據IDC預測,到2015年之前,云計算總產值將超過300億美元。同時專家預計,三年間,云計算市場規模年均復合增長率將達91.5%。2010年,中國云計算的市場規模為167.31億元,2013年將達1174.12億元。
目前即使眾多專家認為今年為產業元年,但是對于用戶來說,對于它的安全性還一直保有疑慮,直接導致發展遇到一困擾。現階段,云產業的發展還面臨九大產業威脅:
威脅1:
數據泄露對于每位CIO來說最大的噩夢就是自己公司敏感的內部數據落入了競爭者之手,這也讓高管們寢食難安。云計算則為這一問題增加了新的挑戰。2012年11月,北卡萊羅納州大學和RSA公司的研究者發布的報告就顯示了在同一臺物理機上,一個虛擬機如何利用側通道計時信息來提取出另一個虛擬機的私有密鑰。但是在許多案例里,攻擊者甚至不需要這么復雜的操作。如果一個多租戶的云服務數據庫設計不妥當,或許就會因為一個漏洞而導致所有客戶的數據遭殃。
延伸
不幸的是,雖然數據丟失和數據泄露都是對云計算的嚴重威脅,你所采取的措施或許能緩解某一方面但卻可能讓另一方面更加麻煩,或許你可以把所有的數據都加密起來,但如果把密鑰丟了那你等于所有數據都丟了。反之,如果你想把所有的數據都進行離線備份來降低災難性數據丟失的影響,但又增加了你的數據暴露的風險。
威脅2:
數據丟失對于消費者和企業雙方而言,數據丟失都是非常嚴重的問題。而存儲在云中的數據則可能因為其他的原因而造成丟失。云服務供應商的一次刪除誤操作,或者火災等自然因素導致的物理性損害,都可能導致用戶數據丟失,除非供應商做了非常到位的備份工作。但數據丟失的責任并非總是只在供應商一方,比如如果用戶在上傳數據之前加密不妥當,然后自己又弄丟了密鑰,那么也可能造成數據丟失。
延伸
許多承諾性政策里都要求組織對數據安全進行持續的審計記錄或其他形式的文檔存檔。如果組織存儲在云中的數據發生了丟失,將會導致組織的承諾陷入困境。
威脅3:
賬戶或服務流量劫持黑客通過網絡釣魚、欺詐或利用軟件漏洞來劫持無辜的用戶。通常黑客根據一個密碼就可以竊取用戶多個服務中的資料,因為用戶不會為每個服務設立一個不一樣的密碼。對于供應商,如果被盜的密碼可以登陸云,那么用戶的數據將被竊聽、篡改,黑客將向用戶返回虛假信息,或重定向用戶的服務到欺詐網站。不僅對用戶自身造成損失,還將對供應商的聲譽造成影響。
延伸
賬戶和服務劫持及通常伴隨的證書盜竊,仍位列威脅前列。竊取證書后攻擊者通常都可以進入云服務里的一些關鍵性領域,破壞其機密性、完整性和可用性。企業組織應該對這種技術手段做必要的防范,以及采取一些深層次的防御手段來保護數據免受外泄危機。同時應該禁止用戶和服務之間共享賬號證書,必要的話還應采取雙重驗證機制。
威脅4:
賬戶或服務流量劫持對于每位CIO來說最大的噩夢就是自己公司敏感的內部數據落入了競爭者之手,這也讓高管們寢食難安。云計算則為這一問題增加了新的挑戰。2012年11月,北卡萊羅納州大學和RSA公司的研究者發布的報告就顯示了在同一臺物理機上,一個虛擬機如何利用側通道計時信息來提取出另一個虛擬機的私有密鑰。但是在許多案例里,攻擊者甚至不需要這么復雜的操作。如果一個多租戶的云服務數據庫設計不妥當,或許就會因為一個漏洞而導致所有客戶的數據遭殃。
延伸
大多數供應商都在努力加強他們服務的安全機制,而對于消費者來說他們未必能很好的理解他們在使用、管理和監控云服務過程中可能牽涉到的安全問題。薄弱的接口和API設置會讓企業組織陷入許多安全性問題,影響機密性、可用性等。
威脅5:
拒絕服務攻擊簡單來說,拒絕服務攻擊就是指攻擊者阻止正常用戶正常訪問云服務的一種攻擊手段。通常是迫使一些關鍵性云服務來消耗大量的系統資源,例如處理進程、內存、硬盤空間、網絡帶寬,導致云服務器反應變得極為緩慢或者完全沒有響應。
拒絕服務攻擊(DDoS)引起過許多的麻煩,并一直被媒體所關注,他們的攻擊可能并無實質性目的。非對稱應用程序級別拒絕服務攻擊所瞄準的就是Web服務器、數據庫或其他云計算資源脆弱的這一點,然后在應用程序上運行一小段惡意程序,有時甚至不足100個字節。
延伸
流量高峰期遭遇拒絕服務攻擊時就像遇到了大堵車一樣,無法訪問目標服務器,除了等待你什么都做不了。對于消費者,服務中斷不僅會挫傷他們對云服務的信心,還會導致他們考慮將關鍵性數據從云中轉移走以降低損失。更糟的是,由于云服務的收費模式通常都是按用戶消耗了多少系統資源占用了多少空間來計算,因此即便是攻擊者沒有完全把你的系統搞癱瘓,也會讓你因為巨大的資源消耗而蒙受巨大的云服務費用。
威脅6:
惡意的內部人員在安全行業,來自內部惡意人員造成的威脅已經成為一個爭議話題。爭議歸爭議,事實上這種事情確實存在。對組織存在威脅的惡意內部人員可能是那些有進入企業組織網絡、系統、數據庫權限的在任的或曾經的員工,承包商,或者其他業務伙伴,他們濫用權限,導致企業組織的系統和數據的機密性、完整性、可用性受損。
延伸
諸如系統管理員等內部惡意人員,都擁有訪問企業敏感信息和關鍵領域的權限。從IaaS到PaaS和SaaS,內部惡意人員能夠訪問的敏感領域級別也越來越多,甚至是數據。因此那些全靠云服務供應商來進行安全管理的系統都面臨著巨大的風險。即便是加密過,如果客戶沒有很好的掌握著密鑰,或者限制可用的時間段,那么系統都可能面臨著來自內部惡意人員的威脅。
威脅7:
濫用云服務云計算的一個最大的優點就是它可以讓哪怕是最小的企業,來使用最大數量的計算資源。對于大多數企業來說,他們都支付不起成百上千的服務器,而使用成百上千個云服務器就沒問題。然而,并非所有人都能正確良好的利用這種資源。比如如果一個攻擊者想要破解一個密鑰,使用自己的機器可能要好幾年,而使用云計算服務器強大的計算能力,可能數分鐘就搞定了。或者攻擊者可能使用云服務器來進行DDoS攻擊,存儲惡意軟件或者盜版軟件。
延伸
需要考慮這一威脅的,更多的是云服務供應商。此類事情發生次數已經在增多了。如何防止別人濫用使用你提供的服務?如何定義“濫用”?如何阻止這種事情再次發生?
威脅8:
審查不足降低成本,運營效率,安全提升,這些優點讓人們對云計算趨之若鶩,對于那些有資源有能力來合理利用云技術的企業來說,這確實是一個很實在的目標,但有很多企業實際上在一擁而上的大潮里,并未真正的明確的了解這一技術的全貌。
如果對云服務供應商環境、應用程序、運營責任(如事故責任、加密問題、安全監控)等沒有充分的了解,企業組織如果貿然采用云計算,就可能面臨著認知不足的各種未知的風險,這恐怕比眼下的風險要更加嚴重。
延伸
貿然采用云服務的企業組織可能會自己陷入多種問題。如責任、義務、供應商和客戶間透明度、服務的相符程度等合同問題。將那些依賴完整網絡級別安全控制的應用程序遷移到云之后,如果失去控制或者供應商提供的服務與客戶的需求不符,就會非常麻煩和危險。未知的運營和架構問題也會隨著應用程序設計師和架構師與客戶溝通不足而引發種種問題。
企業和組織遷移到云的底線是,必須要有一定的資本能力,以及對云服務供應商足夠廣泛詳細的審查,并充分了解新技術所存在的風險。
威脅9:
共享技術漏洞云服務供應商要交付規模化的服務,就要共享基礎設施、平臺和應用程序。組成這些基礎設施的組件(包括CPU緩存、GPU等)的設計,如果沒有針對多租戶架構(IaaS)、重部署平臺(PaaS)或多客戶應用程序(SaaS)的優良隔離機制,那么如果存在威脅,所有的服務模式都將面臨威脅。必須建立深層次的防御戰略,包括計算、存儲、網絡、應用程序和用戶安全執法和監控,無論是何種云服務模式。關鍵是在整個的云服務里,必須要有一個完整的漏洞和錯誤配置解決機制。
延伸
管理程序、共享平臺組件、共享應用程序等共享技術所存在的風險遠比客戶行為更要緊,因為這種問題可能將整個系統的弱點暴露給攻擊者。這些漏洞將會是非常致命的,牽一發而動全身,整個云系統可能瞬間癱瘓。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:九大潛在威脅阻礙云計算產業推廣
相關文章
