算服務，但從長遠來說延伸企業身份管理服務到云計算確是實現按需計算服務戰略的先導。因此對企業基于云的身份和訪問管理（IAM）是否準備就緒進行一個誠實的評估，以及理解云計算服務商的能力，是采納云生態系統的必要前提。

　　云中實施成功有效的身份管理必不可少的IAM功能包括：身份供應/取消供應、認證、聯盟、授權和用戶配置文件管理。同時還包括支持SAML、使用SPML開通用戶，以及能滿足各種用戶和訪問流程自動化需求的開放式應用程序接口等。

　　企業在云計算中有效管理身份和訪問控制最重要的因素是：需要在組織內構建一套強大的目錄和身份聯合管理功能——如體系架構和系統、用戶和訪問生命周期管理流程、以及審計和合規功能。對于認證云計算中的用戶和服務，除了基于風險的認證方法外，還需要注意簡單性和易用性。

　　五、Web安全

　　云計算模式中，Web應用是用戶最直觀的體驗窗口，也是唯一的應用接口。而近幾年風起云涌的各種Web攻擊手段，則直接影響到云計算的順利發展。

　　“瀏覽器就是你的操作系統”的說法恰當地說明了瀏覽器的重要作用。為了達到云計算終端到終端的安全，用戶保持瀏覽器的良好安全狀態是很必要的，這就需要對瀏覽器安裝補丁和升級以降低瀏覽器漏洞的威脅。此外，針對目前幾種典型的云計算模式，部分廠商采取了細化應用安全防護的手段，針對不同的應用，提供專業級的網關安全產品。

　　六、應用安全

　　由于云環境其靈活性、開放性、以及公眾可用性這些特性，在SaaS、PaaS、IaaS的所有層面，對于應用程序來說，云計算都是一個特別的挑戰。基于云計算的應用軟件需要經過類似于DMZ區部署的應用程序那樣的嚴格設計。這包括深入的前期分析，涵蓋傳統的如何管理信息的機密性、完整性、以及可用性等方面。

　　由于云計算應用程序面向公眾的性質，無疑增加了軟件開發生命周期的安全需求，同時也需確保API徹底經過安全測試。部署于公共云中的網絡應用程序必須根據互聯網威脅模型進行設計，而且必須在軟件開發生命周期（SDLC）中內嵌安全。

　　應用程序的安全控制手段包括軟件開發生命周期內嵌安全的開發流程、“最小特權”配置、及時安裝應用程序補丁、用戶認證、訪問控制、帳戶管理、瀏覽器用最新的補丁加固、終端安全措施包括反病毒、入侵防御系統、基于主機的入侵檢測系統、主機防火墻和用于管理的虛擬專用網絡VPN等。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：云安全主要技術分析

本文網址：http://m.hanmeixuan.com/html/consultation/10839715788.html