云计算发展势头迅猛 安全性问题亟待妥善解决

中国教育装备采购网2010-08-05 09:30围观89次我要分享

    云计算的安全性问题,长久以来一直占据了人们的视线,业界普遍把安全性问题列为用户对云计算的最大的质疑之一。安全性问题是否是云计算发展不可逾越的障碍?我们试图从三个层次理解这个问题:

    1.  云计算服务提供商的公信力:把我的核心资源存储在第三方,可能吗?

    云计算模式下,用户需要把自己的业务数据、IT业务流程等核心资源保存在第三方,并且由于虚拟化,用户并不清楚这些资源被实际存储在何处。这种情况下,需要云服务提供商具备相当的公信力,用户才可能采取这种模式。前任Google全球副总裁李开复曾经用一个钱庄的比方来形容云计算:“最早人们只是把钱放在枕头底下,后来有了钱庄,很安全,不过兑现起来比较麻烦。现在发展到银行可以到任何一个网点取钱,甚至通过ATM……”

    但是不要忘记,钱庄的发展,是伴随着其企业商誉的不断增强的。钱庄针对各种突发情况有充分的预防和无限责任的保证——而云计算用户所听到的,却是各种事故:Google Doc、Amazon S3等行业巨头遭受攻击;Email、信用卡数据遭到窃取等新闻不断传来。事故的后果由用户承受,却见不到云服务提供商有信誉或制度的保障。如此下去,行业公信力无法建立,用户又怎能把核心资源交付给云服务商呢?

    2.  云计算数据中心的防护能力:数据存储在云计算中心,是否更容易被非法访问?

    2.1 优先访问权:云服务提供商是否可以优先访问我的数据?

    优先访问权的问题最早由Gartner提出,指云计算服务商拥有优先访问数据的能力。以目前常见的技术手段而言,尚无可行的解决方案。同时,也未见云计算服务商提供法律、制度或者技术上的应对措施。就目前情况而言,此问题尚且难以解决。

    2.2 数据位置:我的数据存储在什么地方?

    云计算中,数据的存储对于用户来说是透明的:用户并不清楚自己的数据被存储在哪个大洲、哪一国家,这就带来了安全上的隐患。2007年,法国政府就禁止官员使用黑莓手机,理由是存储黑莓手机信息的服务器位于美国或者英国,手机信息存在被外国窃取的可能性。但在全球互联的云计算时代,用户连服务器的确切位置都很难得知,如果它就放置在我的竞争对手公司之内,或者在CIA总部机房内,该怎么办?就目前情况而言,还没有见到有说服力的解决方案。

    2.3访问控制:我的数据被谁访问或复制?我能否控制这种访问或复制?

    更进一步,用户需要拥有对自己数据的全面控制能力。云服务提供商应提供相应的机制支持用户对自己数据的监管、授权和访问控制。用户需要知道,谁访问或者复制了自己的数据,他们是否有授权。并且如果需要,用户可以随时停止这种访问——但相关的安全服务目前还是一片空白。

    3.  云安全:如何借助网络的威力对抗网络化的安全威胁?

    云安全的概念与云计算安全性问题既有联系又有一定区别。通常意义上的云安全指的是采用云计算的方式为用户提供安全服务,是云计算的一种具体应用。但云安全与云计算的安全问题又不可完全割裂:反病毒、木马都是二者的重要任务。

    病毒、木马、僵尸网络等传统的安全威胁,在互联网时代,其破坏能力得到了强化。例如,2008年11月20日发行的“Conficker蠕虫”(注7),已经控制了至少900万台计算机,并且,这些计算机可以以低廉的价格租到,用于发动大规模网络攻击。

    对于这个问题,业界提出的应对之策是,采用云计算技术,对网络中的客户端软件异常行为进行监测,获取恶意程序信息,上传至服务器进行自动分析和处理,然后把病毒和木马的解决方案分发到客户端。目前,国内外安全厂商:瑞星、金山、江民、奇虎、赛门铁克等纷纷推出自己的云安全解决方案,业界期望云安全技术可以应对当前恶意软件泛滥的现状。云安全也成为云计算领域中为数不多的典型应用之一。

    CNNIC分析师王常青认为,云计算的安全性问题,是一个涉及到公信力、制度、技术、法律甚至监管等多个层面的复杂问题,也是用户关注的焦点问题。云计算安全性问题的解决,需要用户不断转变固有观念(例如,接受把钱存入钱庄的模式,而不是始终压在箱子底),更需要云服务的提供商做出努力,建立更具公信力、更安全的云服务。

(此文作者:中国互联网络信息中心分析师 王常青)

来源:BiaNews

相关阅读