云计算安全的两大谎言:火热之中须冷静
HyperStratus咨询公司首席执行官伯纳德·戈尔登(Bernard Golden)撰文指出,一个接一个的调查表明,对于公有云计算,安全是潜在用户最担心的问题。例如,2010年4月的一项调查指出,45%的以上的受访者认为云计算带来的风险超过了收益。CA和Ponemon Institute进行的一项调查也发现了用户有此类担心。但是,他们还发现,尽管用户存在这种疑问,云应用还是在部署着。类似调查和结果的持续发布表明人们对云计算安全的不信任继续存在着。
不可否认,大多数对云计算安全的担心都与公有云计算有关。全球IT从业者不断地对使用一个公有云服务提供商提出同样的问题。例如,戈尔登近期去了台湾并且在台湾云SIG会议上发表了演讲。有250人参加了这个会议。正如预料的那样,人们向他提出的第一个问题是“公有云计算环境足够安全吗,我是否应该使用私有云以避免安全问题?”所有的人似乎都认为公有云服务提供商是不可信赖的。
然而,把云安全的讨论归结为“公有云不安全,私有云安全”的公式似乎过于简单化。简单地说,这个观点存在两个大谎言(或者说是两个基本的误会)。主要原因是这种新的计算模式迫使安全产品和方法发生了巨大变化。
第一个云安全谎言:私有云很安全
第一个谎言是私有云是安全的。这个结论的依据仅仅是私有云的定义:私有云是在企业自己的数据中心边界范围内部署的。这个误解产生于这样一个事实:云计算包含与传统的计算不同的两个关键区别:虚拟化和动态性。
第一个区别是,云计算的技术基础建立在一个应用的管理程序的基础上。管理程序能够把计算(及其相关的安全威胁)与传统的安全工具隔离开,检查网络通讯中不适当的或者恶意的数据包。由于在同一台服务器中的虚拟机能够完全通过管理程序中的通信进行沟通,数据包能够从一个虚拟机发送到另一个虚拟机,不必经过物理网络。而一般安装的安全设备通常会在物理网络检查通讯流量。
至关重要的是,这意味着如果一个虚拟机被攻破,它能够把危险的通信发送到另一个虚拟机,传统的防护措施甚至都不会察觉。换句话说,一个不安全的应用程序能够造成对其他虚拟机的攻击,用户采用的安全措施对此却无能为力。仅仅因为一个用户的应用程序位于私有云并不能确保这个应用程序不会出现安全问题。
当然,人们也许会指出,这个问题是与虚拟化一起出现的,没有涉及到云计算的任何方面。这个观点是正确的。云计算代表了虚拟化与自动化的结合。它是导致私有云出现另一个安全缺陷的第二个因素。
云计算应用程序得益于自动化以实现灵活性和弹性,能够通过快速迁移虚拟机和启动额外的虚拟机来管理不断变化的流量负载类型,并对不断变化的应用状况做出回应。这意味着新的实例在几分钟之内就可以上线,不需要任何人工干预。这也意味着任何必要的软件安装或者配置也必须实现自动化。这样,当新的实例加入现有的应用程序池的时候,它能够立即作为一个资源被其他应用使用。
同样,它还意味着任何必须的安全软件必须自动化地进行安装和配置,不能有人工干预。遗憾的是,目前许多机构还必须依靠安全人员或者系统管理员人工安装和配置必要的安全组件,而且这通常是作为这台机器的其它软件组件安装和配置完毕之后的第二个步骤。
换句话说,许多机构在安全措施实践与云要求的现实方面是不匹配的。现在可以认为私有云本身是安全的这个观点是不正确的。在用户的安全和基础设施实践与自动化的实例一致之前,肯定会产生安全漏洞。
而且,使它们一致是非常重要的。否则,可能出现这种情况:用户的应用程序自动化超过了安全实践的应对能力。这不是一个好现象。毫无疑问,人们不想面对为什么好像安全的私有云最终还是有安全漏洞,因为云计算的自动化特征还没有扩展到软件基础设施的所有方面。
因此,关于云计算的第一个大谎言的结果是:私有云本身就是不安全的。(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。