苹果推出的iCloud服务让用户们兴奋异常,他们迫不及待地将个人数据迁移至苹果公司的数据中心,以便更轻松地访问和分享。瞧,这个服务很酷,也很方便。不过,当你把自己的资料交给iCloud的时候,是否应该为这些数据的安全性进行祈祷呢?
北京时间2011年6月7日,在苹果公司全球开发者大会WWDC 2011上,苹果公司CEO乔布斯揭开了苹果云服务iCloud的神秘面纱,标志着苹果公司也进入了云计算领域。它提供了免费的MobileMe服务,可以同步和存放用户的音乐、照片、应用程序、日历、文档、视频、邮件、联系人以及更多内容,并以无线方式推送到用户的所有装置;此外还提供照片流、文档云服务、自动备份等功能。在云计算的大潮下,这是苹果公司面对日渐丰富的产品线和多样终端的用户需求的必然选择。
云计算的普及让信息安全面对更多威胁
云计算是计算、存储、虚拟化等IT技术发展,通信和网络技术发展,需求推动以及商业模式变化共同促进的结果。云计算的主要吸引力在于高性价比、高利用率、高扩展性、高可靠性以及资源使用透明化等特点。不过,随着云计算技术的发展和应用的落地,云计算的安全性越来越成为用户关注的焦点。因为在云计算环境中,用户不再拥有基础设施的硬件资源,而是使用远程存储和计算;数据在云中,软件也运行在云上。这种方式打破了传统的IT部署习惯,给应用程序尤其是部署在云中的应用程序带来了新的安全挑战。面对这种挑战,云计算有哪些安全技术手段?我们应该如何规避云计算安全风险呢?
从谷歌旗下移动广告子公司涉嫌非法收集用户信息,到亚马逊史上大一次宕机事件致其数据中心中断服务两天,再到前不久的索尼服务器遭黑客攻击,7700万网游用户个人信息被窃;这一系列的云安全问题使得用户对云计算充满了质疑和担忧。有调查数据显示,越来越多的企业考虑将更多重要数据放在公司的防火墙内而不是云上,甚至还有企业重新审查自己的云服务契约是否合适。云计算的安全问题是企业应用云计算大的顾虑所在。Forrester Research公司的调查结果显示,有51%的中小企业认为安全性和隐私问题是他们尚未使用云服务的主要原因;IDC的调查也显示安全问题是企业用户选择云计算的首要考虑因素。
安全问题成为云计算首要关注问题
云计算的安全问题主要有两个方面:一是云计算自身环境特有的安全问题,传统观念认为将信息保存在自己可控的环境中比存放在不了解、不熟悉的地点更安全,也就是说传统用户无法认可自己不可控的环境能够提供更好的安全性。二是传统IT是封闭的,在安全上只需要对外部访问的接口和防火墙进行防护,内部部署杀毒软件即可;使用云计算后,所有的访问都暴露在公开网络中,用户的操作也需要在远程登陆后进行,因此云计算改变了现有的软件系统安全防护模式。
云计算应用安全目前还没有形成相关的国际标准,有三种类型的组织对其进行研究,第一类是非盈利机构,如CSA(Cloud Security Alliance,云安全联盟);第二类是云计算服务提供商,他们提出了一些云计算安全解决方案和安全策略,主要通过身份认证、安全审查、数据加密、系统冗余等手段来提高云计算业务平台的稳健性、可用性和用户数据的安全性,如Google将使用一个两步认证机制(Two-step verification)来控制信息访问提高云计算的安全性;第三类是从事安全的组织,如赛门铁克、瑞星、金山等,这部分安全技术和方案本文暂不讨论。
Google两步认证机制