萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 最新雲安全所面臨的問題

最新雲安全所面臨的問題

  雲安全所面對的問題

  第一,是虛擬化環境下的技術及管理問題。

  傳統的基於物理安全邊界的防護機制難以有效保護基於共享虛擬化環境下的用戶應用及信息安全。另外就是,雲計算的系統如此之大,而且主要是通過虛擬機進行計算,一旦出現故障,如何快速定位問題所在也是一個重大挑戰。

  第二,是雲計算的服務模式將資源的所有權、管理權及使用權分離的問題。

  雲計算這種全新的服務模式將資源的所有權、管理權及使用權進行了分離,因此用戶失去了對物理資源的直接控制,會面臨與雲服務商協作的一些安全問題(主要是信任問題),如用戶是否會面臨雲服務退出障礙,不完整和不安全的數據刪除會對用戶造成損害,此外,如何界定用戶與服務提供商的不同責任也是很大一個問題。

  第三,雲計算平台導致的安全問題。

  雲計算平台聚集了大量用戶應用和數據資源,更容易吸引黑客攻擊,而故障一旦發生,其影響范圍更多,後果更加嚴重。此外,其開放性對接口的安全也提出了一些要求。另外,雲計算平台上集成了多個租戶,多租戶之間的信息資源如何進行安全隔離、服務專業化引發的多層轉包引發的安全問題等。

  如何解決雲安全問題

  一、建立安全措施

  應用程序安全性的根本挑戰遠在雲實施前就已經存在。因此,對於如何完善生產安全、魯棒的應用程序的部署措施已有相當的研究。有一個可提供直接支持的技術被稱為應用程序威脅建模。一些很好的著力點是OWASP威脅建模頁以及微軟公司的安全性開發生命周期資源頁。從工具的角度來看,是免費跨網站腳本 (XSS)和SQL注入。擁有內部工具的企業可以將其應用於雲的安全性措施,或者眾多雲供應商為客戶以免費或打折的價格提供了具有類似功能的工具。而當企業希望使用一個更為廣泛的掃描策略時,他們還可以使用諸如Google公司的skipfish這樣的免費工具。

  二、掃描網絡應用程序

  眾多公司已經接受了應用程序掃描,這是一個用於解決通用安全問題(例如跨平台腳本(XSS)和SQL導入)的網絡應用程序掃描工具。擁有內部工具的企業可以將其應用於雲安全性措施,或者眾多雲供應商為客戶以免費或打折的價格提供了類似功能的工具。而當企業希望使用一個更為廣泛的掃描策略時,他們還可以使用諸如Google公司的skipfish這樣的免費工具。

  三、培訓開發人員

  應用程序開發人員完全通盤精通應用程序安全性原則是非常關鍵的。這可以包括語言級培訓(即他們目前用於構建應用程序所使用語言中的安全編碼原則)以及更廣泛的議題,如安全性設計原則等。由於開發人員的減員和流動性等原因,這往往要求培訓必須定期重復並作為常態保持下去,所以開發人員應用程序的安全性培訓成本可能是較為昂貴的。幸運的是,還有一些免費的資源,例如TexasA&M/FEMA國內防備校園計劃提供了一些安全性軟件開發的免費電子學習資料。微軟公司也通過其Clinic2806提供了免費培訓:微軟開發人員安全性知道培訓,這是一個開始你自己定制程序有用的入門級培訓材料。

copyright © 萬盛學電腦網 all rights reserved