网络安全之云计算的安全风险
2021-11-14
来源:河南等级保护测评
我们在利用云计算时,往往都是提及他的优点多一点,而对于云计算安全风险则关注不是太够,在《信息安全技术 云计算安全参考架构》这个标准中,这样描述云计算:云计算是一种以服务为特征的计算模式,通过对各种计算资源进行抽象,以新的业务模式提供高性能、低成本的持续计算、存储空间及各种软件服务,支撑各类信息化应用,能够合理配置计算资源,提高计算资源的利用率,降低成本,促进节能减排,实现真正的理想的绿色计算。
在社会上或者市场上,基本上都是“扬长避短”的去鼓吹云计算带来的便利,而很少谈及其安全性带来的冲击和挑战,而国家政府层面则不可能放任不管,因为信息化与安全是要彼此兼顾,因为网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。
在《信息安全技术 云计算安全参考架构》标准中,谈到云计算带来诸多便利与优势的同时也给信息安全带来了多个层面的冲击与挑战。云计算的服务计算模式、动态虚拟化管理方式以及多层服务模式等引发了新的信息安全问题;云服务级别协议所具有的动态性及多方参与的特点,对责任认定及现有的信息安全体系带来了新的冲击;云计算的强大计算与存储能力被非法利用时,将对现有的安全管理体系产生巨大影响等。
在一种云服务中,信息与业务的安全性涉及所有参与该服务的云计算角色。为了清晰地描述云服务中各种参与角色的安全责任,需要构建云计算安全参考架构,提出云计算角色、角色安全职责、安全功能组件以及它们之间的关系。
在标准的附录部分,就说的了云计算的安全风险。其从云计算法律风险、政策与组织风险、云计算技术安全风险三个层面进行展开,而其中一部分风险其实在接触这块内容之前,与一位老先生也谈及到相关的风险,竟然与这个标准的一部分内容像契合,特别是可移植性风险(过度依赖风险)这块是当时我们聊天中常常谈到的,其他的各个层面也多少有所谈及。
接下来,我们通过整理的《云计算的安全风险》这张思维导图,一起看看云计算到底面临哪些安全风险,无论作为云服务商还是云代理、云用户,也可以从中比对自身面临哪些安全风险,如何消除风险、降低风险或者转移风险,如果风险不可避免,则需要采取哪些措施保障在使用云计算过程中,真的做到扬长避短,发挥云计算的优势,而将风险降到最低。