云計算可能面臨的安全風(fēng)險

云計算是一種新的計算方式，它依托于互聯(lián)網(wǎng)，以網(wǎng)絡(luò)技術(shù)、分布式計算為基礎(chǔ)，實現(xiàn)按需自服務(wù)、快速彈性構(gòu)建、服務(wù)可測量等特點的新一代計算方式。然而，任何以互聯(lián)網(wǎng)為基礎(chǔ)的應(yīng)用都存在著一定危險性，云計算也不例外，安全問題從云計算誕生那天開始就一直受人關(guān)注，其產(chǎn)生的危害和影響遠(yuǎn)比傳統(tǒng)安全事件要大的多。

本文依據(jù)云計算現(xiàn)狀并結(jié)合實際應(yīng)用，總結(jié)出以下云計算可能面臨的安全風(fēng)險：

1、多租戶模式，安全域無邊界

在多租戶的云計算環(huán)境里，由于云平臺的深度開放，平臺上租戶種類繁雜，可能會包含一些心懷不軌的惡意租戶，也可能由于租戶間的利益競爭關(guān)系，導(dǎo)致云計算資源的濫用、租戶間的攻擊成為可能，多租戶的隔離技術(shù)勢必經(jīng)受更為艱難的安全挑戰(zhàn)。

2、虛擬化難捕捉

在云計算環(huán)境中，有多種不同的虛擬化管理組件，比如虛擬機監(jiān)視器、網(wǎng)絡(luò)策略控制器，存儲控制器等等，這些都是實現(xiàn)多租戶共享硬件并隔離業(yè)務(wù)和數(shù)據(jù)的核心組件，一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用，那么所有的租戶就沒有安全可言了。

3、數(shù)據(jù)泄漏量大

由于云服務(wù)器上保存了大量客戶的隱私數(shù)據(jù)，在多租戶環(huán)境下，一個客戶應(yīng)用存在漏洞可能就會導(dǎo)致其他客戶數(shù)據(jù)的泄露。數(shù)據(jù)泄露不僅導(dǎo)致商業(yè)機密、知識產(chǎn)權(quán)和個人隱私的泄露，而且對企業(yè)而言可能產(chǎn)生毀滅性打擊。云計算依托的基礎(chǔ)就是海量數(shù)據(jù)，只有在超大型的數(shù)據(jù)中心才能充分發(fā)揮作用，而海量數(shù)據(jù)若發(fā)生泄露，造成的損失很大，尤其是各種數(shù)據(jù)混雜在一起，做不好數(shù)據(jù)防護，很容易被人所竊取。惡意黑客會使用病毒、木馬或者直接攻擊方法永久刪除云端數(shù)據(jù)來危害云系統(tǒng)安全。

4、攻擊頻率急劇增大

現(xiàn)在的數(shù)據(jù)中心建設(shè)規(guī)模都很大，因為只有規(guī)模上去，云計算的優(yōu)勢才能更加明顯。所以現(xiàn)在擁有數(shù)十萬臺服務(wù)器的數(shù)據(jù)中心屢見不鮮，這就將很多數(shù)據(jù)集中在一起，再交由云計算處理。擁有海量數(shù)據(jù)的數(shù)據(jù)中心，目標(biāo)太大，很容易成為別人的目標(biāo)。還有云計算用戶多樣性而且規(guī)模巨大，這樣遭受的攻擊頻率也是急劇增大。以阿里云為例，平均每天遭受數(shù)百起ddos攻擊，其中50%攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計算。這種頻度的攻擊，給安全運維帶來巨大的挑戰(zhàn)。

除此之外，不安全的接口和界面、新的攻擊方式、混亂的身份管理、高級持續(xù)性威脅、審查不充分、惡意SaaS應(yīng)用、共享技術(shù)問題等等，都是云計算要面臨的安全威脅。解決好云計算安全風(fēng)險問題，將會為云計算的發(fā)展打下堅實的基礎(chǔ)，讓更多的人樂于接受云計算，將自己的信息數(shù)據(jù)安心放到云計算應(yīng)用中來。

因此，無論作為云計算基礎(chǔ)設(shè)施供應(yīng)商，還是云計算服務(wù)商，都應(yīng)重點通過以下措施增強云計算環(huán)境的安全防護能力。

首先，選擇可信的云服務(wù)商。云服務(wù)客戶在擬向云計算平臺遷移或部屬其業(yè)務(wù)和數(shù)據(jù)時，應(yīng)選擇通過第三方安全審查機構(gòu)審查的云服務(wù)商，確保其具備云計算安全服務(wù)能力的要求。

其次，做好風(fēng)險評估。企業(yè)應(yīng)對各種需要IT支持的業(yè)務(wù)流程進行風(fēng)險性和重要性的評估。雖然很容易計算出采用云環(huán)境所節(jié)約的成本，但是“風(fēng)險/收益比”也同樣不可忽視，必須首先了解這個比例關(guān)系中的風(fēng)險因素。作為風(fēng)險評估的一部分，還應(yīng)考慮到潛在的監(jiān)管影響， 因為監(jiān)管機構(gòu)禁止某些數(shù)據(jù)和服務(wù)出現(xiàn)在企業(yè)或國家之外的地區(qū)。

同時，企業(yè)應(yīng)了解不同的云模式（公共云、私有云與混合云）以及不同的云類型（SaaS，PaaS，IaaS）， 因為它們之間的區(qū)別將對安全控制和安全責(zé)任產(chǎn)生直接影響。根據(jù)自身組織環(huán)境以及業(yè)務(wù)風(fēng)險狀況，所有企業(yè)都應(yīng)具備針對云的相應(yīng)觀點或策略。在風(fēng)險分析的過程中， 法律機構(gòu)也應(yīng)發(fā)揮重要作用， 因為涉及擔(dān)保和債務(wù)的事務(wù)也是分析的重要內(nèi)容。

云計算這個大趨勢已不可阻擋，而隨之而來的安全威脅也將產(chǎn)生更多變化。對于云計算平臺的服務(wù)提供商應(yīng)持續(xù)關(guān)注新興攻擊技術(shù)和防護措施的演進趨勢，明確來自多方面的安全需求，利用現(xiàn)有的、成熟的安全控制措施，結(jié)合云計算的特點和新技術(shù)進行綜合考慮和設(shè)計，以滿足風(fēng)險管理要求、合規(guī)性要求，保障和促進云計算業(yè)務(wù)的發(fā)展和運行。