云计算安全的共识、共鸣和挑战(2)

来源：至顶网　作者：李文秀　责任编辑：admin　发表时间:2012-01-16 15:59　

核心提示：共鸣：私有云与公有云谁更安全首先要清楚公有云和私有云的定义，公有云由云服务供应商提供，其云基础设施、平台或应用为公众或企业提供服务。私有云的基础设施、平台和应用只为企业运行和服务，由企业自身负责管理

共鸣：私有云与公有云谁更安全

首先要清楚公有云和私有云的定义，公有云由云服务供应商提供，其云基础设施、平台或应用为公众或企业提供服务。私有云的基础设施、平台和应用只为企业运行和服务，由企业自身负责管理。当然企业也可以在自建私有云的同时，一些业务也可以选择公有云服务提供支撑，这就是混合云的概念了。

简而言之，私有云是在企业内部署的，有明确的边界，我们是否就可以认为私有云就更加安全呢?正如CSA对云计算安全定义的那样，其实云计算安全控制的主要部分与传统IT环境的安全控制没有什么区别。更写实的理解，公有云供应商来维护其云环境的安全，只是其为公众提供云服务，私有云是企业维护自身云的安全，为自己提供云服务而已。他们共同面对的安全问题都来自云计算的特性，即虚拟化所提供的动态性，意味着即便是私有云，如果云环境的一个虚拟机存在安全威胁，那么虚拟机间的通信就会存在安全威胁，那么企业传统安全架构和防护措施可能就会被轻易越过，那么企业私有云安全边界是需要动态的变化，还是像传统安全边界一样面临挑战?

同时，企业正在不断提升其安全系统的级别，即高级安全系统的构建。那么这样的系统需要可信，基于信誉，智能感知，背景感知，自动化管理，对安全策略的动态部署等等。简言之，完全打破人工对安全的更新、维护、管理，尽量节约人工成本。那么问题就出现了，满足云的安全自动化的能力与目前企业的人工安全实践并不匹配，企业是该牵强的附和云的自动化要求，强上安全自动化，还是等待技术进一步完善，在安全与云基础设施完全匹配前，平衡更多的条件和因素?据笔者了解，在未来发布的新版本《云计算关键领域安全指南》中，将有专门的主题，讨论企业私有云安全的内容。

再看公有云，在《云计算关键领域安全指南》V2.1中。所涉及的云计算安全的内容范畴大多数与公有云的安全有关，正如前文所提到的不同云服务模式的职责分配。企业可能会问既然选择了公有云服务，为什么还要对云环境承担责任，甚至依然倔强的认为私有云比公有云在安全方面更具优越性。坦率的说，如果企业决定选择公有云的服务，那么首先要充分信任云供应商的安全防护技术和能力，并与供应商明确各自控制范围的安全范畴，并尽最大可能将企业本身需要维护的安全内容做到完善;而不是当面对公有云的时候，模糊职责范围，不去履行企业自身应尽的责任。

总结一下，私有云即使在企业控制范围内，如果使用不善，依然面临安全威胁的挑战，公有云如果与供应商一起，通过合理的职责划分和合作，也能达到更好的安全性。

在《云计算关键领域安全指南》V2.1中，指出了12个关键领域的云计算安全控制范围，分为治理和运行。治理部分包括：治理和企业风险管理，法律和电子证据的发现，合规和审计，信息生命周期管理，可移植性和互操作性。运行部分包括：传统安全、业务连续性和灾难恢复，数据中心运行，事件响应、通告和补救，应用安全，加密和密钥管理，身份和访问管理，虚拟化。并给出了详细的治理和运行建议。

挑战：云计算安全与传统安全的异同和挑战

为什么我们说云计算安全与传统安全区别不大?现在就来看看他们的异同。相同点：第一目标是相同的，保护信息、数据的安全和完整;第二保护对象相同，保护计算、网络、存储资源的安全性;第三采用的技术类似，比如传统的加解密技术、安全检测技术等。不同点：比如云计算服务模式导致的安全问题，虚拟化带来的技术和管理问题等。

那么云计算安全会面临哪些安全威胁挑战?主要来源于技术、管理和法律风险三个方面。挑战包括：

1.数据集中，聚集的用户、应用和数据资源更方便黑客发动集中的攻击，事故一旦产生影响范围广，后果严重。

2.传统基于物理安全边界的防护机制在云计算的环境难以得到有效的应用。

3.基于云的业务模式，给数据安全的保护提出了更高的要求。

4.云计算的系统非常大，发生故障的时候，如果快速的定位问题的所在，挑战也很大。

5.云计算的开放性对接口安全提出新的要求。

6.管理方面，挑战在于管理权方面，云计算数据的管理权和所有权是分离的，比如公有云服务方面，是否给供应商提供一些高权限的管理;还有就是在企业和服务提供商之间需要在安全方面达成一致;还有就是在协同和管理上的一些问题。比如发生攻击时的联动，对运营管理的模式提出了一些要求;还有监管方面的挑战等。

7.在法律风险方面主要是地域性的问题。云计算应用引发了地域性弱，信息流动性大的特点，在信息安全监管、隐私保护等方面可能存在法律风险。

总结

虚拟化和安全是伴随云计算概念诞生相关性最紧密的两项技术，而二者也是紧密联系的，虚拟化给安全重新思考和构建的天然条件，反之安全技术对虚拟化动态的保障可加速其部署和企业接受的步伐，他们都将大大促动云计算的高速发展。如果说云计算的热潮中，哪项技术是最冷静的，首推安全。正是因为产业，用户近乎苛刻的担忧，让云计算安全的发展很务实，也很踏实。不管企业和用户对云计算的接纳程度，是急需云的效果，还是安全确实让企业放心了，现实情况是云计算安全的成熟度还有很大的距离，套用一句成语“云计算尚未成功，安全仍需努力。”　

(责任编辑：admin)

“扫一扫”关注融合网微信号

免责声明：我方仅为合法的第三方企业注册用户所发布的内容提供存储空间，融合网不对其发布的内容提供任何形式的保证：不保证内容满足您的要求，不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网，融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容（包含但不限于融合网目前各产品功能里的内容）仅表明其第三方企业注册用户的立场和观点，并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息，并不代表本网站的观点和立场，更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点，与本网站立场无关，不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断，自行决定并承担相应风险。

根据相关协议内容，第三方企业注册用户已知悉自身作为内容的发布者，需自行对所发表内容（如，字体、图片、文章内容等）负责，因所发表内容（如，字体、图片、文章内容等）等所引发的一切纠纷均由该内容的发布者（即，第三方企业注册用户）承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容（如，字体、图片、文章内容等），经相关版权方、权利方等提供初步证据，融合网有权先行予以删除，并保留移交司法机关查处的权利。参照相应司法机关的查处结果，融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容（如，字体、图片、文章内容等）存在侵犯自身合法权益的，应准备好具有法律效应的证明材料，及时与融合网取得联系，以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式：（一）、电话：（010）57722280；（二）、电子邮箱：2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。