安全管理日志 尋找云計算的一線希望

申請免費試用、咨詢電話：400-8352-114

自從近日參加一個關于云計算的會議后，我就一頭扎進了云計算的研究中。IT公司對于云計算都十分感興趣，而我卻一直在努力找出這一新興技術所存在的安全風險問題。

首先，我閱讀了一些關于云計算的基礎知識的書籍，說實話，我很難理解云計算供應商們究竟在兜售什么技術，而且很難分清云計算與早期商業(yè)模式之間的差別。

早在2000年的時候，我就在IDC公司工作。因此，當研究這個被稱為云計算的實體時，我之前的工作經(jīng)驗告訴我，MSP(托管服務供應商)和ASP(應用服務供應商)模式間有著明顯的相似點，仔細研究后才發(fā)現(xiàn)兩者之間的差別，而且還帶出一些安全問題。

MSP和ASP模式最主要的差別在于數(shù)據(jù)位置和使用的技術的不同，在MSP/ASP模式中，我們能夠很清楚地知道客戶數(shù)據(jù)的位置：在某個數(shù)據(jù)中心里面，我們甚至可以讓客戶自己選擇一個數(shù)據(jù)中心來存儲他們的數(shù)據(jù)。在MSP模式中，數(shù)據(jù)中心還提供單個服務器，并且與供應商間保持著最少的交互通信，托管服務供應商只是負責托管物理性的服務器基礎設置，并且提供電力、網(wǎng)絡和機架空間。有了云計算，供應商就可以利用幾個數(shù)據(jù)中心，并能利用虛擬化來提供服務器。

安全風險

就云計算模式而言，除了我這篇文章中談及到的安全風險問題外，還有很多安全問題需要考慮，作為一名直接接觸云計算相關應用的工作人員，我希望通過各方努力形成比較完整的關于云計算的安全問題列表。以下是我發(fā)現(xiàn)的一些安全問題：

首先，我們公司需要遵守很多法律法規(guī)，如果是我們自己托管自己的應用程序，那么我們就能夠清楚地確定控制主體并且能夠按照法律規(guī)定來保持財務數(shù)據(jù)的完整性，但是如果把財務應用程序放到云計算中，我們肯定需要重新評估控制主體，以確保不會影響我們對合規(guī)的響應。

其次，安全顧慮就是數(shù)據(jù)混合。云計算供應商通常將多個客戶的數(shù)據(jù)存儲在同一個硬件中，然而客戶會希望將他們數(shù)據(jù)與競爭對手間的數(shù)據(jù)進行適當?shù)姆指?。當供應商備份?shù)據(jù)的時候，他們會將所有客戶的數(shù)據(jù)混合在共享媒體上嗎?如果客戶終止合同，供應商會將客戶的數(shù)據(jù)從磁帶中清除嗎?這樣看來，客戶的數(shù)據(jù)很可能會落入競爭對手的手里。

最后，虛擬化安全問題。舉例來說，VMware提供一個叫做Distributed Resource Scheduler(分布式資源調度)的功能，該功能通過虛擬機上的客戶操作系統(tǒng)對整個操作系統(tǒng)實施不間斷的監(jiān)控 并且能夠在其他虛擬機間智能分配可用資源. 當虛擬機資源受到限制時，可以通過將可用的虛擬機資源轉移到一個不同的物理服務器以提供協(xié)助。這主意聽起來還不錯，是嗎?但是如果你的源代碼存放的服務器被動態(tài)轉移到俄羅斯或者美國的服務器上呢?你還能夠確保基礎設施的完整性嗎?

我將繼續(xù)探討這些潛在的安全風險問題，這樣就能夠為那些追逐云計算的公司提供最好的知道，通過我的研究，我希望能夠規(guī)范供應商并起草一份能夠真正保護供應商和客戶共同利益的規(guī)制。（It專家網(wǎng)）