1.实验目的
(1)了解云计算安全
(2)学习如何保障云计算安全
(3)学习如何用云计算保障安全
2.实验内容
(1)在网上查询如何保障云计算安全并归纳整理。
从云计算对象看:
1、个人应提高数据安全防范意识。
主观能动性是一切的基础,只有用户自己想防护了,数据才可能会安全。因而用户不能想当然地认为:保护数据安全知识管理是上级行或是或者只是技术部门的事情,需要时刻关注自身云应用的数据动态,不能麻痹大意,酿成大错。
对此,小鸟云也设置了云监控服务,用户可通过云监控对数据安全和资源应用进行监控。云监控服务可用于收集获取云服务器资源的监控指标,探测互联网服务可用性,以及针对指标设置警报。云监控服务能够监控数据、云服务器CPU、内存、磁盘、网络等资源,同时提供对这些指标的告警服务。借助报警服务,在数据安全有威胁时提醒用户,让用户及时做出反应,保障数据安全的可控性!
2、云服务厂商应提供完善数据防护体系。
要想保证数据的安全,就必须做到层层保护。云服务商在保障云中数据安全上有着莫大的责任,用户的数据是借由云服务商提供的云服务储存云上,因为云服务商需提供更为安全、完善的数据防护体系。因而小鸟云在明确了自身作为知名云服务商责任后,建立了全面、完善的数据防护体系。
在数据安全方面,小鸟云为数据建立和采用符合国际标准的防护技术。采用基于文件分块的完全副本冗余方式(冗余2份,副本3份),提高数据存储持久性;并采用HTTPS安全加密传输协议,内网通信采用高强度国际加密标准,防止数据被窃取,维护数据的安全及完整性;同时小鸟云具有具有完善且严苛的用户数据保密制度及措施,并承诺在任何情况下绝不会将用户数据泄露给第三方。
在防止攻击方面,小鸟云旗下的云产品基本提供5G-20G免费的DDoS攻击流量清洗,通过专业的DDoS防护设备来为用户互联网应用提供精细化的抵御DDOS攻击能力,如UDP Flood攻击、SYN Flood攻击和CC攻击等。并同时设有全面监控及告警机制,面向小鸟云全线产品提供监控服务,实现性能指标监控、自动告警、历史信息查询等功能。借助云监控服务,用户可以更详细的了解云资源使用情况,方便用户及时调整。
3、国家得加快脚步制定网络安全相关法律条例。
这是不可少的,在有法可依的情况下,我国的信息安全道路才能越走越好。小鸟云也将会遵守国家指定的相关网络安全法规,严格要求自身,以提供更安全、更稳定的云产品为前进动力!
数据安全一直面临着严峻的威胁,而且随着技术的发展,攻击、窃取数据的载体逐渐向物联网末端、云领域进化,可以有有漏洞的地方,都有可能造成数据泄露。对于用户而言,除了采用预防措施,定期发现潜在威胁、应对威胁之外,还需要使用知名度高的云服务商提供的相关安全产品、工具。对此,小鸟云将会不断努力,针对每一个环节做到极致保护措施,构建一整套安全防护,把潜在的危险拒之门外,切实保证用户云数据的安全。
从企业的云计算技术革新:
1、确认现有的基础控制
基础控制是企业安全理念的核心。它们包含了将近60个保护您企业最重要资产的安全控制。它们专注在确保云技术对您业务的应用,以及您的操作是符合安全控制。
2、专注工作负载
云安全、企业信用直接与工作负载相关。每个工作负载都有独特的考虑,如管理因素和用户的依赖关系。通过对工作负载的重点关注,您可以制定一个更有针对性的安全计划,比传统的操作提供更安全的保障。
3、尽早建立共识
很多时候云技术不被合伙人重视。因此,重要的安全细节可能被忽略,从而导致整合与可用性成为问题。成功实施云安全的关键是项目相关人要心中有数,商定好利弊。
4、实施一个风险缓解计划
云部署往往涉及一些内部和外部的缔约方。企业应制定一个成文的风险缓解计划,允许管理员和员工在云端迅速处理问题。该计划应包括风险的文件,对这些风险的响应,同时也应包括教育和培训。
5、不要忘了图像管理
许多云应用都会用到虚拟化功能。企业应落实图像存储的管理流程,确保只有适当的图像是主动可用的。还有一点很重要,所有已部署的图像都要被正确识别和管理,以防止图像扩张。
6、进行安全评估
云计算是复杂的。迁移云技术之前,企业应首先评估应用程序和基础设施的安全漏洞,并确保所有的安全控制都到位且运行正常。道德黑客只是辅助方式,企业应以此检查他们云应用程序的常见漏洞。
7、充分利用安全服务
新的安全服务已经步入市场,在同类产品中它使企业达到最佳的安全性,无需通常的开销。例如入侵防护领域,访问和身份管理,安全事件日志管理为企业抛弃现有资源压力实现安全目标提供了机会。
8、制定一个弹性计划
随着企业采用基于云的技术,他们还应该看看他们的弹性需求。没有一种技术是完美的,云计算亦如此。确保工作负载,如果想在一场灾难或攻击事件中迅速恢复这是至关重要的步骤。要谨慎确保工作负载可以随时恢复,与业务连续性的影响微乎其微。
9、积极监视性能
未能正确地监测云的实施,可能导致在性能上的满意度和安全问题。实施积极的监测方案发现任何可能影响云实施成功的威胁。
10、遵循云的生命周期模型
安全不只是一个时间点的事情,而是需要持续的进行,企业必须勤于云技术管理和定期审查安全性。
11、评估供应商
要分析该公司传播那些与物理安全,逻辑安全,加密,更改管理和业务持续性以及灾难恢复等属于同类型控件的能力。同样,还要验证涉及有证明备份和灾难程序等处理的供应商。
12、考虑一种混合安全模式
将云中提供的服务与预置的服务混合起来。这样有助于减轻数据保护,隐私保护的压力。
(2)在网上查询如何用云计算保障安全并归纳整理
1.安全的相对性:
没有绝对的安全,安全总是相对的!
依据目前的状况来看,基于良好、稳定、达到一定安全级别的「软件技术、硬件技术、机房环境」等因素,这样的情况下云存储相对于在本地的存储会安全很多!依靠软件+硬件结合的方式来设计:
模块级保护:模块化、冗余设计,支持热插拔。电源模块、控制模块等都是冗余的
硬盘级保护:节点内磁盘级Raid,各个级别的Raid保护
数据级保护:节点间间数据对象写多份。除通常的RAID技术外,为解决双盘实效和其他故障导致的数据丢失,云存储将多个对象的副本分别写入其他的存储节点,当一个节点发生故障时,其他节点上的数据继续提供服务,同时通过其他节点中的数据副本,快速回复故障节点上丢失的数据
系统级保护:网络链路端到端冗余,所有存储模块是分布式的,甚至分布在不同的物理地点。
2.数据的三维度出发:可用性、完整性、隐私性
数据可用性:
数据可用性是指数据不因黑客攻击、物理设备故障等问题而导致数据不可使用的要素。
如果我们担心重要数据因计算机病毒、电源故障等问题而丢失,我们常常会采取数据备份的措施加以预防。
而在云计算中,保障数据可用性的常用措施与此相类似,我们称为冗余备份,利用系统的并联模型来提高系统可靠性的一种手段。
数据完整性:
数据完整性指在数据传输、存储的过程中,确保数据不被未授权的用户篡改、或在篡改后能被系统迅速发现的要素。
数字签名是保证数据完整性的常用方法 。数字签名为数据在云端传输保驾护航,保证数据在发送过程中未作任何修改或变动,同时,也可以确认数据传输的发送方与接收方身份。
数据隐私性:
数据隐私性是非常重要的另一维度,指在海量数据传输、存储和处理的每个环节保护用户个人数据及其信息的要素。
云计算应用主要通过基于共享密钥、基于生物学特征和基于公开密钥加密算法的身份验证三种方法来保护数据隐私。
此外,数据层面的对象去标识、漏洞保护、虚拟机扫描、数据隔离、混合云技术等也常被用于保障数据隐私和安全。
3.密钥更新频率&隐私保护级别划分:
云计算平台的存储系统中存在着许多种不同类型的数据:文档、视频、图片、电子邮件等等。
为了保障用户的隐私在其中加入了较为复杂的加密算法,当然不可忽略的现实是会使得云平台大量的资源被消耗掉,从而会使得整个云平台工作的效率大大的降低,成本自然也会增加;但是如果对于数据采用的都是较为简单的加密算法的话,数据在云平台存储或者是处理的过程中就有可能造成数据的泄露。
每种数据对于用户来讲,数据的安全性和重要性都是有所差别的,这是因为这些数据中所涉及的信息的重要程度是不同的。
如果要对云平台设置一个数据安全攻略,那么就需要将数据的隐私级别和用户的隐私级别联系起来。对于上述数据根据重要程度进行等级划分,划分的依据可以是数据的重要程度和数据的敏感程度。
作为云服务提供商可以根据数据对于用户隐私程度的不同来设定相应的隐私等级,可以将数据的隐私划分为三个等级:
level1:在这个数据隐私等级中不包括用户较为敏感的数据,该等级的数据可以采用较为简单的加密算法,使得系统的资源不至于被浪费太多。
level2:在这个等级的数据当中有部分数据对于用户来讲是非常敏感的,那么就要针对这些数据区域,采用与此等级相符的加密算法。
level3:在这个级别的数据当中存在着大量的用户隐私数据,那么应该对该等级的数据采取较为复杂的加密算法使得数据的安全得到保证
一句话总结就是:对于不同需求客户采取不同数据加密算法来对数据进行保护!
4.打造一个云数据保护的闭环网络:数据生成-数据迁移-数据使用- 数据共享-数据存储-数据销毁
数据生成—所有权问题
对于企业和客户的隐私数据,企业必须要了解自身的哪些数据被云平台提供商所获悉,并且作为客户要采取一定的措施来避免云计算平台商来获取自身的敏感的数据。
数据迁移—采取复杂的加密算法,保障数据安全性、隐私性
在数据迁移的过程中应该采取更加复杂有效的加密算法,防止这些数据被其他客户获取,另外还要保证数据在传输过程中的完整性应该采取一定的校验手段来保障数据的完整性,使得数据在迁移的过程中不会发生数据丢失的情况
数据使用—静态数据的保障
数据共享—需要慎重
在数据共享的过程中,如果与第三方实现数据共享的时候,数据的所有者应该采取一定的措施限制第三方没有约束的进行数据的传播对于客户共享的部分数据来讲,除了按照一定的方式进行数据的授权之外,还需要对数据的共享方式进行研究,并考虑在数据共享的过程中如何防止用户的敏感数据被共享。
数据存储—简单存储服务&复杂存储
将数据保存在云平台当中,要考虑到数据的完整性、安全性、可用性。解决这些问题的最为常用的办法就是对数据进行加密处理,为了使得数据的加密达到其应有的效果,要对算法的可靠性进行详细的验证。
随着云计算平台所传输、存储和处理数据量越来越大,在对数据进行加密的过程中要兼顾数据的传输速度以及数据的传输的效率,在云计算平台当中一般采取云对称式的加密算法来对云平台中的数据进行加密处理。
为了保证数据的完整性,要在数据传输的过程中对于相关数据进行检验,对于本地数据的使用以及迁移都要引起足够的重视。
数据销毁—同样需要注意
一般而言,计算机删除的方式,但是这种方式并没有将数据真正从计算机的硬盘上删除,其删除的只不过是文件的相应的索引。另外,对磁盘进行格式化也是如此,磁盘的格式化仅仅是为操作系统创建一个新的索引,将磁盘的扇区标记为未使用过,经过这样删除方式操作的数据一旦发生黑客的入侵采用一定的数据恢复方式就能够将磁盘上的数据恢复。
对于企业较为敏感甚至是秘密级的数据,云计算提供商可以考虑采用磁盘擦写的方式来完成对于数据的删除,或者采用一定的数据销毁的算法甚至是物理销毁来对用户的数据安全和隐私进行保护。
3.分析与讨论
(1)云计算给信息安全带来了什么样的挑战和机遇?
挑战一:
传统信息安全技术不能满足云计算信息安全需求。云计算信息安全是云计算与信息安全的深度融合的产物,传统的信息安全技术和产品也被用于防范云计算中的安全威胁。如,可靠性、验证和授权、数据丢失连带责任以及信息生命周期管理等方面。然而随着云服务的逐渐普及,传统的信息安全技术已经不能支撑和满足云计算的快速发展,专业的云计算信息安全技术亟待开发。
挑战二:
恶意软件、保密和访问认证等问题威胁移动云计算信息安全。随着移动互联网的迅速普及,各类针对移动终端的病毒层出不穷。手机病毒已经从原先简单的系统破坏、恶意扣费扩展到隐私窃取、金融盗号和窃听监控等,对用户的威胁性进一步加大。
挑战三:
用户数据泄露或丢失使云计算信息安全面临的巨大的安全风险。用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄露或丢失。
挑战四:
云计算面临用户身份认证的安全风险。云计算服务商对外提供云服务的过程中,需要引入严格的身份认证机制,如果运营商的身份认证管理系统存在安全漏洞或管理机制存在缺陷,则可能引起用户的账号被仿冒,特别是企业用户的数据被“非法”窃取。在云计算环境下,云端用户的安全接入和访问控制,出现了新的需求,特别是在IaaS的服务模型出现后,服务商需要为每个用户提供自助服务管理界面,潜在安全漏洞又将导致各种未经授权的非法访问,并且薄弱的用户验证机制也埋下了云计算信息安全巨大的隐患。