返回
云计算安全威胁及风险研究

云计算安全威胁及风险研究

ID:34089634

大小:62.51 KB

页数:11页

时间:2019-03-03

云计算安全威胁及风险研究_第1页
云计算安全威胁及风险研究_第2页
云计算安全威胁及风险研究_第3页
云计算安全威胁及风险研究_第4页
云计算安全威胁及风险研究_第5页
资源描述:

《云计算安全威胁及风险研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、云计算安全威胁及风险研究【摘要】介绍了云计算的分类与发展,概述了云计算的安全现状,详细分析了云计算中的安全威胁与风险。文中指出了云计算特有的或影响更明显的11类风险,并针对每类风险,给出了其描述、安全影响、实例与对策等说明。【关键词】云计算;云服务;安全威胁;风险;对策1引言作为一种IT服务的趋势,云计算正在被广泛地推广、应用,同时也遇到很多问题,亟待解决,其中最受关注的就是安全问题。对云计算面临的安全威胁与风险进行分析,有助于认清云计算的利弊,充分利用云计算的优势,并采取适当措施避免损失。本文首先介绍了云计算的分类与发展,阐述了当前云计算的安全状况

2、,并在调研众多云计算安全威胁与风险分析的资料后,结合实际工作经验,指出了云计算中特有或影响更明显的几类风险,并给出相应的对策。2云计算的发展与安全现状对云计算的定义比较多,本文选取了比较中肯、全面、系统的NIST(NationalInstituteofStandardsandTechnoligy,美国国家标准技术研究院)定义:云计算是对基于网络的、可配置的共享计算资源池能够方便地、随需访问的一种模式。其中,资源池包括网络、服务器、存储、应用与服务。云计算的基本特征包括虚拟化的资源池,基于网络的访问,按需自助式服务,快速、弹性,使用成本可计量,本文讨论

3、的云计算安全威胁与风险就与这些特征有关。云计算的交付模式指从用户体验的角度来讲,可分为三种服务模式:以基础设施作为服务(IaaS);以开发平台作为服务(PaaS);以软件应用作为服务(SaaS),不同服务模式的安全与风险亦存在差异。谷歌在2007年10月宣布了全球的云计划,但在云计算服务领域起步较早的却是电子商务公司亚马逊(Amazon,com),其于2007年起提供了名为弹性计算云EC2(ElasticComputingCloud)的服务,让小软件公司可以按需购买亚马逊数据中心的处理能力。紧随谷歌、亚马逊之后,IBM.英特尔、AMD、微软等IT巨头

4、纷纷进入云计算及虚拟化领域。当前,中国云计算产业经过导入和准备阶段后,产业生态链的构建正在进行中,在政府的监管下,云计算服务提供商与软硬件、网络基础设施服务商以及云计算咨询规划、交付、运维、集成服务商,终端设备厂商等一同构成了云计算的产业生态链,为用户提供服务。到目前,北京、天津、青岛、济南、南京、上海、无锡、杭州、成都、重庆、深圳、佛山等地都建立了大型的云计算中心。在云计算如火如荼的发展与应用中,也出现了不少问题。根据IDC的调查,安全问题一直是云计算中最受关注的焦点问题之一。国内的报告也有类似的结论,调查的受访对象表示出于“对技术安全性方面的担忧

5、”阻碍其迁移到云计算平台。实际上,近年亚马逊、谷歌、微软等大型云服务商不断爆出各种安全事故,更加剧了人们的担忧。如2009年3月,谷歌文档云服务(现在的云端硬盘)发生大批用户的个人文件外泄事件;2009年7月、2010年2月和2011年7月,谷歌AppEngine因故障意外宕机数小时;2012年4月,谷歌云服务之一Gmail故障,影响到3300多万用户。2009年2月和7月.2011年4月和8月,亚马逊云计算服务多次中断,导致其托管的网站如回答服务Quora、跟踪服务Foursquare瘫痪。2011年5月,微软云交换在线、云托管套件服务都出现了故障

6、,其北美的客户都受到影响;2012年2月底,微软云计算平台Windowsazure部分服务因为闰年设置问题导致所有集群的服务管理功能被禁用。因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的安全问题。3云计算安全威胁与风险分析这里的安全威胁指某些人、事或物对云计算平台中的数据保密性、完整性、真实性,资源的可用性,事件的可审查性产生的危害。风险则指由于云计算平台存在的脆弱性,人为或自然的威胁导致安全事件发生以及由此所造成的影响。下边分析的安全威胁和风险,主要是云计算中特有的

7、,或者是在云计算中表现更突出的问题。每类威胁与风险分析都包括描述、影响、实例以及对策。3.1云服务的对外接口或API函数存在漏洞的风险服务提供商通过软件接口或API函数让客户与云平台进行交互,在公共云中,客户通过互联网访问云平台上的资源。这些接口能控制大量的虚拟机,甚至有提供商用于控制整个云系统的操作接口。一些第三方组织基于这些接口为客户提供增值服务,这更增加了层次化的API复杂性。远程访问机制及Web浏览器的使用也增加了这些接口的漏洞存在并被利用的可能性。亚马逊2011年10月就修补了其EC2服务上的一个控制接口的加密漏洞,该漏洞能被黑客用于创建、

8、修改和删除镜像,并能修改管理员密码等。对策:云服务提供商应全面审查接口设计模式是否安全;API相关的依赖链应

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。