1.云安全的概念
“云安全(Cloud Security)技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
2.云安全的技术分类
云安全从性质上可以分为两大类,一类是用户的数据隐私保护,另一类是针对传统互联网和硬件设备的安全。
在云安全技术方面,首先是多租户带来的安全问题。不同用户之间相互隔离,避免相互影响。在云时代,需要通过一些技术防止用户有意或无意地“串门”。其次,采用第三方平台带来的安全风险问题。提供云服务的厂商不是全部拥有自己的数据中心,一旦租用第三方的云平台,那么就存在服务提供商管理人员权限的问题。
3.云安全应对
(1)漏洞扫描与渗透测试
漏洞扫描和渗透测试是所有平台即服务(PaaS)和基础设施即服务(IaaS)云安全技术都必须执行的。无论是在云中托管应用程序,还是运行服务器和存储基础设施,用户都必须对暴露在互联网中的系统的安全状态进行评估。
对于在PaaS和IaaS环境中测试API和应用程序的集成来说,与云供应商协作的企业应重点关注处于传输状态下的数据,以及通过绕过身份认证或注入式攻击等方式对应用程序和数据的潜在非法访问。
(2)云安全技术配置管理
云安全技术中最重要的要素就是配置管理,其中包括了补丁管理。
在SaaS环境中,配置管理是完全由云供应商负责处理的。如果有可能,客户可通过鉴证业务准则公告(SSAE)第16号、服务组织控制(SOC)报告或ISO认证,以及云安全联盟的安全、信任和保证注册证明,向供应商提出一些补丁管理和配置管理实践的要求。
在PaaS 环境中,平台的开发与维护都是由供应商来负责的。应用程序配置与开发的库和工具可能是由企业用户管理的,因此安全配置标准仍然属于内部定义范畴,且这些标准都应在PaaS 环境中被应用和监控。
(3)云安全技术的安全控制
云供应商负责所有基础设施的运行,其中包括了虚拟化技术、网络及存储等各个方面。同时,它还负责应用系统的相关代码和发布部署,包括管理界面和供外部调用的API接口,所以对它的开发实践和系统开发生命周期的评价也是非常必要的。只有IaaS客户对整个系统规格拥有真正的控制权;如果虚拟机是基于一个供应商提供的模板而部署的,那么在实际使用前也应对这些虚拟机进行仔细研究,并确保其安全性。