關于云計算機的安全現(xiàn)狀討論論文
云計算既指的是服務在網(wǎng)絡上的應用程序也指的是在數(shù)據(jù)中心提供服務的硬件及軟件。云供應商使用虛擬技術通過網(wǎng)絡設施為計算資源提供各種自助服務。在云環(huán)境中,各種各樣的虛擬設備被放置在同一個物理服務器上作為基礎設施來使用。云計算發(fā)展到今天,共有三種云類型:公有云、私有云及混合云。公有云是一種由供應商提供幾種資源的典型模型,這些資源包括有應用程序和數(shù)據(jù)的存儲給公眾使用。私有云指的是普通人無法獲得的企業(yè)內(nèi)部的服務;旌显茷槠髽I(yè)在內(nèi)部提供和控制一些資源提供了一種環(huán)境,同時也為公眾提供資源供大家使用。因此,私有云與公共云的結合被稱為混合云。對于云計算這種新推出的技術而言,它也有自身存在的問題,其中一個問題就是隨機存取(RAS)。
1 云中的隨機存取(RAS)
當用戶的數(shù)據(jù)被轉移到云中就有了兩種變化。第一,數(shù)據(jù)將會從用戶的本地計算機被轉移出去,第二數(shù)據(jù)將從單終端的環(huán)境中被轉移到多終端上。這些變化帶給人們對數(shù)據(jù)泄漏方面的關注。因此,從安全的角度來考慮數(shù)據(jù)泄漏已經(jīng)成為云計算機中最大的風險之一。
當前,為了減輕這些問題對云的影響,云供應商更愿意使用數(shù)據(jù)防泄漏保護程序(DLP)對敏感數(shù)據(jù)進行保護。但是,如果數(shù)據(jù)被存儲在了共有云中,由于該云的特質(zhì)所決定,使用數(shù)據(jù)保護應用程序的意義不大。但在SaaS 和PaaS 中使用數(shù)據(jù)防泄漏保護程序(DLP)對用戶數(shù)據(jù)進行保護是不可能的,除非,云供應商把DLP 放在服務里。而且,把DLP 放入虛擬環(huán)境運行也是可以的。與其它云類型不同,IaaS 本身就可以實現(xiàn)對相關數(shù)據(jù)的控制。
在私有云中,用戶對全部基礎設施享有直接的控制,是否把數(shù)據(jù)防泄漏保護程序(DLP)放置在SaaS,PaaS 或IaaS 中不是一個政策性問題。然而,DLP 是否與你的AaaS 或PaaS 服務相互協(xié)作有可能是一個技術性的問題。在混合云中,如果服務是IaaS,用戶可以通過設置DLP 來控制數(shù)據(jù)。
2 云中的IP 地址攻擊
因特網(wǎng)使用最著名的TCP/IP 協(xié)議來定位每個IP 地址在網(wǎng)絡中的位置,而網(wǎng)絡對于云供應商而言也只是用于交流的基礎設施。與在Inter 網(wǎng)中的物理計算機都有自己的IP 地址一樣,網(wǎng)絡中的虛擬機同樣也有IP 地址。無論是外部還是內(nèi)部的網(wǎng)絡,無論是非法用戶還是合法用戶,都一樣能找到他們的IP地址。因此,在這種情況下,非法用戶能夠找到哪個物理服務器正在使用,并通過植入惡意的虛擬機的方式發(fā)動攻擊。因為所有用戶都使用同樣的虛擬機作為基礎設施,如果攻擊者竊取或控制了虛擬機,他就可以訪問機器內(nèi)所有用戶的數(shù)據(jù)。因此,駭客會在云供應商檢測到虛擬機失去控制之前就已經(jīng)把數(shù)據(jù)復制到了他的機器中,然后通過數(shù)據(jù)分析,駭客就可以找到有價值的數(shù)據(jù)。
3 對云的分布式拒絕服務(DDoS)攻擊
分布式拒絕服務(DDoS)攻擊采用向特定的網(wǎng)絡入口發(fā)送大量的IP 數(shù)據(jù)包的`方式進行攻擊。在黑名單模式下對任何形式的硬件進行操作都會很快出現(xiàn)癱瘓的狀態(tài)。在云計算機中,由于基礎設施是被大量的用戶所共享的,所以DDoS 攻擊有時會比單終端體系結構下所受的內(nèi)在影響更大。如果云有很多的資源提供給用戶,很容易引起分布式拒絕服務(DDoS)的攻擊。解決這個問題的一個常規(guī)性方法即增加重要資源的存儲數(shù)量。但是當用戶蓄意使用"僵尸網(wǎng)絡"(bot-net)運行DDoS 的話就會出現(xiàn)更嚴重的問題。
大多數(shù)的網(wǎng)絡措施不能阻止DDoS 的攻擊。同它們沒有辦法阻止數(shù)據(jù)溢出一樣, 網(wǎng)絡同樣也不能區(qū)分有用的信息和有害的信息。如果攻擊已經(jīng)被識別并且具有已知的鮮明特征,那么入侵防御系統(tǒng)(IPS)還有比較有效的。反之,如果它們內(nèi)容合法但懷有惡意攻擊的話,IPS 就會變的無效。不幸的是,與IPS 的解決方案類似,面對DDoS 的攻擊,防火墻顯得即無效又容易受到攻擊,攻擊者會從云的服務器或是云中的網(wǎng)絡聯(lián)接點中蓄意發(fā)送大量的合法信息到服務器上,從而導致服務器不能處理這些信息,這時他們就可以很容易地穿越防火墻和IPS 服務。準確的來說,DDoS防護網(wǎng)絡虛擬層的一部分,而非服務器虛擬。例如,云計算使用虛擬機可以防止來自網(wǎng)絡層的地址解析(ARP)欺騙。
4 結論
基于云的應用程序是以網(wǎng)絡應用軟件為基礎, 使用它的操作系統(tǒng),在虛擬的環(huán)境下的虛擬機上運行的。虛擬的應用程序使的企業(yè)從一些日常的維護、軟件升級、配置和其它的處理任務的管理事務中解脫出來。但是云與其它的以網(wǎng)絡為基礎的其它技術一樣也會有風險。如強大的DDoS 攻擊,作為解決方法,云供應商要增加更多的資源保護自己以避免類似的攻擊。因此,向云中的轉移還需要考慮很多的參數(shù)并要慎重地考慮安全問題。
【關于云計算機的安全現(xiàn)狀討論論文】相關文章: