云安全平臺(tái)

為了讓企業(yè)了解云安全問題，以便他們能夠就云安全策略做出明智的決策，云安全聯(lián)盟(CSA)于2018年1月發(fā)布了最新版本的《12大頂級云安全威脅：行業(yè)見解報(bào)告》，該報(bào)告重點(diǎn)聚焦了12個(gè)最嚴(yán)重的涉及云計(jì)算共享和按需特性方面的威脅。

    在云計(jì)算的建設(shè)以及使用過程中，每個(gè)環(huán)節(jié)都可能導(dǎo)致安全風(fēng)險(xiǎn)，諸如云計(jì)算平臺(tái)安全、管理平臺(tái)的安全等，可能導(dǎo)致的安全風(fēng)險(xiǎn)可以歸結(jié)為傳統(tǒng)信息安全風(fēng)險(xiǎn)、云計(jì)算安全平臺(tái)風(fēng)險(xiǎn)、用戶訪問安全風(fēng)險(xiǎn)以及管理安全風(fēng)險(xiǎn)。 

?傳統(tǒng)信息安全風(fēng)險(xiǎn) 

雖然云計(jì)算給用戶提供了一種新型的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)環(huán)境，但是傳統(tǒng)的信息安全風(fēng)險(xiǎn)仍是不可忽視的，包括合規(guī)安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)以及安全管理風(fēng)險(xiǎn)等。 

?云計(jì)算平臺(tái)安全風(fēng)險(xiǎn) 

    虛擬化是目前云計(jì)算供應(yīng)商使用最廣泛的技術(shù)之一，服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等虛擬化技術(shù)為云計(jì)算服務(wù)提供了基礎(chǔ)技術(shù)支持，解決了資源利用率、資源提供的自動(dòng)擴(kuò)展等問題，虛擬化技術(shù)在提供便利的同時(shí)也帶來了大量安全風(fēng)險(xiǎn)，比如虛擬化自身的安全漏洞、虛擬機(jī)間流量交換等問題。 

    目前，在主流虛擬化技術(shù)(KVM、Xen、VMware等)中虛擬化漏洞廣泛存在。Hypervisor（虛擬化管理器）作為虛擬機(jī)的底層一旦存在漏洞，將危及運(yùn)行其上的所有虛擬機(jī)本身，甚至將影響虛擬化以下的宿主機(jī)本身的安全。 

    同時(shí)，在云計(jì)算環(huán)境中，有多種不同的虛擬化管理組件，比如虛擬機(jī)監(jiān)視器、網(wǎng)絡(luò)策略控制器，存儲(chǔ)控制器等等，這些都是實(shí)現(xiàn)多租戶共享硬件并隔離業(yè)務(wù)和數(shù)據(jù)的核心組件，一旦這些虛擬化管理軟件類的漏洞被惡意人員所利用，那么租戶的安全就無法得到有效保障。 

     在虛擬化環(huán)境下，單臺(tái)物理服務(wù)器上的各虛擬機(jī)之間可能存在二層流量交換，而這部分流量對于管理員來說是不可見的。在這種情況下，管理員需要判斷虛擬機(jī)之間的訪問是否符合預(yù)定的安全策略，或者需要考慮如何設(shè)置策略以便實(shí)現(xiàn)對虛擬機(jī)之間流量的訪問控制。 

     服務(wù)提供商通過接口或者API讓客戶與云平臺(tái)進(jìn)行交互，一些第三方組織基于這些接口為客戶提供增值服務(wù)，遠(yuǎn)程訪問機(jī)制以及Web瀏覽器的使用也增加了這些接口的漏洞存在并被利用的可能性。 

?用戶訪問安全風(fēng)險(xiǎn) 

云環(huán)境中，各個(gè)云應(yīng)用屬于不同的安全管理域，每個(gè)安全域都管理著本地的資源和用戶。攻擊者可能會(huì)假冒合法用戶進(jìn)行一些非法活動(dòng)，例如竊取用戶數(shù)據(jù)、篡改用戶數(shù)據(jù)等等。 

?安全管理體系風(fēng)險(xiǎn) 

   客戶把大部分?jǐn)?shù)據(jù)控制權(quán)交給了提供商，但服務(wù)水平協(xié)議中不可能面面俱到地詳細(xì)指明提供商對各安全問題的承諾。更進(jìn)一步的，云提供商可能把服務(wù)外包給第三方，而后者可能不提供在服務(wù)水平協(xié)議中指出的問題保證。 

   由于云中存儲(chǔ)大量的用戶業(yè)務(wù)數(shù)據(jù)、隱私信息或其他有價(jià)值信息，因此很容易受到攻擊，這些攻擊可能來自于竊取服務(wù)或數(shù)據(jù)的惡意攻擊者、濫用資源的合法云計(jì)算用戶或者云計(jì)算運(yùn)營商內(nèi)部人員，當(dāng)遇到嚴(yán)重攻擊時(shí)，云計(jì)算系統(tǒng)將可能面臨崩潰的危險(xiǎn)，無法提供高可靠性的服務(wù)。