有不少分析人士声称,如今的云计算炒作过于夸大,许多厂商纷纷跟风推出云安全解决方案,于是相关专业人员提出了关于云安全的五点疑问:
第一、一个强壮、安全的云安全方案,是否会影响企业网络本身的性能,甚至带来额外的故障点。
第二、很多用户希望能够快速、精准地检测到来自Web的安全威胁,但是用户有没有关心安全设备自身的威胁签名列表数据库容量是否足够大。
第三、随着越来越多的安全威胁嵌入到应用程序之中,简单、传统的封包检测是否还能应付。
第四、如果厂商不能提供多区域分布数据库的主机服务,拥护是否会面临有云无响应的风险。
第五、不同厂商提供的云安全方案横跨终端与网关,应用与更新过程中是否会出现兼容性风险。
云服务行业普遍关注的云安全问题,主要是以下几点:
1. 隐私方面
对于用户而言,隐私是一大问题。用户的数据是统一存放在云服务提供商那里的,云服务提供商能够看到每家公司的信息,对于用户而言,如何保证这些数据不被别人恶意利用就成了一个非常大的问题,这需要技术部门的不断完善才行。
2. 网络传输问题
云是网络、互联网的一种比喻说法。所以云计算服务主要是依托网络的。一旦网络运行不稳定,那么对云计算服务影响也是非常大的。
3.虚拟化安全问题
利用虚拟化带来的可扩展性有利于加强在基础设施、平台、软件层面提供多租户云服务的能力,但虚拟化技术也会带来以下安全问题。
(1)如果物理主机受到破坏,其所管理的虚拟服务器由于存在和物理主机的交流,有可能被攻克,若物理主机和虚拟机不交流,则可能存在虚拟机逃逸。
(2)如果物理主机上的虚拟网络受到破坏,由于存在物理主机和虚拟机的交流,以及一台虚拟机监控另一台虚拟机的场景,导致虚拟机也会受到损害。
(3)云计算环境也存在用户到用户的攻击;虚拟机和物理主机的共享漏洞有可能被不法之徒利用。
(4)如果物理主机存在安全问题,那么其上的所有虚拟机都可能存在安全问题。
4. 数据集中的安全问题
用户的数据存储、处理、网络传输等都与云计算系统有关,包括如何有效存储数据以避免数据丢失或损坏,如何避免数据被非法访问和篡改,如何对多租户应用进行数据隔离,如何避免数据服务被阻塞,如何确保云端退役数据的妥善保管或销毁等。
5.云平台可用性问题
用户的数据和业务应用处于云平台遭受攻击的问题系统中,其业务流程将依赖于云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
6.云平台遭受攻击的问题
云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由此拒绝服务造成的后果和破坏性将会明显超过传统的企业网应用环境。
7. 法律风险
云计算应用地域弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至是不同国家,在政府信息安全监管等方面存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊可能导致的司法取证问题也不容忽视。