加入收藏 | 设为首页 | 会员中心 | 我要投稿 云计算网_泰州站长网 (http://www.0523zz.com/)- 视觉智能、AI应用、CDN、行业物联网、智能数字人!
当前位置: 首页 > 服务器 > 安全 > 正文

云计算服务主要安全风险及应对方案

发布时间:2022-07-30 15:26:41 所属栏目:安全 来源:互联网
导读:云计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。与此同时,云计算服务也面临诸多挑战,如云计算技术基础平台安全性、云上数据的安全管理、云计算服务安全专业人才匮乏等
  云计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。与此同时,云计算服务也面临诸多挑战,如云计算技术基础平台安全性、云上数据的安全管理、云计算服务安全专业人才匮乏等安全风险问题,导致云平台数据安全事件层出不穷。对此,我国对云计算服务的网络安全问题高度重视,相继发布了一系列相关政策。
 
 
  一、基础平台风险
  云计算基础平台相比传统IT基础设施系统结构更加复杂,设备规模大、应用类型多,这给云计算基础平台安全管理带来了更大的挑战。从历年的安全检查和安全演练情况来看:部分云计算基础平台核心软硬件设备中仍然存在大量操作系统漏洞、配置错误、策略失效等高、中风险安全漏洞;各类云管理平台、业务运营支撑系统中也经常暴露出信息泄露、越权访问、跨站脚本等安全漏洞;云平台远程运维模式和身份认证机制在工程实现中暴露出严重风险隐患;共享物理基础设施的不同租户之间因分离存储、内存、路由等机制失败而导致的虚机跳跃攻击、侧信道攻击等案例时有发生;通过网络钓鱼窃取用户凭据后进行云计算服务跟踪和本地攻击,最终导致大量数据泄露的案例日益增多;云计算服务密钥管理机制不完善,密码技术的合规性、正确性和有效性得不到保障,一直是云计算服务基础平台的安全隐忧。
 
  二、数据安全风险
  数据安全是云计算服务安全的最终目标之一,与此同时,数据安全风险也是用户选择云计算服务商时首要考虑的因素,然而从目前情况来看,当前云计算服务中存在的数据安全风险隐患依然很多:数据传输和共享过程中,数据未采取加密机制或加密机制存在缺陷,第三方调用采用明文方式进行传输,数据在同一台物理服务器上不同VM之间通过服务器内部虚拟网络进行通信时的数据安全防护机制考虑不周,这些都可能被攻击者利用从而导致数据信息泄露;云计算基础设施中依然存在大量重要、敏感数据未使用加密技术进行保护,给黑客等不法分子带来可乘之机,导致信息泄露或篡改等行为发生;云服务数据在迁移过程中,遗留数据得不到彻底清除,传输数据得不到有效保护,备份数据得不到合理处置,往往引发数据泄露风险;对开发、测试、生产环境开放接口管理不严格,而导致数据迁移项目中的数据泄露案例时有发生;云计算服务中过度收集用户个人信息,违规使用个人信息,违反个人信息保护法等问题还频频出现。
 
  三、供应链安全风险
  目前,国内云计算服务平台所采用的云管平台软件、服务器、网络安全设备、网络交换设备和各类应用软件虽已广泛采用国内厂商供货,但上述设备中使用的CPU、内存、硬盘、关键芯片方面主要供应商仍主要来自美国、韩国等境外企业,“芯片断供事件”给我们敲响了警钟,这些隐藏在二级、三级供应链中的安全风险在今后一段时间内依然是云计算服务商需要持续关注的现实风险。此外,数字供应链发展是未来趋势,供应链安全成为网络安全体系面临的重要挑战。
 
  云计算服务安全风险应对措施
  通过对云计算服务中的安全风险分析,可采取以下措施对云计算服务安全风险进行防范和持续改进。
 
  一、加强云计算服务中技术和管理安全标准体系研究
  据研究表明,云计算平台中的安全问题绝大部分是传统IT系统存在的问题(如各类系统安全漏洞),而剩下的安全问题主要来自新技术架构应用带来的安全技术风险,传统IT技术机制在云计算服务应用场景中产生的技术风险,以及新的服务模式带来的安全管理隐患,这些都需要结合云计算服务特点研究制定有针对性的技术和管理标准来降低隐患。目前,围绕云计算平台之间的元数据和数据交换,不同云平台之间的应用迁移,云运营服务的监控、审计、计费和通告机制,云计算服务中密码支撑体系建设应用,云平台的业务连续性要求以及服务水平协议等,都需要开展研究并逐步形成标准体系以保障云计算服务安全。
 
  二、保障云计算服务供应链安全
  随着云技术和其他新兴科技的发展,供应链生态安全日益受到关注,整个供应链生态环境的每个环节都需要通力合作,在设计研发、采购、运行维护、日常监督阶段均应关注供应链安全问题,一是要求信息系统、组件或服务的开发商在系统生命周期的早期阶段说明系统中的功能、端口、协议和服务;二是要求信息系统、组件或服务的提供商对供应链产品开展安全性评价工作;三是要求信息系统、组件或服务的开发商即使在交付信息系统、组件或服务后,也应跟踪漏洞情况,在发布漏洞补丁前便应通知云计算服务商;四是定期对供应链上的服务商进行评审和论证,要求供应链的供应商遵守信息安全、保密、访问控制、隐私、审计、人事策略和服务级别要求和标准。

(编辑:云计算网_泰州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0523zz.com/ All Rights Reserved. 云计算网_泰州站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330476号