安全管理日志 尋找云計(jì)算的一線希望

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

自從近日參加一個(gè)關(guān)于云計(jì)算的會(huì)議后，我就一頭扎進(jìn)了云計(jì)算的研究中。IT公司對(duì)于云計(jì)算都十分感興趣，而我卻一直在努力找出這一新興技術(shù)所存在的安全風(fēng)險(xiǎn)問(wèn)題。

首先，我閱讀了一些關(guān)于云計(jì)算的基礎(chǔ)知識(shí)的書(shū)籍，說(shuō)實(shí)話，我很難理解云計(jì)算供應(yīng)商們究竟在兜售什么技術(shù)，而且很難分清云計(jì)算與早期商業(yè)模式之間的差別。

早在2000年的時(shí)候，我就在IDC公司工作。因此，當(dāng)研究這個(gè)被稱(chēng)為云計(jì)算的實(shí)體時(shí)，我之前的工作經(jīng)驗(yàn)告訴我，MSP(托管服務(wù)供應(yīng)商)和ASP(應(yīng)用服務(wù)供應(yīng)商)模式間有著明顯的相似點(diǎn)，仔細(xì)研究后才發(fā)現(xiàn)兩者之間的差別，而且還帶出一些安全問(wèn)題。

MSP和ASP模式最主要的差別在于數(shù)據(jù)位置和使用的技術(shù)的不同，在MSP/ASP模式中，我們能夠很清楚地知道客戶數(shù)據(jù)的位置：在某個(gè)數(shù)據(jù)中心里面，我們甚至可以讓客戶自己選擇一個(gè)數(shù)據(jù)中心來(lái)存儲(chǔ)他們的數(shù)據(jù)。在MSP模式中，數(shù)據(jù)中心還提供單個(gè)服務(wù)器，并且與供應(yīng)商間保持著最少的交互通信，托管服務(wù)供應(yīng)商只是負(fù)責(zé)托管物理性的服務(wù)器基礎(chǔ)設(shè)置，并且提供電力、網(wǎng)絡(luò)和機(jī)架空間。有了云計(jì)算，供應(yīng)商就可以利用幾個(gè)數(shù)據(jù)中心，并能利用虛擬化來(lái)提供服務(wù)器。

安全風(fēng)險(xiǎn)

就云計(jì)算模式而言，除了我這篇文章中談及到的安全風(fēng)險(xiǎn)問(wèn)題外，還有很多安全問(wèn)題需要考慮，作為一名直接接觸云計(jì)算相關(guān)應(yīng)用的工作人員，我希望通過(guò)各方努力形成比較完整的關(guān)于云計(jì)算的安全問(wèn)題列表。以下是我發(fā)現(xiàn)的一些安全問(wèn)題：

首先，我們公司需要遵守很多法律法規(guī)，如果是我們自己托管自己的應(yīng)用程序，那么我們就能夠清楚地確定控制主體并且能夠按照法律規(guī)定來(lái)保持財(cái)務(wù)數(shù)據(jù)的完整性，但是如果把財(cái)務(wù)應(yīng)用程序放到云計(jì)算中，我們肯定需要重新評(píng)估控制主體，以確保不會(huì)影響我們對(duì)合規(guī)的響應(yīng)。

其次，安全顧慮就是數(shù)據(jù)混合。云計(jì)算供應(yīng)商通常將多個(gè)客戶的數(shù)據(jù)存儲(chǔ)在同一個(gè)硬件中，然而客戶會(huì)希望將他們數(shù)據(jù)與競(jìng)爭(zhēng)對(duì)手間的數(shù)據(jù)進(jìn)行適當(dāng)?shù)姆指?。?dāng)供應(yīng)商備份數(shù)據(jù)的時(shí)候，他們會(huì)將所有客戶的數(shù)據(jù)混合在共享媒體上嗎?如果客戶終止合同，供應(yīng)商會(huì)將客戶的數(shù)據(jù)從磁帶中清除嗎?這樣看來(lái)，客戶的數(shù)據(jù)很可能會(huì)落入競(jìng)爭(zhēng)對(duì)手的手里。

最后，虛擬化安全問(wèn)題。舉例來(lái)說(shuō)，VMware提供一個(gè)叫做Distributed Resource Scheduler(分布式資源調(diào)度)的功能，該功能通過(guò)虛擬機(jī)上的客戶操作系統(tǒng)對(duì)整個(gè)操作系統(tǒng)實(shí)施不間斷的監(jiān)控 并且能夠在其他虛擬機(jī)間智能分配可用資源. 當(dāng)虛擬機(jī)資源受到限制時(shí)，可以通過(guò)將可用的虛擬機(jī)資源轉(zhuǎn)移到一個(gè)不同的物理服務(wù)器以提供協(xié)助。這主意聽(tīng)起來(lái)還不錯(cuò)，是嗎?但是如果你的源代碼存放的服務(wù)器被動(dòng)態(tài)轉(zhuǎn)移到俄羅斯或者美國(guó)的服務(wù)器上呢?你還能夠確保基礎(chǔ)設(shè)施的完整性嗎?

我將繼續(xù)探討這些潛在的安全風(fēng)險(xiǎn)問(wèn)題，這樣就能夠?yàn)槟切┳分鹪朴?jì)算的公司提供最好的知道，通過(guò)我的研究，我希望能夠規(guī)范供應(yīng)商并起草一份能夠真正保護(hù)供應(yīng)商和客戶共同利益的規(guī)制。（It專(zhuān)家網(wǎng)）