這幾年，云計(jì)算在IT技術(shù)領(lǐng)域大放異彩，成為引領(lǐng)技術(shù)潮流的新技術(shù)。不過云計(jì)算的發(fā)展并不是一帆風(fēng)順，也面臨著不少嚴(yán)峻問題，尤其是安全問題，安全問題已經(jīng)嚴(yán)重影響到了云計(jì)算的普及，不少人對(duì)云計(jì)算持懷疑態(tài)度，不愿將隱私數(shù)據(jù)信息交由云計(jì)算來處理。的確，云計(jì)算的到來，給IT系統(tǒng)尤其是數(shù)據(jù)中心帶來了極大挑戰(zhàn)，在不同層面都要面臨新的安全問題。那么，云計(jì)算面臨著哪些安全威脅呢?本文就來詳細(xì)說一說，只有正視這些問題，才能解決這些問題，讓云計(jì)算不再是襁褓中的嬰兒，變得強(qiáng)壯起來。云計(jì)算技術(shù)面臨著四個(gè)方面層次的安全威脅

[[204056]]

認(rèn)證層次

云計(jì)算支持海量用戶認(rèn)證與接入，對(duì)用戶的身份認(rèn)證和接入管理必須完全自動(dòng)化，為提高認(rèn)證接入管理的體驗(yàn)，需要云簡(jiǎn)化用戶的認(rèn)證過程，比如提供云內(nèi)所有業(yè)務(wù)統(tǒng)一的單點(diǎn)登錄與權(quán)限管理。支持移動(dòng)性和分布式網(wǎng)絡(luò)計(jì)算也是云計(jì)算的重要特征，這增加了用戶認(rèn)證管理的難度，為了實(shí)現(xiàn)用戶隨時(shí)隨地都可以訪問云計(jì)算資源，就要接受來自不同位置，不同客戶端的登錄訪問，如果認(rèn)證入口被入侵者攻破，如同攻打一座城池時(shí)，攻破了大門一樣，必將長(zhǎng)驅(qū)直入，拿下這座城池了。入侵者一旦進(jìn)入內(nèi)部云計(jì)算系統(tǒng)，必然可以掌握內(nèi)部資源，做一些破壞或者竊取的壞事，給云計(jì)算用戶帶來嚴(yán)重?fù)p失。入侵者通常利用租用的虛擬機(jī)發(fā)起攻擊，或者攻擊虛擬化管理平臺(tái)，利用操作系統(tǒng)或網(wǎng)頁(yè)漏洞，非法截獲用戶數(shù)據(jù)，非法獲取用戶密碼，非法獲取敏感信息。所以把好云計(jì)算的大門非常重要，不然所有的數(shù)據(jù)都呈現(xiàn)給了非法入侵者，要做好身份驗(yàn)證，甄別正常用戶，對(duì)于一切不合法用戶說不。

數(shù)據(jù)層次

云計(jì)算要處理海量數(shù)據(jù)，而且這些數(shù)據(jù)還采用的分布式計(jì)算，即很多數(shù)據(jù)計(jì)算是由處于各處的計(jì)算資源共同完成的，這樣有大量的中間數(shù)據(jù)需要通過網(wǎng)絡(luò)傳遞，這個(gè)過程是沒有保護(hù)的，存在極大的安全隱患。不僅是處理中的數(shù)據(jù)，存儲(chǔ)在數(shù)據(jù)中心里的數(shù)據(jù)也存在安全威脅，這些數(shù)據(jù)可以加密保存，用戶可以通過客戶端加密數(shù)據(jù)，然后將數(shù)據(jù)存儲(chǔ)到云中，用戶的數(shù)據(jù)加密密鑰保存在客戶端，云端無法獲取密鑰并對(duì)數(shù)據(jù)進(jìn)行解密。還有當(dāng)用戶從云中推出后，該用戶的數(shù)據(jù)空間可以直接釋放給其它用戶使用，這些數(shù)據(jù)如果不及時(shí)清空，其它用戶就可獲取到原來用戶的私密信息，數(shù)據(jù)存在泄露可能。云計(jì)算缺乏對(duì)數(shù)據(jù)內(nèi)容的辨識(shí)能力，拿到數(shù)據(jù)后往往直接計(jì)算，缺少檢查和校驗(yàn)機(jī)制，這往往會(huì)使一些無效數(shù)據(jù)或者偽造數(shù)據(jù)混在其中，一方面可能影響計(jì)算的結(jié)果，另一個(gè)方面也占用大量計(jì)算資源，影響云計(jì)算效果。

虛擬層次

云計(jì)算將虛擬化技術(shù)運(yùn)用得淋漓盡致，可以說沒有虛擬化技術(shù)，云計(jì)算就失去了存在的意義。然而，虛擬化技術(shù)本地放大了安全威脅，將系統(tǒng)暴露于外界。虛擬機(jī)動(dòng)態(tài)地被創(chuàng)建、被遷移，虛擬機(jī)的安全措施必須相應(yīng)地自動(dòng)創(chuàng)建、自動(dòng)遷移，可虛擬機(jī)本身就是可以在二層網(wǎng)絡(luò)中任意遷移，安全防護(hù)很難針對(duì)虛擬機(jī)做防護(hù)，尤其在遷移的過程中。虛擬機(jī)在沒有安全措施或安全措施沒有自動(dòng)創(chuàng)建時(shí)，容易導(dǎo)致接入和管理虛擬機(jī)的密鑰被盜、相應(yīng)的服務(wù)遭受攻擊、弱密碼或者無密碼的賬號(hào)被盜用，虛擬化增大了安全威脅，且沒有很好的手段去防護(hù)。眾所周知，Hypervisor為虛擬化的核心技術(shù)，可以捕獲 CPU指令，為指令訪問硬件控制器和外設(shè)充當(dāng)中介，協(xié)調(diào)所有CPU資源分配，運(yùn)行在比操作系統(tǒng)特權(quán)還高的最高優(yōu)先級(jí)上。一旦 Hypervisor被攻擊破解，在Hypervisor上的所有虛擬機(jī)將無任何安全保障，直接暴露在攻擊之下，這將給系統(tǒng)帶來極大隱患。

網(wǎng)絡(luò)層次

云計(jì)算依仗網(wǎng)絡(luò)來完成分布式計(jì)算，云計(jì)算本質(zhì)就是利用網(wǎng)絡(luò)，將處于不同位置的計(jì)算資源集中起來，然后通過協(xié)同軟件，讓所有的計(jì)算資源一起工作完成某些計(jì)算功能。這樣在云計(jì)算的運(yùn)行過程中，需要大量的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸，在傳輸過程中數(shù)據(jù)私密性與完整性存在很大威脅，而傳統(tǒng)計(jì)算就不會(huì)涉及，傳統(tǒng)計(jì)算直接將數(shù)據(jù)放到某個(gè)特定服務(wù)器上來完成計(jì)算，只要這個(gè)服務(wù)器有安全防護(hù)，基本可以保證計(jì)算過程不受干擾。在云計(jì)算過程中，則要考慮網(wǎng)絡(luò)安全因素，目前有人提出量子通信，就是為了解決網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的安全問題，若能在云計(jì)算計(jì)算過程中，數(shù)據(jù)傳遞過程中數(shù)據(jù)進(jìn)行量子加密，將極大提升安全防護(hù)能力，減小安全威脅。云計(jì)算必須基于隨時(shí)可以接入的網(wǎng)絡(luò)，便于用戶通過網(wǎng)絡(luò)接入，方便地使用云計(jì)算資源，這使得云計(jì)算資源需要分布式部署路由、域名配置復(fù)雜，更容易遭受網(wǎng)絡(luò)攻擊。對(duì)于IaaS，DDoS攻擊不僅來自外部網(wǎng)絡(luò)，也容易來自內(nèi)部網(wǎng)絡(luò)。包括隔離措施不當(dāng)造成的用戶數(shù)據(jù)泄漏，用戶遭受相同物理環(huán)境下其他惡意用戶攻擊等等，傳統(tǒng)網(wǎng)絡(luò)面臨的攻擊，在云計(jì)算環(huán)境中都存在，并將威脅放大，所以需要針對(duì)云計(jì)算所在的網(wǎng)絡(luò)環(huán)境制定安全防護(hù)方案。

云計(jì)算可能遭受的威脅絕大多數(shù)來自以上介紹的四種威脅，不同層次的威脅，其相應(yīng)的安全保障措施也不同。很多安全技術(shù)專家針對(duì)不同層次的威脅，也展開了相關(guān)技術(shù)研究。就當(dāng)前云計(jì)算環(huán)境的安全威脅，依然拿不出令人信服的安全防護(hù)手段，這使得人們對(duì)云計(jì)算的安全問題很是擔(dān)憂。云計(jì)算若不能很好地解決掉新技術(shù)所帶來的安全威脅，就無法真正獲得廣泛的用戶支持，難以推廣普及。