云计算数据安全提出了各种独特的挑战,从里面包括一些。
云计算提供随需应变的无处不在的和方便的网络访问,等一个可配置的计算资源池共享网络、服务器、存储、应用程序和服务。这个如此有吸引力的是这些服务可以供应和适应负载,以最小的管理或服务提供者的干预。
云计算利用分布式和高度可伸缩的架构,数据和应用程序直接从云端下载或运行。而提高可用性、可伸缩性、协作和敏捷,也增加了安全漏洞的风险——特别是从里面。
“云计算进一步将这一趋势已经持续了一段时间,这是内部威胁的元素,”Simon Blake-Wilson说产品和市场营销的副总裁Rambus“密码学的研究部门。他补充说,现在内部威胁的一个首要任务在安全领域这些天”但与云,他们也更难控制。”
传统上,企业有一个坚硬的外壳,让外人很难进去。分布式模型,多个non-associated租户,大量的应用程序,而且没有规定的墙壁,内心容易得多。爱德华·斯诺登的高度曝光违约是一个很好的例子。所以有一个意识到云服务器农场需要从内部安全的周长,以及外部。
围墙的一个主要差异网络和云计算是第三方的参与,如isp, Web服务提供者和应用程序供应商。第三方云计算中发挥巨大的作用。这部分是由于云的依赖互联网,和部分原因是面向服务的体系结构(soa)等技术,以及虚拟化,这增加了层,没有传统的本地主机模式的一部分。
此外,云计算提供了everything-as-a-service (XaaS),包括软件、平台和基础设施。其中每一个项目都有不同的安全需求,可以影响在他们的依赖性。这些第三方利用程序和应用程序不一定是当地企业的一部分,在安全范围内。第三方正在积极参与各种“作为服务”平台,。所有这些添加一个水平是非常困难的来封装的风险。
云钻取
然后是互联网本身。基于网络连接云是100%,这给用户带来了一些著名的宣传。但这些风险增加分布式体系结构,更多不同的访问和更多样化的应用程序,这将创建一个更广泛的攻击表面与许多潜在的攻击向量,大多数私人云网络没有。
此外,公共或共享云提供基础设施服务,通过互联网。因为他们是多租户,他们很少,或者没有控制底层技术的基础设施。他们必须能够容纳一切,包括遗产,模拟,数字和虚拟,因为客户需求相差很大。
私有云,或内部云是不那么脆弱。而公共云模型是相同的,他们可以缩小应用程序基础设施,这是部署在公司的基础设施或托管数据中心。因为私有云是公司或组织,他们可以提供先进的安全,更一般的访问,以及容错解决方案,不实用,甚至在许多情况下可能的在一个公共云。这是因为与私有云老板可以决定和控制的资源。因此,多租户,和随之而来的考量,是无关紧要的。
第三个平台,是新兴混合云。这个模型试图结合两全其美。它使用一个集成的方法将公共和私有云的最佳元素。这个模型包含定制的规则集和管理底层基础设施的政策。这个云平台可以容纳两个公共和私有云活动和任务的要求,只是分配给外部或内部云平台所需要的客户。然而,它们之间仍然存在一些安全问题。
总的来说,数据存储在云服务器群的价值大于数据存储在任何一个特定的客户端。这意味着云的安全问题成为增加服务器上的数据增长。
云计算的挑战
由于其广泛的攻击面,云提供商必须做的不仅仅是安全的边界。
“越来越多的云计算企业正在考虑增加坚硬外壳,“说Rambus Blake-Wilson。“包括钢筋周长,防范内部威胁,。”
一个很好的例子,这是水的复兴洞攻击,它已经存在了几年。如果一个多租户云数据库设计不良,或如果应用程序基础设施是草率的,另一个租户的应用程序的缺陷有可能打开一扇门,黑客可以使用妥协数据库的所有数据。这种类型的攻击允许黑客妥协很多这些信任Web应用程序的用户通过盗取他们的Web浏览器。水不仅限于云洞攻击,但由于公共和混合云平台这样一个多样化的景观,和多租户,攻击者更容易让他们在这些类型的架构。
水的洞是一种间接的攻击和通常用于感染的受害者从一个特定的行业,或者业务单元,而不是一个单独的公司。攻击者可能目标公司开发代码或安全并使用云计算。然后他们试图感染用户的机器可以访问到目标网络。如果成功的云基础设施薄弱,他们可以收集的数据在多个目标。
硬件漏洞
虚拟机(VM)在云无处不在,是黑客的肥沃的操场,因为虚拟机由不同的租户共享资源池。云,一个公司可能的应用程序可以运行在相同的硬件作为其竞争对手的应用程序。以外的违反,或从内部,可以使一个公司获得数据到另一个公司的竞争力。
此外,虚拟机的虚拟网络扩展互连提供了潜在的交叉污染。”在这种情况下,需要保证物理硬件能够有效地隔离硬件——从周围其他云提供商的客户,“Blake-Wilson说。
这是虚拟机监控程序的作用,开发管理虚拟机的虚拟网络。使用虚拟机监控程序的目的是大大提高资源效率而不是专用的物理通道。但是虚拟网络技术平台也可以增加攻击的可能性,如嗅探和欺骗。
管理程序是一个低级的软件包,负责vm的控制和监视功能。它控制客户端操作系统使用虚拟操作平台,管理在客户操作系统执行。疲软的由来是多个操作系统的多个实例通常共享这些虚拟硬件资源。这是第一个可以有安全漏洞的地方。哲学是让虚拟机监视程序(VMM)代码尽可能简单和小减少漏洞的风险。VMM还负责虚拟机的隔离。VMM中的任何妥协意味着它的vm可能可以妥协,。
另一个潜在的弱点是,虚拟化,虚拟机在物理服务器迁移的能力。这样做通常是为了容错和负载平衡。然而,这种能力也是一个弱点。攻击迁移模块在VMM可以妥协VM转移到一个干净的服务器。
虚拟机迁移也使整个网络破坏VM。这可能危及网络的数据完整性和机密性。如果妥协VM迁移到另一个主机(VMM)运行,VMM就变成了妥协。底线是,如果任何VM砍,所有的机器在网络变得脆弱。
每个人都在看
工业间谍活动,以及“流氓国家”,都是间谍游戏。因为数据是现在住在云端,政府,和竞争对手可以绕过公司他们想要监视和直接云提供商,公开或秘密。多租户环境变得更加容易。
最后,虽然没有直接的安全发射线,还有其他的挑战,如如何处理多个地区。法律变化从最小的自治区最大的国家。这意味着云提供商必须遵守各种法律法规。
但法律不意味着责任。移动到云并不意味着云提供商承担所有责任。它可能安全的云,但单独的实体仍然对自己的数据负责。和安全的要求,可以跨越国界不同。
安全云的最佳方式。
“有许多类型的安全解决方案,“sayd Ted Marena FPGA / SoC的营销总监Microsemi。“但最突出的是公共/私有密钥代码的场景。”
公钥/私钥是一个优雅的解决一个困难的问题。整个安全生态系统可以受益于这platform-especially埃克斯波特学院,那里很多自主飞行和通信消息。
公共/私有云应用程序的关键场景效果很好。“今天,云计算服务,称为证书颁发机构,提供钥匙,“Marena解释道。“一个适用于服务和获得钥匙从这些已知的和受信任的证书颁发机构。“简单地说,云服务器环境和实现一个公钥分发给客户的私钥。基本的关键过程如图1所示。
图1:验证过程的关键。来源:Microsemi
公钥基础设施需要对称密钥身份验证更上一层楼。它旨在解决对称密钥加密的弱点,需要复杂的机制来保证密钥的安全分发给双方。
对称密钥现在众所周知的第二十二条军规场景如何安全安全地共享密钥通信安全通信可以开始之前。对称密钥也可以有信任问题。同时,对称密钥是运行在硬件快得多。和有限的资源,这将与埃克斯波特学院的许多设备,对称密钥通常是更好的解决方案。
非对称密钥也适用于更复杂的埃克斯波特学院设备。使用非对称加密相关的有两个密钥,称为一个密钥对。在这个场景中,公钥是提供给那些可能希望传达一个信息。还有第二个键,这是私人和保密的。公钥用于加密消息而私钥用于解密。这消除了需要安全的主要传播媒介,允许无限制的分布的公钥的人将部分通信各方之间的联系,同时保护敏感数据。
它是如何工作的。
用户之间的通信安全信息,加密的消息发送使用接收方的公钥。解密消息,接收者一个私钥。关于非对称密钥对的好处之一是,与共享密钥,使用非对称密钥系统只允许收件人解密消息。即使发送方也无法解密消息一旦被加密。私钥没有分布。因此,任何攻击者或窃听者无法拦截的关键,将用于解密消息。
安全云数据的另一种方法是分解的关键。例如,一个客户在云中有一些非常敏感的数据他们想保持安全。“假设我总统的银行“Pankaj Rohatgi说,Rambus工程主管。“我可以打破我的钥匙分成五部分,例如,每个副总裁,给一块,这家银行或其他官。”
确保关键更紧的方式,可以防止一些内幕攻击一个值得信赖的人也可能获得的关键。这为客户提供了大量的分离,以及添加一层非常紧密的安全,这就是为什么这个方法开始在云服务中获得牵引力。
信件
与云架构攻击一个服务器网站限制损害网站的数据。限制的云,就消失了。
最值得注意的挑战在云安全是云计算的大多样的攻击表面。多个客户,多个应用程序,多个平台,所有居住在一个云伞保护包一个挑战在很多不同的向量。
硬件加密的第一道防线。实施有效的密钥交换策略也许是迄今为止最好的技术。可以工作,无论应用程序或平台。
不过,随着云计算成为常态,大规模数据库被安置在多个云,挑战,如性能、身份验证和加密技术将成为焦点。方法如使用硬件安全模块(HSM)高度敏感数据仍然适用高度敏感的数据,但还有许多工作要做,使数据存储在云更不容易遭受日益复杂的攻击。
|
|
|
|
|
|
|
|
|
留下一个回复