雲計算安全的三個層面：技術風險、管理風險和法律風險

雲計算在IT技術領域大放異彩，成為引領技術潮流的新技術。雲計算的高速發展為試圖重新聚焦關鍵業務目標的企業帶來了許多利好，例如提高產品上市的速度、增加企業競爭的優勢以及降低資本和/或運行的開支等等。為了管理好雲計算風險，首先了解風險到底是什麼將是非常重要的。

所謂風險，也就是指我們不希望發生的事件發生的概率。在信息安全領域，風險就是一個惡意或非惡意暴露機密信息事件、或威脅數據一致性以及干擾系統和信息可用性事件發生的概率。任何接入互聯網的組織都處於風險之中，他們都應考慮黑暗網路的彈性特性和擴展私有雲計算和公共雲計算網路的能力。

根據學習，發現雲計算技術面臨著下面幾個方面層次的安全威脅：

一、技術風險

1. IaaS層風險分析

基礎設施即服務(IaaS)為用戶提供計算、存儲、網路和其它基礎計算資源，用戶可以在上面部署和運行任意的軟體，包括操作系統和應用程序，用戶不用管理和控制底層基礎設施，但要控制操作系統、存儲、部署應用程序和具有對網路組件(如主機防火牆)具有有限的控制許可權的能力。許多最嚴重的IaaS風險很大程度是由於雲管理員對操作系統，應用程序和雲管理界面的錯誤配置或缺乏安全控制。

其中一個主要風險是缺乏安全的API，這些API是由雲提供商提供以允許用戶與他們的服務以及服務管理更無縫的集成。儘管提供商負責提供安全的API和補丁，客戶應該自己對這些API進行評估，包括支持的傳輸方法以及什麼樣的數據在與供應商的交互過程中被來回發送。API或應用程序的更新很容易導致兼容性問題，甚至也可能引發數據泄露的場景，因此客戶應該定期測試他們的程序和API交互的部分。

小招數：建議雲客戶要在選定IaaS前徹底調研雲服務提供商的安全控制和服務水平協議。客戶應儘可能利用多因素身份驗證，對數據進行加密以減少內部威脅，維護密鑰的控制權，並開始比以往任何時候都更關注在雲環境中的可用日誌。定期掃描基於雲的系統漏洞也是一個最佳做法。

2. PaaS層風險分析

PaaS平台資源的容器是基於操作系統的虛擬化，與IaaS基礎環境實現解耦，平台自身的實現多數是應用較廣的開發框架和標準 API，能夠有效提升資源管理水平，有效避免廠商綁定;同時，合理調整單個操作系統之上容器密度的有效部署，可以更好提升資源使用率，降低硬體採購成本。

PaaS主要以容器雲形式實現，容器雲依賴容器基礎技術，目前常見的有Docker和garden兩種類型。

平台即服務(PaaS)上進行網路應用開發是存在著一定風險漏洞的。具體的威脅風險包括黑客、軟體設計缺陷或者不良的測試方法。這些風險有可能會利用漏洞來影響應用或大幅度降低應用的性能。

3. SaaS層風險分析

SaaS(Software-as-a-Service，軟體即服務)，通過網路在線交付服務，企業可以節省更多的成本，把更多的精力用在促進業務發展上而不必被ERP這些軟體的升級維護瑣事而困擾，極大的提升運營效率。

但是很多企業，尤其是大型企業，很不情願使用SaaS正是因為安全問題，SaaS解決方案缺乏標準化，企業要保護核心數據，不希望這些核心數據由第三方來負責。以前看到過一篇文章，據說多達20%的SaaS部署項目之所以以失敗告終，原因是數據集成方面存在嚴重問題。因此，企業在採用某一種部署模式之前，需要認真分析各種部署模式在系統生命周期所有階段的優缺點，這一點還挺重要噠。

二、管理風險

1. 雲服務無法滿足SLA

企業依靠服務等級協議(SLA)來要求雲計算供應商為所提供的服務提供保障，並在發生服務故障時提出維權主張。比如，SLA明確規定了供應商的責任，在什麼樣的時限內供應商應當能夠解決問題，以及發生停機時間和客戶失去業務情況下應當由供應商承擔的責任。但是，當談及雲計算SLA時，問題的癥結往往在於細節。比如，涉及客戶退還的內容就是存在問題的。

2. 雲服務不可持續風險

企業用戶必須確認保存在雲中的數據是長期可用的。當出現問題時，用戶可以在多長時間內把你關心的數據交還給你。

3. 身份管理

業務專家理解和接受與雲計算客戶和雲計算供應商相關的風險。無論你擔任了什麼樣的角色，要管理什麼樣不想要發生的潛在事件，都必須實施風險管理。在雲計算關係的特定情況下，雙方的風險管理工作都是必要的，其中企業用戶和雲計算供應商都必須擁有成熟的風險管理計劃。成熟度是通過一個有管理、有周期性報告以及維持低風險狀態定量證據的計劃來證明的。

三、法律法規風險

1. 數據跨境

隨著大數據時代的來臨，傳統的存儲架構無法解決高速的數據增長，越來越多的企業使用大數據平台存儲數據。大數據平台大多是基於一些開源軟體開發而成，其複雜的架構，模塊的不穩定，數據的跨地域傳輸等特點，都會給大數據平台的安全帶來極大的威脅。當使用雲計算後，你將無法知道數據確切的存放位置，甚至不知道是被存放在了哪個國家。

2. 隱私保護

在使用雲計算提供的服務時，雖然可以通過SSL對數據進行加密，但是由於雲計算同時為多個用戶提供服務，你的數據很有可能與其他雲客戶的數據存放在一起。

3. 犯罪取證

雲計算同時為多個企業提供服務，同時記錄了多個企業使用雲計算的情況，當某一個企業需要被調查時，這種多個企業使用雲計算的日誌被記錄在一起的情況增加了司法調查的難度。

這對雲計算普及提出了更高的要求和更大的挑戰。在網路安全等級保護制度中，雲服務商和雲租戶應該共同承擔安全責任，建設安全防護措施。而現有雲環境下，除提供邊界的安全防護和基本虛擬網路保護外，缺少更豐富的安全服務，更無法直接為租戶提供安全服務，雲租戶難以便利實現其網路安全防護，履行其安全職責，存在合規性風險。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！