|
|
知识路径: > 电子商务新技术与新应用 > 云计算 > 云计算技术 > 云计算技术 >
|
|
相关知识点:13个
|
|
|
|
|
|
|
与传统IT系统相比,云计算面临的风险点发生变化,主要体现在如下几个方面:
|
|
|
|
(1)传统安全边界消失。传统自有IT系统是封闭的,对外暴露的只是网页服务器、邮件服务器等少数接口。因此,传统IT系统以“边界”为核心,利用防火墙、入侵防御等手段可以有效阻挡攻击。而在云计算环境下,云暴露在公开的网络中,虚拟化技术使得安全边界概念消失,基于物理安全边界的防护机制难以在云计算环境中得到有效的应用。
|
|
|
|
(2)用户具有动态性。云计算环境下,用户的数量和分类变化频率高,具有动态性和移动性强的特点,静态的安全防护手段作用被削弱,安全防护措施需要进行动态调整。
|
|
|
|
(3)更高的数据安全保护要求。云计算将资源和数据的所有权、管理权和使用权进行了分离,资源和数据不在本地存储,用户失去了对资源和数据的直接控制,再也不能像传统信息系统那样通过物理控制、逻辑控制、人员控制等手段对数据的访问进行控制。面对用户数据安全保护的迫切诉求和庞大的数据规模,云计算企业需要具有更高的数据安全保护水平和更先进的数据保护手段,以避免数据不可用、数据泄露等风险。
|
|
|
|
(4)合规检查更难。云计算企业必须符合广泛的、不断变化的法律法规要求。随着信息领域的迅速发展,各国、各行业都在加强相关的法律法规建设,云计算企业合规清单不断壮大,涉及网络、数据、信息等方方面面。由于云计算可能存在数据存储位置未知、数据来源难追溯、安全控制和责任缺乏透明性等问题,使得云计算企业和云客户在面临合规性检查时存在困难。如今年生效的欧盟《一般数据保护条例》(GDPR),首次对数据处理者的数据保护能力进行严格要求,赋予数据主体更多的权利,适用范围也大幅扩张。对于云服务商来说,在欧盟境内设立分支机构或服务于欧盟客户时应满足GDPR要求,而即使服务于非欧盟客户,非欧盟客户又服务于欧盟客户时,云服务商也适用GDPR。不仅适用场景繁多,云服务商为满足GDPR要求所开展的工作也更加复杂。数据遍布于云环境,如何提高数据掌控与保护能力,满足用户多种权利,如何快速识别数据泄露事件,及时上报监管部门,都是云服务商合规的难点。
|
|
|
|
(5)多种外部风险。云计算企业搭建云平台时,可能会涉及购买第三方厂商的基础设施、运营商的网络服务等情况。基础设施、网络等都是决定云平台稳定运行的关键因素。因此,第三方厂商和运营商的风险管理能力将影响云计算企业风险事故的发生情况。同时,云计算企业在运营时,可能将数据处理与分析等工作分包给第三方合作企业,分包环节可能存在数据跨境处理、多方责任难界定等风险。
|
|
|
|
如下图所示云计算安全风险架构,对于云计算平台,IaaS层主要考虑基础设施相关的安全风险,PaaS层需要保证运行环境和信息的安全,SaaS层从应用、Web、网络、业务、内容、数据等方面保证应用安全。在云平台的运营过程中,涉及复杂的人员风险、管理流程风险和合规风险。同时,云计算开源技术使用率不断攀升,开源风险也成为云计算领域的关注重点。
|
|
|
|
|
|
|
|
|
|
不同云计算企业提供云服务的侧重点不同,企业在使用云服务时,可能会涉及与多个云服务商的合作。任何一个云服务的参与者都需要承担相应的责任,不同角色的参与者在承担各自责任的同时,还需要与其他参与者协同合作,共同规避云平台风险事件的发生。
|
|
|
|
云计算责任共担模式在业界已经达成共识,但还没有统一的责任共担模型。已有部分厂商根据业务特点,建立了自己的责任共担模型。以亚马逊AWS为例,AWS作为IaaS+PaaS为主的服务提供商,负责管理云本身的安全,即保护运行所有AWS云服务的基础设施。客户负责“云内部的安全”,即业务系统安全。这种模式对于国内市场来说,可能会有局限性。在国内,尤其对于SaaS模式,很多用户仍会有“上云,安全就由云服务商负责”的误解。实际上,SaaS模式下数据安全应由云服务商和客户共同负责,云客户应提高安全使用SaaS服务的能力,避免发生误删数据等风险事故。同时,不少信息技术水平较弱的客户,在接触云计算初期,安全风险防控能力不够强,购买SaaS服务后,会使用而不懂如何去进行安全防护,云服务商需要建立更强大的生态以保障云客户安全。
|
|
|
|
云服务提供商应基于云客户的需求,提供云主机等服务和相应的安全策略,同时负责维护云平台的高可用,在出现风险事件时,对基础环境、主机环境、网络环境甚至是应用环境进行故障定位、处置和总结。针对国内市场,在SaaS模式下,云服务商应充分考虑云客户安全防护能力水平,提前告知服务使用方法,在云客户存在疑问时,及时提供解答和帮助,避免发生不必要的安全事故。
|
|
|
|
云客户应基于云服务提供商提供的服务产品使用和安全说明,正确使用服务或产品,避免因为误操作、疏忽等因素造成云平台的风险,同时云客户应按照本公司风险管理要求,对云上信息系统进行风险评估与治理。
|
|
|
|
数据保护贯穿数据使用的整个生命周期,需要云客户与云服务提供商共同维护数据安全。
|
|
|
|
|
|
传统IT系统在进行风险管理时,主要通过安全厂商进行安全检查、基于安全软件实现安全防护,而随着云计算风险点和风险责任的变化,除安全厂商外,云计算风险管理需要联动社会多方以提高风险管理能力,包括保险企业、第三方认证机构、监督管理机构等。
|
|
|
|
云计算风险管理手段主要包括:通过事前评估规避风险、事中监控发现风险、事后处置解决风险,建立完善的风险评估体系,全方位保障云平台稳定运行;以金融带动风险管理发展,通过云保险分担事故带来的损失;联合云计算企业、云客户、安全厂商多方建立云计算风险信息共享平台,实现企业互惠共赢。
|
|
|
