热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

云安全问题与预防措施盘点

发布时间:2012-10-30 20:51文章来源:网络文章作者:秩名 点击次数:
摘要:第一,是虚拟化环境下的技术及管理问题。 传统的基于物理安全边界的防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。另外就是,云计算的系统如此之大,而且主要是通过虚拟机进行计算,一旦出现故障,如何快速定位问题所在也是一个重大挑战。...

第一,是虚拟化环境下的技术及管理问题。

传统的基于物理安全边界的防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。另外就是,云计算的系统如此之大,而且主要是通过虚拟机进行计算,一旦出现故障,如何快速定位问题所在也是一个重大挑战。

第二,是云计算的服务模式将资源的所有权、管理权及使用权分离的问题。

云计算这种全新的服务模式将资源的所有权、管理权及使用权进行了分离,因此用户失去了对物理 资源的直接控制,会面临与云服务商协作的一些安全问题(主要是信任问题),如用户是否会面临云服务退出障碍,不完整和不安全的数据删除会对用户造成损害, 此外,如何界定用户与服务提供商的不同责任也是很大一个问题。

第三,云计算平台导致的安全问题。

云计算平台聚集了大量用户应用和数据资源,更容易吸引黑客攻击,而故障一旦发生,其影响范围 更多,后果更加严重。此外,其开放性对接口的安全也提出了一些要求。另外,云计算平台上集成了多个租户,多租户之间的信息资源如何进行安全隔离、服务专业 化引发的多层转包引发的安全问题等。

如何解决云安全问题

一、建立安全措施

应用程序安全性的根本挑战远在云实施前就已经存在。因此,对于如何完善生产安全、鲁棒的应用 程序的部署措施已有相当的研究。有一个可提供直接支持的技术被称为应用程序威胁建模。一些很好的着力点是OWASP威胁建模页以及微软公司的安全性开发生 命周期资源页。从工具的角度来看,是免费跨网站脚本 (XSS)和SQL注入。拥有内部工具的企业可以将其应用于云的安全性措施,或者众多云供应商为客户以免费或打折的价格提供了具有类似功能的工具。而当企 业希望使用一个更为广泛的扫描策略时,他们还可以使用诸如Google公司的skipfish这样的免费工具。

二、扫描网络应用程序

众多公司已经接受了应用程序扫描,这是一个用于解决通用安全问题(例如跨平台脚本(XSS) 和SQL导入)的网络应用程序扫描工具。拥有内部工具的企业可以将其应用于云安全性措施,或者众多云供应商为客户以免费或打折的价格提供了类似功能的工 具。而当企业希望使用一个更为广泛的扫描策略时,他们还可以使用诸如Google公司的skipfish这样的免费工具。

三、培训开发人员

应用程序开发人员完全通盘精通应用程序安全性原则是非常关键的。这可以包括语言级培训(即他 们目前用于构建应用程序所使用语言中的安全编码原则)以及更广泛的议题,如安全性设计原则等。由于开发人员的减员和流动性等原因,这往往要求培训必须定期 重复并作为常态保持下去,所以开发人员应用程序的安全性培训成本可能是较为昂贵的。幸运的是,还有一些免费的资源,例如 TexasA&M/FEMA国内防备校园计划提供了一些安全性软件开发的免费电子学习资料。微软公司也通过其Clinic2806提供了免费培 训:微软开发人员安全性知道培训,这是一个开始你自己定制程序有用的入门级培训材料。

四、拥有专用的测试数据

这样的情况总是在不断发生中的:开发人员使用生产数据进行测试。这是一个需要正确认识的问 题,因为机密数据(例如客户私人可辨识的数据)可能在测试过程中泄漏,特别是在开发或试运行环境中并没有执行与生产环境相同的安全措施时。云的环境敏感性 更甚,而众多云服务更易于实现部署、试运行以及生产之间的数据库共享以简化部署。如开源DatabeneBenerator之类的工具可以产生符合你数据 库特定结构的高容量数据,而数据格式调整有助于拥有专用的生产数据。通常,这些处理是属于特定框架的,因此你需要留意找出一个能够在你的特定环境中正常工 作的。

五、重新调整优先级

这最后一个步骤是你可以实施的最重要的一个步骤。既然云可能意味着一种文化和优先级的调整, 那么相应地接受这一调整并将其真正纳入自己的思想行为体系中。使用云,所有都是与应用程序相关;这意味着组织的安全性将高度依赖于组织中的开发团队。如果 这不是云的问题,那么这将会是一场噩梦了,因为在基础设施级你无法实施多少措施以缓解已识别的风险。如果你一直以来都是依赖于基础设施级的控制以满足在应 用程序级的安全挑战,现在是时候重新考虑

标签分类:

上一篇:可消费的云安全
下一篇:云计算时代的安全云