您现在的位置:融合网首页 > 云计算 > 其他 >

公有云 vs 私有云 到底谁更安全?(2)

来源:网界网 作者:秩名 责任编辑:admin 发表时间:2011-06-02 20:14 
核心提示:让我提供一个例子。与我们合作的一家公司把自己核心的应用程序放在亚马逊Web服务中。遗憾的是这家公司在如果使用亚马逊Web服务安全机制或者简单应用程序设计问题等方面没有采取适当的安全措施。 实际上,亚马逊提供

让我提供一个例子。与我们合作的一家公司把自己核心的应用程序放在亚马逊Web服务中。遗憾的是这家公司在如果使用亚马逊Web服务安全机制或者简单应用程序设计问题等方面没有采取适当的安全措施。

实际上,亚马逊提供一个虚拟机级别的防火墙(称作安全组)。人们配置这个防火墙以允许数据包访问具体的端口。与安全组有关的最佳做法是对它们分区,这样,就会为每一个虚拟化提供非常精细的访问端口。这将保证只有适用于那种类型机器的通讯能够访问一个实例。例如,一台Web服务器虚拟机经过配置允许端口80上的通讯访问这个实例,同时,数据库虚拟机经过配置允许端口80上的通讯访问这个实例。这就阻止了来自外部的利用web通讯对包含重要应用程序数据的数据库实例的攻击。

要建立一个安全的应用程序,人们必须正确地使用安全组。这个机构没有这样做。它对于访问所有实例的通讯都使用一个安全组。这意味着访问任何实例的任何类型的通讯都可以访问每一种类型的实例。这显然是糟糕地使用亚马逊Web服务安全机制的一个例子。

关于机构的应用程序本身,它采用了糟糕的安全做法。它没有在不同类型的机器之中对应用程序代码分区,它把所有的应用程序代码都装载到同一个实例中。这个实例接收其企业网站的通讯,并且还有也在它上面运行的包含专有算法的代码。

这种情况的关键事实是:如果这个机构以为所有的安全责任都由云服务提供商(在这个案例中是亚马逊Web服务),这将是一个严重的疏忽,因为它没有采取重要步骤解决安全问题,而这个安全问题是没有任何一个云服务提供商会承担责任的。这是共同承担责任的意义—双方必须建立自己控制的安全方面。没有这样做,意味着应用程序是不安全的。即使云服务提供商在自己控制的范围内所做的一切都是正确的,如果这个应用程序的拥有者没有正确地履行自己的责任,这个应用程序也将是不安全的。

戈尔登称,我曾经会见过许多安全人员讨论有关公告云服务提供商的问题。他们拒绝认为自己的公司在这些环境中的责任,坚持把每一个安全话题转向担心云服务提供商的责任。

坦率地说,这使我感到他们是轻率的,因为这暗示他们拒绝认真地做一些必要的工作以便创建一个基于公共云服务提供商的尽可能安全的应用程序。这个态度好像所有的安全责任都在云服务提供商身上,与安全人员无关,进一步扩展就是他的公司与在云服务提供商环境中运行的应用程序的任何安全事故无关。因此,这种情况并不让人感到意外:有关人士坚决支持私有云,声称私有云有优越的安全性。

现实是,机构正在越来越多地在公共云服务提供商环境中部署应用程序。安全组织前进一步保证自己的机构采取一切可能的步骤尽可能安全地执行应用程序是非常重要的。这意味着机构本身需要在这方面采取些什么步骤。

因此,安全是云计算的第三条轨道。安全一直被说成是私有云固有的好处和公共云计算的基本缺陷。实际上,事实比这些情况暗示的还要模糊不清。断言公共云环境有安全缺陷,不认真考虑如何缓解这些不安全因素,似乎是不负责任的。这个证据表明这种观点认为研究缓解安全问题的技术是没有必要。

一个管理不善和配置糟糕的私有云应用程序是非常容易受到攻击的。一个管理妥当的和配置合格的公共云应用程序能够达到很好的安全性。把这种情况描绘非黑的和白的是简单化,会危害这个讨论。

在这两个环境中的更有建设性的做法是询问必须采取什么行动才能实现在时间、预算和容许风险的条件下尽可能保证应用程序安全的目标。考虑到一个具体环境和应用,安全从来不是一个或者黑色或者白色的简单问题,而是如何尽可能地照亮一个阴影的问题。不承认这个问题会破坏这个话题的讨论,影响如何最好地保证一个机构的基础设施以及尽可能地高效率和节省成本等问题。

(责任编辑:admin)
  • “扫一扫”关注融合网微信号

免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。

今日头条

更多>>

热门关键字

关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号