引云小心威胁上了身 五个易忽视的云计算风险
缺乏对于安全风险的了解是阻碍云计算最重要的因素之一。
关于安全问题接二连三的报告成为了减缓云部署速度的最大障碍。随着企业从物理环境转向虚拟化和基于云的环境,安全威胁也就发生了变化,而这一点常常被人们忽视,即便是云倡导者也不例外。
病毒、恶意软件和网络钓鱼仍然值得关注,但是类似于虚拟机发起的攻击、多租户风险和管理程序缺陷将会是现在的安全管理员们所面临的主要挑战。下面列出五个容易被忽视但是可能危及你的云计算的威胁。
1、 DIY安全
通过遮遮掩掩而实现太平的日子已经过去了。在过去,如果你是一个匿名的中小型企业,你所担心的威胁也同样是典型的消费者所面临的威胁:病毒、网络钓鱼或者尼日利亚419诈骗等等。黑客们没有足够的能力渗透到你的网络中去,所以你不用担心类似于DDoS攻击——这些是只有服务器供应商才会遇到的问题。还记得一个老纽约画的漫画:“在互联网的世界里,没有人知道你是谁,哪怕你是条狗。”而在云中,没有会知道你是一家中小型企业。
“只是作一个小型网站不能再给予你任何保护,”IBM安全服务副总裁Marisa S. Viveros说。“威胁可能来自四面八方。在美国并不意味着你只会受到美国本土的威胁,任何人都有可能从任何地方对你进行攻击,比如中国、俄罗斯、索马里。”
从某种程度上来说,这只是某段时间的情况,但是当有针对性的攻击扩展到了全球范围,如果你与一个高知名度的企业共享同一个基础架构,你可能会不幸的成为攻击者们的登陆场,他们会利用你来袭击你边上阔绰的邻居。
换言之,下一次中国或者和罗斯黑客攻击一家主要的云供应商的时候,你很有可能会受到间接的损失。这一切都表明,DIY安全对此已经不再有效。另外,让一个超额工作的IT负责人来协调你的安全问题也会是一个可怕的想法。
随着越来越多的企业转向基于云的基础架构,只有拥有雄厚资金的大型企业才能够自己处理安全问题。任何其他人都必须开始开始思考安全作服务,这才可能是最终有效的出路。
2、私有云并非私有
具备高度安全警惕的企业在云中也会感觉不适,其中一个原因就是私有云的采用。对于部署私有云的企业来说,想要做到面面俱到似乎不太容易。他们在云中获得了成本和效率的回报,同时也避免了可能察觉到的公共云项目所所带来的风险。
不过,很多私有云并非都是称得上真正的私有。“许多‘私有’云基础架构事实上是由第三方进行托管的,所以这些架构是开放的,内部人员可以利用这一点从供应商那儿进行访问,所以缺乏安全和风险的透明度,”数据保护商CREDANT Technologies的产品市场负责人Geoff Webb这样评论道。
你所看到的关于云安全问题的处理方式通常仍旧很过时。在最近召开的RSA大会上,无数人告诉我云安全的关键在于从细节上明确涵盖安全问题的具体的SLA(服务等级协议)。如果坚持划定的责任并且供应商也对此负责,那么你就可以安心地继续了。
这的确有些道理,但是与其相信供应商会遵循SLA,不如相信你自己。你——做为一个非服务供应商——在敏感IP被窃取或者用户资料发生泄露的时候,面对董事会或者客户指责的将会是你自己。
一个服务供应商所都兜售的安全标准可能对安全问题并不能做到百分之百的小心。毕竟,这是高科技,而安全问题总是出现在事后。
3、私有和混合云中的多租户风险
在构建私有云或者混合云的时候,许多企业都会碰壁。最简单的东西已经被虚拟化,比如测试开发和文件打印。
“许多企业已经拥有30%的虚拟化架构。他们希望这个数字能够达到60%或者70%,但是比较容易的事情都已经做完了。他们正试图接触关键性的工作负载,但是这个时候安全问题总会成为严重的障碍,”HyTrust的虚拟化和云安全负责人Eric Chiu说。(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。