云計算在IT技術領域大放異彩，成為***技術潮流的新技術。云計算的高速發(fā)展為試圖重新聚焦關鍵業(yè)務目標的企業(yè)帶來了許多利好，例如提高產(chǎn)品上市的速度、增加企業(yè)競爭的優(yōu)勢以及降低資本和/或運行的開支等等。為了管理好云計算風險，首先了解風險到底是什么將是非常重要的。

所謂風險，也就是指我們不希望發(fā)生的事件發(fā)生的概率。在信息安全領域，風險就是一個惡意或非惡意暴露機密信息事件、或威脅數(shù)據(jù)一致性以及干擾系統(tǒng)和信息可用性事件發(fā)生的概率。任何接入互聯(lián)網(wǎng)的組織都處于風險之中，他們都應考慮黑暗網(wǎng)絡的彈性特性和擴展私有云計算和公共云計算網(wǎng)絡的能力。

[[242128]]

根據(jù)學習，發(fā)現(xiàn)云計算技術面臨著下面幾個方面層次的安全威脅：

一、技術風險

1. IaaS層風險分析

基礎設施即服務(IaaS)為用戶提供計算、存儲、網(wǎng)絡和其它基礎計算資源，用戶可以在上面部署和運行任意的軟件，包括操作系統(tǒng)和應用程序，用戶不用管理和控制底層基礎設施，但要控制操作系統(tǒng)、存儲、部署應用程序和具有對網(wǎng)絡組件(如主機防火墻)具有有限的控制權限的能力。許多最嚴重的IaaS風險很大程度是由于云管理員對操作系統(tǒng)，應用程序和云管理界面的錯誤配置或缺乏安全控制。

其中一個主要風險是缺乏安全的API，這些API是由云提供商提供以允許用戶與他們的服務以及服務管理更無縫的集成。盡管提供商負責提供安全的API和補丁，客戶應該自己對這些API進行評估，包括支持的傳輸方法以及什么樣的數(shù)據(jù)在與供應商的交互過程中被來回發(fā)送。API或應用程序的更新很容易導致兼容性問題，甚至也可能引發(fā)數(shù)據(jù)泄露的場景，因此客戶應該定期測試他們的程序和API交互的部分。

小招數(shù)：建議云客戶要在選定IaaS前徹底調研云服務提供商的安全控制和服務水平協(xié)議?？蛻魬M可能利用多因素身份驗證，對數(shù)據(jù)進行加密以減少內(nèi)部威脅，維護密鑰的控制權，并開始比以往任何時候都更關注在云環(huán)境中的可用日志。定期掃描基于云的系統(tǒng)漏洞也是一個***做法。

2. PaaS層風險分析

PaaS平臺資源的容器是基于操作系統(tǒng)的虛擬化，與IaaS基礎環(huán)境實現(xiàn)解耦，平臺自身的實現(xiàn)多數(shù)是應用較廣的開發(fā)框架和標準 API，能夠有效提升資源管理水平，有效避免廠商綁定;同時，合理調整單個操作系統(tǒng)之上容器密度的有效部署，可以更好提升資源使用率，降低硬件采購成本。

PaaS主要以容器云形式實現(xiàn)，容器云依賴容器基礎技術，目前常見的有Docker和garden兩種類型。

平臺即服務(PaaS)上進行網(wǎng)絡應用開發(fā)是存在著一定風險漏洞的。具體的威脅風險包括黑客、軟件設計缺陷或者不良的測試方法。這些風險有可能會利用漏洞來影響應用或大幅度降低應用的性能。

3. SaaS層風險分析

SaaS(Software-as-a-Service，軟件即服務)，通過網(wǎng)絡在線交付服務，企業(yè)可以節(jié)省更多的成本，把更多的精力用在促進業(yè)務發(fā)展上而不必被ERP這些軟件的升級維護瑣事而困擾，極大的提升運營效率。

但是很多企業(yè)，尤其是大型企業(yè)，很不情愿使用SaaS正是因為安全問題，SaaS解決方案缺乏標準化，企業(yè)要保護核心數(shù)據(jù)，不希望這些核心數(shù)據(jù)由第三方來負責。以前看到過一篇文章，據(jù)說多達20%的SaaS部署項目之所以以失敗告終，原因是數(shù)據(jù)集成方面存在嚴重問題。因此，企業(yè)在采用某一種部署模式之前，需要認真分析各種部署模式在系統(tǒng)生命周期所有階段的優(yōu)缺點，這一點還挺重要噠。

不同的云計算模式責任劃分不同，具體可參見下圖：

二、管理風險

1. 云服務無法滿足SLA

企業(yè)依靠服務等級協(xié)議(SLA)來要求云計算供應商為所提供的服務提供保障，并在發(fā)生服務故障時提出維權主張。比如，SLA明確規(guī)定了供應商的責任，在什么樣的時限內(nèi)供應商應當能夠解決問題，以及發(fā)生停機時間和客戶失去業(yè)務情況下應當由供應商承擔的責任。但是，當談及云計算SLA時，問題的癥結往往在于細節(jié)。比如，涉及客戶退還的內(nèi)容就是存在問題的。

2. 云服務不可持續(xù)風險

企業(yè)用戶必須確認保存在云中的數(shù)據(jù)是長期可用的。當出現(xiàn)問題時，用戶可以在多長時間內(nèi)把你關心的數(shù)據(jù)交還給你。

3. 身份管理

業(yè)務專家理解和接受與云計算客戶和云計算供應商相關的風險。無論你擔任了什么樣的角色，要管理什么樣不想要發(fā)生的潛在事件，都必須實施風險管理。在云計算關系的特定情況下，雙方的風險管理工作都是必要的，其中企業(yè)用戶和云計算供應商都必須擁有成熟的風險管理計劃。成熟度是通過一個有管理、有周期性報告以及維持低風險狀態(tài)定量證據(jù)的計劃來證明的。

三、法律法規(guī)風險

1. 數(shù)據(jù)跨境

隨著大數(shù)據(jù)時代的來臨，傳統(tǒng)的存儲架構無法解決高速的數(shù)據(jù)增長，越來越多的企業(yè)使用大數(shù)據(jù)平臺存儲數(shù)據(jù)。大數(shù)據(jù)平臺大多是基于一些開源軟件開發(fā)而成，其復雜的架構，模塊的不穩(wěn)定，數(shù)據(jù)的跨地域傳輸?shù)忍攸c，都會給大數(shù)據(jù)平臺的安全帶來極大的威脅。當使用云計算后，你將無法知道數(shù)據(jù)確切的存放位置，甚至不知道是被存放在了哪個國家。

2. 隱私保護

在使用云計算提供的服務時，雖然可以通過SSL對數(shù)據(jù)進行加密，但是由于云計算同時為多個用戶提供服務，你的數(shù)據(jù)很有可能與其他云客戶的數(shù)據(jù)存放在一起。

3. 犯罪取證

云計算同時為多個企業(yè)提供服務，同時記錄了多個企業(yè)使用云計算的情況，當某一個企業(yè)需要被調查時，這種多個企業(yè)使用云計算的日志被記錄在一起的情況增加了司法調查的難度。

這對云計算普及提出了更高的要求和更大的挑戰(zhàn)。在網(wǎng)絡安全等級保護制度中，云服務商和云租戶應該共同承擔安全責任，建設安全防護措施。而現(xiàn)有云環(huán)境下，除提供邊界的安全防護和基本虛擬網(wǎng)絡保護外，缺少更豐富的安全服務，更無法直接為租戶提供安全服務，云租戶難以便利實現(xiàn)其網(wǎng)絡安全防護，履行其安全職責，存在合規(guī)性風險。