Gartner分析师Neil MacDonald发表的研究报告称,60%的虚拟化服务器比物理基础设施更容易遭到攻击。这个问题不是因为虚拟化本身不安全,而是存在于系统配置方面,大多数的虚拟化部署工作都是不安全的。虚拟化的安全技术包括两个方面,第一是虚拟化软件的安全技术,二是虚拟服务器的安全技术。
虚拟化软件的安全技术主要依赖于虚拟化厂商的安全技术,目前VMware发布的VMSafe计划将为虚拟安全服务提供一个框架,并能为与虚拟机和hypervisor交互作用的虚拟安全服务提供必要的API。
虚拟服务器位于虚拟化软件之上,对于物理服务器的安全原理与实践也可以被运用到虚拟服务器上,当然也需要兼顾虚拟服务器的特点,具体可从物理机选择、虚拟服务器安全和日常管理三个方面来保证虚拟服务器的安全。应选择具有TPM安全模块的物理服务器,同时严格控制物理主机上运行虚拟服务的数量;安装虚拟服务器时,应为每台虚拟服务器分配一个独立的硬盘分区;虚拟服务器系统还应安装基于主机的防火墙、杀毒软件、IPS(IDS)以及日志记录和恢复软件,安装系统补丁、应用程序补丁、所允许运行的服务、开放的端口等。
除了在数据安全、应用安全和虚拟化安全的技术外,还需要对云计算的环境进行安全监控,主要是对基础设置和云服务的安全事件进行创建、收集和分析,可以采用记录日志、报告的方式来进行。
云计算产业具有巨大市场增长前景,但对于使用这项服务的用户来说,云计算服务存在着异于传统IT的风险和挑战,Gartner发布的一份《云计算安全风险评估》报告对云计算风险概括了7大风险。
1.特权用户的接入:在公司外的场所处理敏感信息可能会带来风险,因为这将绕过企业IT部门对这些信息“物理、逻辑和人工的控制”。企业需要对处理这些信息的管理员进行充分了解,并要求服务提供商提供详尽的管理员信息。
2.可审查性:用户对自己数据的完整性和安全性负有终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审查。面对这样的提供商,用户只能用他们的服务做一些琐碎的工作。
3.数据所处位置:在使用云计算服务时,用户并不清楚自己的数据储存在哪里,用户甚至都不知道数据位于哪个国家。用户应当询问服务提供商数据是否存储在专门管辖的位置,以及他们是否遵循当地的隐私协议。
4.数据隔离:在云计算的体系下,所有用户的数据都位于共享环境之中。加密能够起一定作用,但是仍然不够。用户应当了解云计算提供商是否将一些数据与另一些隔离开,以及加密服务是否是由专家设计并测试的。如果加密系统出现问题,那么所有数据都将不能再使用。
5.数据恢复:就算用户不知道数据存储的位置,云计算提供商也应当告诉用户在发生灾难时,用户数据和服务将会面临什么样的情况。任何没有经过备份的数据和应用程序都将出现问题。用户需要询问服务提供商是否有能力恢复数据,以及需要多长时间。
6.调查支持:在云计算环境下,调查不恰当的或是非法的活动将难以实现,因为来自多个用户的数据可能会存放在一起,并且有可能会在多台主机或数据中心之间转移。如果服务提供商没有这方面的措施,那么在有违法行为发生时,用户将难以调查。
7.长期生存性:理想情况下,云计算提供商将不会破产或是被大公司收购。但是用户仍需要确认,在发生这类问题的情况下,自己的数据会不会受到影响。用户需要询问服务提供商如何拿回自己的数据,以及拿回的数据是否能够被导入到替代的应用程序中。
虽然不管是什么服务或部署模型,云计算服务的用户和提供商都应提高信息的安全性。对于用户来说,在选择云计算服务或将现有IT系统向私有云或公共云服务迁移之前,首先应对云计算安全有一个正确的认识,这有助于用户决定将什么样的业务放在云里;结合本企业实际情况,做好周详的准备工作,在大程度上降低在向云计算服务迁移后可能出现的安全威胁;寻求云服务提供商的技术支持,包括设计、开发、部署、测试、运维等过程。
对于云计算服务提供商而言,如何在大程度上降低云计算系统安全威胁、提高服务连续性、保障用户信息安全是其业务能否取得成功的关键。除了传统IT的安全手段如病毒防护、实时监控、防火墙、路由筛选等,还应保护用户信息的可用性、隐私性和完整性,对用户系统和数据进行安全隔离和保护,确保用户信息的存储安全以及用户间逻辑边界的安全防护,同时实施严格的身份管理、安全认证与访问权限控制,提供用户访问记录,访问可溯源。
毫无疑问,云计算的广泛应用会给人们的生活带来改变,甚至很有可能彻底改变用户使用电脑的习惯,使用户从以桌面为核心使用各项应用转移到以Web为核心进行各种活动。在云计算安全趋势上,包括技术方面和非技术层面。
技术层面上,云计算安全一方面云计算服务提供商在IaaS层和PaaS层加强云计算安全解决方案和技术的研究,SSL是大多数云安全应用的基础,这可能成为一个主要的病毒传播媒介,需要进行更多的监控。与此同时,应用云计算的企业要对迁移到云计算进行安全规划、系统重构、技术培训等方面的储备。
在非技术层面上,要考虑政策法规方面,越来越多的关于云计算的政策法规会出现。本月早些时候,由公安部、工信部、各级政府部门,中国科学院、中国社科院、西安交通大学、北京邮电大学、兰州大学等学术机构和英特尔(中国)、微软、思科(中国)、华为、中兴等中外云计算产业组织的专家学者就成立了中国云计算安全政策与法律工作组,用于相关政策的制定。总的来说,云计算面临的大挑战依然是其安全性。虽然一些安全人士积极参与、云计算安全解决方案不断涌现,但是云计算安全的道路是曲折而漫长的,我们期待安全的云早日到来。