当前位置: 云安全 > 云环境下的风险分析

云计算带来的变革

云计算推动IT模式创新

云计算推动IT模式由传统模式向目前及未来模式转变;

传统的IT模式:单位机房——各单位独立购买硬件,自行建设政务独立管理——各自单位的管理人员进行IT规划建设和日常管理。

目前到未来IT模式:虚拟化——通过更好地利用资源,产生更高的IT效率;

云计算、云数据——公共云和私有云解决方案,推动更高的敏捷性。

云计算导致数据中心质变

云计算的出现导致了IT资源被虚拟化、基础设施即是服务、东西向流量占据主导、虚拟机动态迁移,引发数据中心质变。

 

云计算产生的风险

大数据泄露风险

云计算实现了数据的交互和扩散,大数据的集中存储增加了数据泄露风险!一些敏感数据的所有权和使用权并没有明确的界定,云计算更高的数据价值增加了被攻击的概率!

监测审计困难

云计算实现了数据的集中存储,海量数据导致难以进行有效监测和审计。

1、检查耗时:扫描工具,需要大量机器和人员展开工作

人工检查,需要高技能型人才

2、分析低效:数据统计基本依赖于人工分析、EXECL处理的方式进行

缺少时间维度的支撑

3、存储困难:历史数据难以有效保存,无法形成有效的信息安全闭环控制

漏洞整改率,漏洞复现率无法查证

虚拟化安全管理风险

大量的租户,不同的安全需求,给安全管理带来巨大挑战,租户的数量越多,安全需求就越多种多样,如果云平台管理员对每个租户的安全业务都需要维护运营管理,工作量无法想象。

云防御难度增大

计算资源和网络完全虚拟化和分布式,使租户网络的物理边界消失,因此传统物理安全设备也就无法找到部署的位置。因此,攻击者可以在接入终端、接入云、攻击云、云内部四个阶段,对数据、虚拟化、运行、终端、后门五个维度多个机会利用系统的漏洞实现攻击,加大了云防御难度。

攻击者在各阶段可以利用的漏洞


                      

内部运维管理风险

由于云计算内部存在远程运维情况不透明、运维账号共享、云服务器和云数据库租户多,运维效率低等问题,导致云计算内部对运维访问数量、操作及错误操作管理混乱。


                     

云计算合规风险

技术与管理并重,仅仅靠安全产品等技术手段是无法满足云计算的内控管理和合规需求的,而且,目前云计算的安全组织、职责、分工、考评,安全制度、流程、规范,安全意识教育、培训等安全管理经验并不丰富,云计算使用的信息技术也受到日益增多的方针和法律法规约束,因此云计算应主动遵守相关的监管准则与要求。

云计算监管准则,以政务云为例:

总体类标准:

《政务外网信息安全标准体系总体框架》

《政务外网信息安全标准体系规范性要求》

《政务外网网络安全等级保护基本要求》    

《政务外网网络安全等级保护实施指南》

局域网:

《接入政务外网的局域网安全技术规范》

互联网接入区:

《跨网数据安全交换技术要求与实施指南》

政府部门非专线接入:

《安全接入平台技术规范》

安全管理中心:

《安全检测体系技术规范与实施指南》

《安全管理系统功能技术要求与接口规范》

云计算威胁促进安全模式转变

ICT具有移动化、云计算、社交化、大数据的特点,计算资源和网络完全虚拟化和分布式,使租户网络的物理边界消失,因此传统物理安全设备也就无法找到部署的位置,因此威胁/日志激增、网络攻击手段多样且隐蔽性更强、难以进行监测预警。层出不穷的云计算安全事件要求推动云计算安全解决方案。