《云安全原理与实践》——2.2 云计算面临的管理风险

时间:2024-03-16 20:58:05

2.2 云计算面临的管理风险

数据的所有权与管理权分离是云服务模式的重要特点,用户并不直接控制云计算系统,对系统的防护依赖于云服务商。在这种情况下,云服务商的管理规范程度、双方安全边界划分是否清晰等将直接影响用户应用和数据的安全。
2.2.1 组织与策略风险
1.?服务中断
云计算的优势在于提供资源的优化和IT服务的便捷性。在缩减IT成本的前提下,如何保证业务运营的连续性一直是备受业界关心的问题之一。即使时间再短的云计算服务中断也会让企业陷入困境,而云计算服务的长时间中断甚至可能使一个企业面临倒闭。因此,对于云服务商而言,确保业务不中断是一个关键问题。可能引起业务中断的安全风险如2-7所示。
1)技术故障:技术故障主要由于以下两个原因造成:①由于云计算数据中心的硬件故障、云计算平台的软件故障、通信链路故障等,可能导致服务计划外中断。②由于数据中心未进行有效的安全保护、监控、定期维护、没有制定切实有效的应急响应方案等,从而导致服务计划外中断。
2)环境风险。由于水灾、火灾、大气放电、太阳引起的地磁风暴、风力灾害、地震、海啸、爆炸、核事故、火山爆发、生化威胁、民事骚扰、泥石流、地壳活动等引起的数据中心基础设施受损、水电供应不稳定、通信链路中断等情况,进而导致云服务计划外中断。
3)操作失误:由于云租户管理员操作不当、配置错误等导致云服务计划外中断。
4)恶意攻击:由于敌手的恶意攻击造成云服务计划外中断、勒索、破坏。
2 . 供应链风险
云服务商在构建云平台时往往需要购买第三方的物理设施、产品(如物理服务器,交换机等)和服务(水、电、网服务和第三方外包服务等),与此同时相关的开发人员也是云服务商供应链的重要环节。从供应链层面来看,风险主要有以下几类,如图2-8所示。
《云安全原理与实践》——2.2 云计算面临的管理风险

1)第三方产品风险:由于云服务商要购买大量物理计算设备和网络设备,如果供应商产品不符合国内法律政策的标准或云服务商安全需求,甚至采用假冒伪劣的设备,将会对云服务商造成难以估量的巨大损失。
2)第三方服务风险:云服务商需要的第三方服务主要包括基础设施服务(如水、电和网络服务等)和外包服务(如加密服务等)。对于基础设施服务,如果服务供应商未经过相关资质认证,出现停电、停水等事故将会影响云服务商的正常服务;外包服务则要评估外包信息系统的安全性和稳定性,其开发人员是否有安全开发能力等,以避免自身云服务不稳定的威胁。
3)内部人员风险:云服务商内部人员主要包括云开发人员和云运维人员。对于云开发人员,风险主要在于其开发的信息系统是否安全;设计是否遵循了安全的设计规范;最终的代码中是否存在相关漏洞;其开发人员是否存在泄密风险等。云平台运维人员主要完成云平台的运维工作,其风险主要包括运维方式是否科学合理、运维目的是否规范、盗窃运维数据等。
因此,无论是云平台开发人员还是运维人员都应该对其进行相应的背景审查、专业的安全培训,云服务商也需要定期对内部人员进行权限审批、操作行为审查及审计、入侵识别评估和安全风险关联分析,将内部人员风险降到最低。
2.2.2 数据归属不清晰
在云计算时代,数据将成为最有价值的资产。在云环境下,不同用户的数据都存储在共享的云基础设施之上,当用户的数据存储与数据维护工作都是由云服务商来完成时,就很难分清到底是谁拥有使用这些数据的权利并对这些数据负责。目前,大多数云商都通过职责划分、用户协议、访问控制等多种方式来限制内部人员接触数据并且尽可能与用户达成共识。比如,在2015年7月,阿里云曾发起“数据保护协议”自律公约,明确“数据是客户资产,云平台不得擅自移做他用”。
2.2.3 安全边界不清晰
在传统网络中,通过物理上或者逻辑上的安全域定义将物理资源进行区域划分,在不同的区域边界可以通过引入边界防护设备(如防火墙、IPS等)进行边界防护,但是在云环境下,随着虚拟化技术的引入,租户的资源更多以虚拟机的形式呈现,由于云计算环境中服务器、存储设备、网络设备的高度整合,租户的资源往往是跨主机甚至是跨数据中心的部署,传统的物理防御边界被打破,租户的安全边界模糊,因此需要进一步发展传统意义上的边界防御手段来适应云计算的新特性。
2.2.4 内部窃密
由于云服务商在为用户提供云服务的过程中不可避免地会接触到用户的数据,因此云服务商内部窃密是一个重大的安全隐患。事实上,内部窃密可分为内部工作人员无意泄露内部特权信息或者有意和外部敌手勾结窃取内部敏感信息两种情况。在云计算环境下,内部人员不再是以往我们所说云服务商的内部人员,也包括为云服务商提供第三方服务的厂商的内部人员,这也增加了内部威胁的复杂性。此时需要采用更严格的权限访问控制来限制不同级别内部用户的数据访问权限。
2.2.5 权限管理混乱
云服务商内部需要完善的权限管理机制来避免数据泄露的问题,但是由于云计算自身具有易扩展、多租户、弹性化等诸多有别于传统模型的特征,在传统模型下的一些权限模型(如DAC、MAC、RBAC)并不完全适用于目前的云平台组织结构复杂、权限变更频繁的场景,因此在云环境中权限管理还没有成熟的解决方案,各大厂商采用的方案都还存在一定缺陷,导致目前云中的权限管理混乱。