云計(jì)算安全常見問題及對(duì)策

1、云計(jì)算安全常見問題及對(duì)策目 錄 TOC o 1-3 h z u HYPERLINK l _Toc21788296 R1.問責(zé)制和所有權(quán) PAGEREF _Toc21788296 h 4 HYPERLINK l _Toc21788297 簡介： PAGEREF _Toc21788297 h 4 HYPERLINK l _Toc21788298 內(nèi)容： PAGEREF _Toc21788298 h 4 HYPERLINK l _Toc21788299 對(duì)策： PAGEREF _Toc21788299 h 4 HYPERLINK l _Toc21788300 案例： PAGEREF _Toc2178

2、8300 h 5 HYPERLINK l _Toc21788301 參考： 無 PAGEREF _Toc21788301 h 5 HYPERLINK l _Toc21788302 內(nèi)容： 無 PAGEREF _Toc21788302 h 6 HYPERLINK l _Toc21788303 內(nèi)容： PAGEREF _Toc21788303 h 7 HYPERLINK l _Toc21788304 對(duì)策： 無 PAGEREF _Toc21788304 h 7 HYPERLINK l _Toc21788305 R4.業(yè)務(wù)持續(xù)性和靈活性 PAGEREF _Toc21788305 h 8 HYPERL

3、INK l _Toc21788306 簡介： PAGEREF _Toc21788306 h 8 HYPERLINK l _Toc21788307 內(nèi)容： PAGEREF _Toc21788307 h 8 HYPERLINK l _Toc21788308 對(duì)策： PAGEREF _Toc21788308 h 8 HYPERLINK l _Toc21788309 案例： PAGEREF _Toc21788309 h 8 HYPERLINK l _Toc21788310 參考： PAGEREF _Toc21788310 h 8 HYPERLINK l _Toc21788311 R5.用戶隱私與數(shù)據(jù)的

4、第二用途 PAGEREF _Toc21788311 h 9 HYPERLINK l _Toc21788312 簡介： PAGEREF _Toc21788312 h 9 HYPERLINK l _Toc21788313 內(nèi)容： PAGEREF _Toc21788313 h 9 HYPERLINK l _Toc21788314 對(duì)策： 無 PAGEREF _Toc21788314 h 10 HYPERLINK l _Toc21788315 R6.服務(wù)和數(shù)據(jù)傳輸安全 PAGEREF _Toc21788315 h 11 HYPERLINK l _Toc21788316 簡介： PAGEREF _Toc

5、21788316 h 11 HYPERLINK l _Toc21788317 內(nèi)容： PAGEREF _Toc21788317 h 11 HYPERLINK l _Toc21788318 參考 PAGEREF _Toc21788318 h 11 HYPERLINK l _Toc21788319 R7.多租戶和物理安全 PAGEREF _Toc21788319 h 13 HYPERLINK l _Toc21788320 簡介： PAGEREF _Toc21788320 h 13 HYPERLINK l _Toc21788321 內(nèi)容： PAGEREF _Toc21788321 h 13 HYPE

6、RLINK l _Toc21788322 對(duì)策： PAGEREF _Toc21788322 h 13 HYPERLINK l _Toc21788323 案例： PAGEREF _Toc21788323 h 14 HYPERLINK l _Toc21788324 參考： PAGEREF _Toc21788324 h 14 HYPERLINK l _Toc21788325 R8.影響范圍分析和法律支持 PAGEREF _Toc21788325 h 15 HYPERLINK l _Toc21788326 簡介： PAGEREF _Toc21788326 h 15 HYPERLINK l _Toc21

7、788327 內(nèi)容： 無 PAGEREF _Toc21788327 h 15 HYPERLINK l _Toc21788328 內(nèi)容： PAGEREF _Toc21788328 h 16 HYPERLINK l _Toc21788329 對(duì)策： PAGEREF _Toc21788329 h 16 HYPERLINK l _Toc21788330 案例： 無 PAGEREF _Toc21788330 h 17 HYPERLINK l _Toc21788331 R10. 非生產(chǎn)環(huán)境暴露 PAGEREF _Toc21788331 h 18 HYPERLINK l _Toc21788332 簡介： P

8、AGEREF _Toc21788332 h 18 HYPERLINK l _Toc21788333 內(nèi)容： PAGEREF _Toc21788333 h 18 HYPERLINK l _Toc21788334 對(duì)策： PAGEREF _Toc21788334 h 18 HYPERLINK l _Toc21788335 案例： 無 PAGEREF _Toc21788335 h 18R1.問責(zé)制和所有權(quán)簡介：對(duì)于一個(gè)組織來說，傳統(tǒng)的數(shù)據(jù)中心是完全可控的。這個(gè)組織可以在邏輯上和物理上保護(hù)他們所擁有的數(shù)據(jù)。一個(gè) 組織如果選擇去使用一個(gè)公開的云來托管業(yè)務(wù)服務(wù)，這樣會(huì)失去對(duì)他們自己數(shù)據(jù)的控制權(quán)。這會(huì)造成嚴(yán)

9、重的安全威脅， 該組織需要認(rèn)真考慮并解決它。（Pankaj，維奈）內(nèi)容：對(duì)于一個(gè)組織來說，傳統(tǒng)的數(shù)據(jù)中心是完全被這個(gè)組織控制的，這個(gè)組織可以在邏輯和物理上保護(hù)他們的數(shù)據(jù)。組 織可以選擇一個(gè)的云提供商來托管他們的業(yè)務(wù)，但他們這樣會(huì)失去對(duì)自己數(shù)據(jù)的控制。這可能會(huì)造成嚴(yán)重的安全威脅， 所以組織需要認(rèn)真考慮并作出恰當(dāng)?shù)臎Q策。威脅的嚴(yán)重程度是由存儲(chǔ)在云端的數(shù)據(jù)的重要性決定的，例如 BLOG、微博、公共新聞以及新聞組信息這些公開的信息就是不敏感的的數(shù)據(jù)，所以在云中托管這些數(shù)據(jù)的風(fēng)險(xiǎn)是很低的。相反，像個(gè)人健康記錄、犯罪記錄、信用記錄和 工資信息是高度敏感的業(yè)務(wù)數(shù)據(jù)，如果這些數(shù)據(jù)被泄露，會(huì)導(dǎo)致很嚴(yán)重的商業(yè)和法

10、律后果，因此在云中托管這些數(shù)據(jù)會(huì) 有非常高的風(fēng)險(xiǎn)。由于云中的數(shù)據(jù)由云提供商控制，所以首要的問題是確保存儲(chǔ)數(shù)據(jù)的保密性，加密技術(shù)可以被用來確保保密性，如 果云提供商使用多租戶架構(gòu)，應(yīng)當(dāng)為云中的每個(gè)用戶提供單獨(dú)的加密密鑰。云提供商可能會(huì)把用戶的數(shù)據(jù)存放在不同的國家，這也會(huì)帶來一些風(fēng)險(xiǎn)，因?yàn)槊總€(gè)國家都會(huì)有它自己的法律體系， 云提供商運(yùn)營的業(yè)務(wù)都要遵循它所在地區(qū)的法律體系，某些國家的法律也許會(huì)強(qiáng)制云提供商向司法人員提供某些數(shù)據(jù)和 密鑰。數(shù)據(jù)的存放位置也會(huì)增加額外的經(jīng)濟(jì)成本，如銷售訂單需要繳納稅點(diǎn)，而且可能無法獲得這個(gè)國家提供的最低稅 率的優(yōu)惠，因?yàn)樵铺峁┥炭赡馨褦?shù)據(jù)存放在任何國家和地區(qū)。云提供商可能把

11、用戶的數(shù)據(jù)存放在他們的辦公場所，或者租用一個(gè)基礎(chǔ)設(shè)施（IAAS）作為提供數(shù)據(jù)存儲(chǔ)的地方。提 供商可能采用多租戶架構(gòu)，在一個(gè)物理存儲(chǔ)中存放許多的云用戶數(shù)據(jù)。這種架構(gòu)可能缺少必要的控制，以確保云的用戶 只能訪問屬于自己的數(shù)據(jù)，而不會(huì)訪問到其他用戶的數(shù)據(jù)。如果云用戶之間在商業(yè)上有競爭關(guān)系，那么缺乏這種控制會(huì) 給用戶帶來嚴(yán)重的商業(yè)風(fēng)險(xiǎn)。當(dāng)一個(gè)請求要?jiǎng)h除一些數(shù)據(jù)的時(shí)候，云提供商可能只是名義上把它刪除，并留下可以用來重建原始數(shù)據(jù)的痕跡。這 些數(shù)據(jù)可能被偷走、并且被濫用，給云中的用戶造成嚴(yán)重威脅。對(duì)策：為了降低各種數(shù)據(jù)的相關(guān)風(fēng)險(xiǎn)，使用云計(jì)算來開展服務(wù)的組織應(yīng)當(dāng)做到以下幾點(diǎn)：明確云提供商是如何確保數(shù)據(jù)安全，以

12、及是如何去檢測和報(bào)告一個(gè)威脅。明確數(shù)據(jù)存儲(chǔ)的地理位置，以及確保提供商不會(huì)把數(shù)據(jù)存儲(chǔ)在一個(gè)受相關(guān)限制的國家中。明確第三方機(jī)構(gòu)或當(dāng)?shù)卣谑裁辞闆r下可以從云提供商處抓取或沒收數(shù)據(jù)，當(dāng)出現(xiàn)此類事件時(shí)提供商應(yīng)及時(shí)提 前通知用戶。確保云提供商能基于用戶制定的數(shù)據(jù)分類對(duì)數(shù)據(jù)做適當(dāng)?shù)谋Ｗo(hù)， 并解決諸如HIPPA 隱私法的相關(guān)問題。默認(rèn)情況下提供商拒絕所有對(duì)用戶數(shù)據(jù)的訪問，用戶組織可以給需要訪問的對(duì)象給予指定和明確的授權(quán)。云提供商要對(duì)靜態(tài)和傳輸過程中的數(shù)據(jù)進(jìn)行加密。提供商對(duì)不同用戶的數(shù)據(jù)進(jìn)行邏輯上隔離，從而預(yù)防任何未經(jīng)授權(quán)的訪問、修改或刪除數(shù)據(jù)。明確云提供商是如何管理不同用戶的密鑰。提供商應(yīng)當(dāng)為每個(gè)用戶使用一

13、個(gè)加密密鑰，而不是對(duì)所有用戶使用相 同密鑰。核實(shí)云提供商對(duì)刪除的數(shù)據(jù)已經(jīng)進(jìn)行了徹底的銷毀，不能再通過任何方式恢復(fù)出來。如果數(shù)據(jù)被破壞，確保云提供商承擔(dān)賠償。案例：2009 年 7 月 15 日，Twitter 透露一個(gè)黑客通過劫持Twitter 員工的郵件賬戶獲取了存儲(chǔ)在Google Apps 上的大量公司數(shù)據(jù)。盡管這次破壞是由于弱口令和密碼重置造成的，不過這一事件已引起新的有關(guān)云計(jì)算安全和隱私問題更廣泛的 關(guān)注。參考： 無R2.用戶身份統(tǒng)一簡介：當(dāng)企業(yè)需要轉(zhuǎn)移服務(wù)和應(yīng)用到不同云服務(wù)提供商時(shí)，他們保持對(duì)自己的用戶身份控制是非常重要的，而不是讓云服 務(wù)提供商創(chuàng)建多個(gè)不同的身份，這會(huì)導(dǎo)致管理變的越

14、來越復(fù)雜。用戶應(yīng)當(dāng)具有一個(gè)可在不同的云服務(wù)提供商間通用的唯 一的身份驗(yàn)證（如 SAML），這樣用戶即可不需要管理眾多賬號(hào)和證書，很好的提高了用戶的使用體驗(yàn)。這使得后端數(shù)據(jù)在不同云提供商之間的整合變得更加容易。（維奈，Pankaj）內(nèi)容： 無對(duì)策： 無案例： 無參考： 無R3.合規(guī)性簡介：復(fù)雜的合規(guī)性說明。數(shù)據(jù)在一個(gè)國家可能被認(rèn)為是安全的，在另一個(gè)國家可能被認(rèn)為是不安全的，這是因?yàn)椴煌?國家或地區(qū)的監(jiān)管法律是不同的。舉例來說，歐盟有非常嚴(yán)格的隱私法，因此存放在美國的數(shù)據(jù)可能不符合歐盟的法律 條款。（尚卡爾，奧雅納）內(nèi)容：用戶最終為了安全和遵從監(jiān)管法規(guī)，把他們自己的應(yīng)用托管在云中。數(shù)據(jù)服務(wù)和應(yīng)用

15、所有者必須及時(shí)到位的提出審 計(jì)計(jì)劃，確保用戶對(duì)托管在云提供商處的應(yīng)用和基礎(chǔ)設(shè)施有適當(dāng)?shù)目刂茩?quán)。不少公司在計(jì)劃采用云技術(shù)（如SaaS，Iaas，Paas 等），必須確保他們的云提供商了解各自的角色和職責(zé)（RACI 等），從而幫助用戶遵從適當(dāng)?shù)谋O(jiān)管法規(guī)和標(biāo)準(zhǔn)（政府和商業(yè)）。IT 經(jīng)理可能會(huì)害怕把數(shù)據(jù)給云提供商而失去對(duì)數(shù)據(jù)的控制，因?yàn)槿鄙偻该鞯臋C(jī)制運(yùn)提供商可能為了符合監(jiān)管法規(guī)而在用戶不同意的的情況下改變他們的底層技術(shù)和實(shí)現(xiàn)。IT 組織應(yīng)當(dāng)分析是否應(yīng)該將風(fēng)險(xiǎn)管理框架包括數(shù)據(jù)保護(hù)和合規(guī)性要求應(yīng)用到云中，并確認(rèn)通過數(shù)據(jù)保護(hù)，可用性和密鑰管理等方式更好的界定服務(wù)水平協(xié)議的可行性。對(duì)策： 無案例： 無參考：1

16、.Anthes, G（2009 年 1 月），saas 的現(xiàn)實(shí)，計(jì)算機(jī)世界 43(1), 2122.，摘自 2009 年 8 月 9 日，ABI/ INFORM Global.(文件編號(hào)：1626575741)。2.Business：Pain in the aaS；計(jì)算機(jī)安全（2008 年 4 月），經(jīng)濟(jì)學(xué)家，387（8577），86。 取自 2009 年 8 月 9 日，ABI 公司/ INFORM Global.。.(文件編號(hào)：1469385981)3.Gartner: 七大云計(jì)算安全風(fēng)險(xiǎn)： HYPERLINK /article/423713/Gartner_Seven_Cloud_Com

17、puting_Security_Risks?page=1&taxonomyId=1419 /article/423713/Gartner_Seven_Cloud_Computing_Security_Risks?page=1&taxonomyId=14194.Google：云計(jì)算比傳統(tǒng)IT 技術(shù)更安全： HYPERLINK /Articles/2009/07/21/236982/cloud h /Articles/2009/07/21/236982/cloudcomputingmoresecurethantraditionalitsays.htm5.云計(jì)算安全問題 TOP5： HYPERLIN

18、K /Articles/2009/04/24/235782/top h /Articles/2009/04/24/235782/topfivecloudcomputing securityissues.htm6.云安全聯(lián)盟： HYPERLINK /csaguide.pdf h /csaguide.pdf7.奧沙利文, D. (2009) 互聯(lián)網(wǎng)云的一線希望英國行政管理雜志。8.Chow, R., Golle, P., Jakobsson, M., Shi, E., Staddon, J., Masuoka, R., & Molina, J. (2009).云中的數(shù)據(jù)控制：外包數(shù)據(jù)而非外包控制，

19、論文發(fā)表在 2009 年 CCSW：云計(jì)算安全， 2009 年美國芝加哥，伊利諾伊州，ACM 研討會(huì)論文集9.Getgen, K. (2009, October) 2009 加密和密鑰管理的行業(yè)標(biāo)準(zhǔn)的報(bào)告，Trust Catalyst 白皮書數(shù)據(jù)保護(hù)中的風(fēng)險(xiǎn)管理.R4.業(yè)務(wù)持續(xù)性和靈活性簡介：業(yè)務(wù)持續(xù)性是用來確保 IT 組織的業(yè)務(wù)在遇到災(zāi)難的情況下可以正常運(yùn)行的活動(dòng)。當(dāng)一個(gè)組織使用了云服務(wù)之后， 維護(hù)業(yè)務(wù)持續(xù)性的職責(zé)便要授權(quán)給云服務(wù)提供商。這有可能會(huì)讓組織產(chǎn)生一個(gè)失去業(yè)務(wù)持續(xù)性控制的風(fēng)險(xiǎn)。(Pankaj，尚 卡爾)。關(guān)于服務(wù)的持續(xù)性和服務(wù)質(zhì)量（QoS），首先要確保有關(guān)的云計(jì)算擬議的合同解決方案

20、，以及服務(wù)等級(jí)協(xié)議。（盧多維奇）內(nèi)容：維護(hù)業(yè)務(wù)的持續(xù)性是一個(gè)公司或組織必須具備的操作預(yù)案，以確保一些關(guān)鍵的業(yè)務(wù)功能對(duì)客戶、提供商、監(jiān)管機(jī)構(gòu) 和其他必須能夠訪問這些功能的實(shí)體是可用的。這些活動(dòng)包括許多常規(guī)操作如項(xiàng)目管理、系統(tǒng)備份、控制更改和幫助臺(tái)(helpdesk)。靈活性是系統(tǒng)必須具備的一個(gè)特征，這使系統(tǒng)本身能夠適應(yīng)自然或人為事件所造成的災(zāi)難性故障后果。在非云端環(huán)境下，保證業(yè)務(wù)的連續(xù)性是公司或者組織的職責(zé)。公司或者組織理應(yīng)制定計(jì)劃，執(zhí)行業(yè)務(wù)連續(xù)性。因?yàn)?公司或組織擁有完備的IT 基礎(chǔ)設(shè)施，它有能力和資源開發(fā)有效的業(yè)務(wù)連續(xù)性計(jì)劃。在使用云的情況下，企業(yè)維護(hù)業(yè)務(wù)持續(xù)性的責(zé)任必須授權(quán)下放給云提供商。

21、組織失去了制定和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃 的控制權(quán)。因此在萬一出現(xiàn)災(zāi)難的情況下，在大的災(zāi)難發(fā)生時(shí)沒有足夠能力保證業(yè)務(wù)連續(xù)性的公司或組織可能會(huì)出現(xiàn)危 險(xiǎn)。對(duì)策：為了減輕這種風(fēng)險(xiǎn)，公司或組織在使用云的時(shí)候，應(yīng)該遵循下面幾點(diǎn)：確保完全理解客戶恢復(fù)時(shí)間目標(biāo)(Recovery Time Objectives :RTOs)被云提供商理解并將其明確的寫到合同關(guān)系中。確認(rèn)云提供商已經(jīng)實(shí)施了由其董事會(huì)董事核準(zhǔn)的業(yè)務(wù)連續(xù)性性策略。檢查一下云提供商是否已經(jīng)具備有效的管理支持和對(duì)業(yè)務(wù)連續(xù)性定期的審查程序。確認(rèn)一下云提供商的業(yè)務(wù)連續(xù)性程序是否已經(jīng)經(jīng)過認(rèn)證并且/或者能夠符合國際公認(rèn)的標(biāo)準(zhǔn)比如BS25999.然而，除了考慮以上的

22、危險(xiǎn)以外，如果一個(gè)公司或者組織自身就缺乏因?yàn)檫B續(xù)性的策略，那么如果使用了具備良好 業(yè)務(wù)連續(xù)性策略的云提供商提供的服務(wù)的話，該組織將從云的使用中受益。案例：windows Azure，微軟的云計(jì)算平臺(tái)，在 2009 年 3 月的曾經(jīng)中斷服務(wù)一個(gè)周末。如果你的公司使用了該服務(wù)，那么這次中斷服務(wù)對(duì)你的公司的運(yùn)營造成什么影響？微軟有職責(zé)去解決這個(gè)問題，而不是你們公司的 IT 團(tuán)隊(duì)。參考：無R5.用戶隱私與數(shù)據(jù)的第二用途簡介：用戶個(gè)人數(shù)據(jù)從使用社交網(wǎng)站開始就已經(jīng)存儲(chǔ)在云端了。大多數(shù)的社交網(wǎng)站對(duì)于如何處理用戶的個(gè)人數(shù)據(jù)都是模糊 不清的。此外，大多數(shù)的社交網(wǎng)站采用默認(rèn)共享所有（或者很少的限制）的策略來建立用

23、戶。例如通過LinkedIn、twitter、Facebook 等是非常容易推斷個(gè)人的詳細(xì)信息的。（維奈）你需要確定你的數(shù)據(jù)是否能夠被云服務(wù)提供商用于其他目的。包括能夠直接從提供商獲得的用戶數(shù)據(jù)和間接基于用 戶行為分析出來的數(shù)據(jù)（點(diǎn)擊次數(shù)，鏈入鏈出的網(wǎng)址等）。許多社交應(yīng)用提供商挖掘用戶的數(shù)據(jù)來進(jìn)行二次使用，比如 做針對(duì)性的廣告等。因此，當(dāng)我們使用 Gmail、hotmail 或yahoo 把我們的假期計(jì)劃告訴給朋友時(shí)，就馬上會(huì)看到靠近我們目的地的旅店或者航班的廣告也就不用奇怪了。（維奈，奧雅納）內(nèi)容：隱私是本地的，可是數(shù)據(jù)流向的云端確實(shí)全球的。現(xiàn)在個(gè)人和規(guī)章都希望和要求他們本地的預(yù)期值能夠在共

24、享/全 球的云上匯合。什么是隱私數(shù)據(jù)？能夠唯一標(biāo)識(shí)一個(gè)人和他/她的行為和活動(dòng)的數(shù)據(jù)。不同的國家和地區(qū)有著不同的隱私條例。Google 和其他社交網(wǎng)站收集隱私數(shù)據(jù)并利用它。它會(huì)導(dǎo)致什么損失？用戶根本不知道這一切是怎么發(fā)生的谷歌的隱私策略。數(shù)據(jù)不再存放在企業(yè)的物理意義上的場所內(nèi)，因此也就不再會(huì)有有效的網(wǎng)絡(luò)邊界控制。這種轉(zhuǎn)變表明我們需要云服 務(wù)提供商(CSP)提供數(shù)據(jù)中心的安全模型和擴(kuò)展的可信邊界的必要性。另外，隱私和管理的服從要求 CSP 擴(kuò)展和驅(qū)動(dòng)更強(qiáng)的內(nèi)部安全控制比如薩班斯法案，支付卡行業(yè)以及健康保險(xiǎn)流通與責(zé)任法案。隨著網(wǎng)絡(luò)空間和使用社交媒體的合作的指 數(shù)級(jí)增長，安全討論方面的焦點(diǎn)集中在隱私關(guān)

25、注方面。然而企業(yè)的領(lǐng)導(dǎo)希望在不改變風(fēng)險(xiǎn)偏好的情況下，能夠享受到云 計(jì)算帶來的好處。企業(yè)的領(lǐng)導(dǎo)必須權(quán)衡自我擁有的低成本和改善的功能，即時(shí)的市場優(yōu)勢和對(duì)隱私和數(shù)據(jù)的保護(hù)需 求。本文會(huì)提供當(dāng)企業(yè)采用了云計(jì)算之后，如何管理安全和隱私風(fēng)險(xiǎn)的信息和方法。在云計(jì)算中，一個(gè)最大的挑戰(zhàn)是最小 化企業(yè)的風(fēng)險(xiǎn)。第一步是評(píng)估和審視云基礎(chǔ)設(shè)施中數(shù)據(jù)管理的隱私需求。 CSP 的隱私評(píng)估需要考慮安全控制是否存 在，包括物理存儲(chǔ)和數(shù)據(jù)跨云的分發(fā)。工作于不同的安全方案，作者們必須設(shè)計(jì)一個(gè)使用“隱私安全矩陣”的評(píng)估方 法。這個(gè)矩陣映射 PII 數(shù)據(jù)元素到對(duì)應(yīng)的區(qū)域做安全控制。將 CSPs 的安全和隱私需求以及協(xié)議轉(zhuǎn)換為 SLAs

26、，并督促提 供商對(duì)其進(jìn)行實(shí)現(xiàn)。同樣，企業(yè)可能需要更新隱私策略，與用戶社區(qū)進(jìn)行溝通（公司的律師和HR 可能并不喜歡這么 做）。最后，對(duì)正在進(jìn)行的風(fēng)險(xiǎn)管理和順從，云提供商擴(kuò)展一個(gè)有效的監(jiān)控和可審計(jì)的程序是非常必要的。程序流程應(yīng)該 有明確和可的量化的標(biāo)準(zhǔn)，保證隱私和安全程序的有效性?？偟膩碚f，作者在評(píng)估 CSPs 的安全隱私風(fēng)險(xiǎn)以及他們開發(fā)的方法中的親身體會(huì)是它會(huì)幫助潛在的和正在使用云計(jì)算的用戶，當(dāng)使用云的時(shí)候，學(xué)會(huì)如何有效的管理安全和隱私風(fēng) 險(xiǎn)。對(duì)策： 無案例： 無參考：. HYPERLINK http:/www.privacyconference2007.gc.ca/workbooks/pres

27、_infosession1_01_abrams_e.pdf http:/www.privacyconference2007.gc.ca/workbooks/pres_infosession1_01_abrams_e.pdfR6.服務(wù)和數(shù)據(jù)傳輸安全簡介：組織必須確保它們的私有數(shù)據(jù)在終端用戶和云數(shù)據(jù)中心之間進(jìn)行傳輸?shù)倪^程中是得到充分的保護(hù)的。所有的組織都 應(yīng)當(dāng)考慮數(shù)據(jù)在傳輸過程中被截取的問題，因?yàn)楫?dāng)數(shù)據(jù)通過互聯(lián)網(wǎng)上傳輸時(shí)，組織利用云計(jì)算模式存在更大的風(fēng)險(xiǎn)。 在傳輸過程中，不安全的數(shù)據(jù)是容易遭到竊聽和篡改的。（尚卡爾，奧雅納）內(nèi)容：Gartner 公司發(fā)布了大量的關(guān)于云服務(wù)中間商即所謂的云服務(wù)經(jīng)紀(jì)人

28、(cloud services brokerages)的研究。這項(xiàng)研究提高和豐富了云服務(wù)的性能并對(duì)云能夠被正式通過有一定幫助。云服務(wù)提商必須向正在計(jì)劃采用云服務(wù)的消費(fèi)者保證他們的私有數(shù)據(jù)數(shù)據(jù)是收到充分的保護(hù)的。就像終端用戶和云 數(shù)據(jù)中心通過internet 進(jìn)行數(shù)據(jù)傳輸。云計(jì)算模型增加了數(shù)據(jù)在傳輸過程中被竊聽的風(fēng)險(xiǎn)，盡管這種風(fēng)險(xiǎn)并不僅僅局限于云。云提供商必須使用 SSL 和/或更加嚴(yán)格的加密協(xié)議來保證數(shù)據(jù)在傳輸過程中的安全。日益復(fù)雜的集成度和云計(jì)算中的動(dòng)態(tài)數(shù)據(jù)是及時(shí)診斷和解決事故比如通過惡意軟件的檢測和及時(shí)的入侵響應(yīng)來緩解影響的重要挑戰(zhàn)。對(duì)策無案例無參考1.Babcock, C. (2009

29、年 9 月). Hybrid Clouds. InformationWeek,(1240), 1519. 取自 2009 年 12 月 20 號(hào), from ABI/INFORM Global. （文件編號(hào)：1865633581）.2.Byrne, T. (2009, April). Clouding Over. EContent, 32(3), 37. Retrieved December 20, 2009, from ABI/INFORM Global. (Document ID: 1675328451). de Assuncao, M. D., di Costanzo, A., & Bu

30、yya, R. (2009). Evaluating the costbenefit of using cloud computing to extend the capacity of clusters. Paper presented at the HPDC 09: Proceedings of the 18th ACM International Symposium on High Performance Distributed Computing, Garching, Germany. 141150.3.Hoover, J. (2009, April). 通用電氣公司提出向云模型試驗(yàn)，

31、信息周刊，（1226），3233。取自 2009 年 12 月 20號(hào)，來自ABI/INFORM Global。（文件編號(hào)：1682898981）。4.Gupta, R., Prasad, K. H., Luan, L., Rosu, D., & Ward, C. (2009). Multidimensional knowledge integration for efficient incident management in a services cloud。發(fā)表在 SCC09(2009 年 IEEE 國際服務(wù)計(jì)算會(huì)議論文集)的論文， 5764。5.Christodorescu, M.,

32、Sailer, R., Schales, D. L., Sgandurra, D., & Zamboni, D. (2009). 云安全不（僅僅）虛擬化安全：一個(gè)發(fā)表在(CCSW09) 美國伊利諾伊州芝加哥 2009 年 ACM 云計(jì)算安全研討會(huì)論文集中簡短的論文。R7.多租戶和物理安全簡介：多重租賃的云服務(wù)意味著在多個(gè)客戶端之間共享資源和服務(wù)（CPU 資源、網(wǎng)絡(luò)帶寬、空間容量、數(shù)據(jù)庫、應(yīng)用程序池）。它需要加入對(duì)邏輯的隔離和其它控制等可靠的功能來確保一個(gè)用戶不能有意或無意地妨礙其他用戶保密性、整體 性、可用性等方面的安全。（維奈，Pankaj）內(nèi)容：云中多租戶指共享資源和服務(wù)來運(yùn)行軟件，來服務(wù)

33、大量用戶和組織(租戶)。它指物理資源(如計(jì)算、網(wǎng)絡(luò)、存儲(chǔ))和 服務(wù)共享，而且管理功能和支持和可以共享。對(duì)云提供商來說，在多用戶中共享和重新使用資源來降低成本是一個(gè)大的 利益驅(qū)動(dòng)。在一個(gè)多用戶的環(huán)境中，更多的安全取決于邏輯的(在應(yīng)用層面上)而不是資源的物理隔離，一些云供應(yīng)為了多個(gè)用 戶，可能不允許某個(gè)特別的用戶在共享的結(jié)構(gòu)中審計(jì)和評(píng)估。1、 不適當(dāng)?shù)倪壿嫲踩刂疲何锢碣Y源(CPU、網(wǎng)絡(luò)、存儲(chǔ)/數(shù)據(jù)庫、應(yīng)用棧)在多用戶中共享，也就是說依賴邏輯的隔離和其他控制來保證某個(gè)用戶無法妨礙其他用戶的安全(保密性、完整性、可用性)。2 惡意的或者無知的用戶：如果供應(yīng)者(如軟件)在多用戶中存在比較弱的不合理的控

34、制，那么某個(gè)惡意的或者無知的用戶可能降低其他用戶的安全性。2、 共享資源可能成為故障點(diǎn)：如果供應(yīng)者沒有很好地構(gòu)建共用服務(wù)，這樣由于某個(gè)用戶錯(cuò)誤或者濫用共有服務(wù)，很容易成為單一故障點(diǎn)；3、 不協(xié)調(diào)的變更控制和錯(cuò)誤配置，當(dāng)多用戶正在共享底層結(jié)構(gòu)時(shí)，所有的變更均需要協(xié)調(diào)和測試；4、 混合用戶數(shù)據(jù)：為了減少成本，提供者可能把多個(gè)用戶的數(shù)據(jù)存儲(chǔ)在相同的數(shù)據(jù)庫單元和備份單元。尤其是如果用戶數(shù)據(jù)存儲(chǔ)在共享的媒介里(如數(shù)據(jù)庫、備份空間、案卷保管處)，一旦數(shù)據(jù)毀壞，多用戶均面臨挑戰(zhàn)；5、 性能風(fēng)險(xiǎn)：某個(gè)用戶對(duì)服務(wù)大量應(yīng)用，會(huì)影響其他用戶應(yīng)用該服務(wù)的質(zhì)量；6、 Xaas 特殊風(fēng)險(xiǎn)：Saas(softwareasa

35、service):多個(gè)客戶端(租戶)可能共享一個(gè)應(yīng)用軟件棧(數(shù)據(jù)庫、app/web 服務(wù)器、網(wǎng)絡(luò))。那意味著多用戶的數(shù)據(jù)可能存儲(chǔ)在同一個(gè)數(shù)據(jù)庫，可能一起備份和一起存檔，可能移向共同的網(wǎng)絡(luò)設(shè)備(未加密的)，而且被共同的 程序處理。這就更加強(qiáng)調(diào)了在應(yīng)用軟件之間的邏輯安全構(gòu)建，來分離本用戶和其他用戶。Paas(Platformasaservice): 多個(gè)用戶共享平臺(tái)棧。攻擊平臺(tái)?？赡軙?huì)導(dǎo)致用戶之間共享數(shù)據(jù)備份和存檔的質(zhì)量問題；Iaas(Infrastructurasaservice)：交叉虛擬機(jī)器的攻擊，交叉網(wǎng)絡(luò)通信的監(jiān)聽。這會(huì)發(fā)生經(jīng)常處于低安全性狀態(tài)的設(shè)備，這會(huì)發(fā)生經(jīng)常在不被關(guān)心它們主機(jī)的硬件和

36、系統(tǒng)補(bǔ)丁的低安全性狀態(tài)的設(shè)備上面。特別是當(dāng)這些主機(jī)被攻擊和控制 時(shí)，會(huì)存在這種風(fēng)險(xiǎn)。對(duì)策：1、 對(duì)多用戶進(jìn)行構(gòu)建：提供者需要提供多用戶的架構(gòu)，而不是單純使用那些不是為多租戶設(shè)計(jì)的服務(wù)。多用戶的構(gòu)建應(yīng)該考慮合理的劃分，加強(qiáng)通用的服務(wù)和故障單點(diǎn)，同時(shí)給消費(fèi)者(用戶)提供更多的透明度。2、 數(shù)據(jù)加密：對(duì)數(shù)據(jù)進(jìn)行加密以及對(duì)各個(gè)用戶的數(shù)據(jù)進(jìn)行隔離。要求用戶的密鑰管理對(duì)數(shù)據(jù)進(jìn)行加密、在一個(gè)虛擬的環(huán)境中這意味著每個(gè)用戶的密鑰管理在每臺(tái)虛擬機(jī)進(jìn)行加密，而不是提供者進(jìn)行加密。3、 變更控制管理：需要對(duì)所有的變更(尤其是通用共享的服務(wù)變更)進(jìn)行很好的計(jì)劃，快速釋放使用資源使用戶進(jìn)入新的基礎(chǔ)設(shè)施。對(duì)于 SaaS 提

37、供商(或者 SaaS 模式)來說，用戶需要日益的想新的基礎(chǔ)設(shè)施融合，(對(duì)這些行為，提供者需要計(jì)劃額外的資源)提供者需要有多用戶到基層資源和服務(wù)的映射表，以至于基層資源的任何變 更均被很好的計(jì)劃。4、 透明性/管理審計(jì)：用戶需要知道管理者有權(quán)訪問它們的資源/服務(wù)。其中之一的辦法就是允許具有審計(jì)能力的管理者訪問棧的各個(gè)層(操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用軟件、數(shù)據(jù)庫)，這些層是可以被用戶審計(jì)的。提供者可能仍在 管理，但是在很嚴(yán)格的可審計(jì)環(huán)境中進(jìn)行管理；5、 虛擬個(gè)人云(VPC):它是私人云存在于一個(gè)公共的或者共享的云中。一個(gè) VPC 是把一公共云分割成孤立的虛擬基礎(chǔ)設(shè)施和鏈接方法，通過加密的網(wǎng)絡(luò)鏈接來回到多用

38、戶的內(nèi)在資源。6、 第三方評(píng)估：可以輪流評(píng)估或契約，如果每個(gè)消費(fèi)者由于安全考慮而要求審計(jì)，但提供者有不允許時(shí)除外。7、 隔離用戶：用戶能一直想云提供商協(xié)商或要求擁有它們自己的隔離物理基礎(chǔ)設(shè)施，數(shù)據(jù)庫、存儲(chǔ)、網(wǎng)絡(luò)， 在安全領(lǐng)域，隔離起來重要作用，但是他確實(shí)增加了用戶/客戶的成本。案例：2010 年 6 月WordPress 平臺(tái) 大面積不能訪問，覆蓋高端的博客站點(diǎn)(例如 CNN Techcrunch)的WordPress 系統(tǒng)，3 個(gè)數(shù)據(jù)中心(1300 個(gè)服務(wù)器，千萬博客)發(fā)生了損壞，這僅僅是由于程序員修改了配置(數(shù)據(jù)庫)，這對(duì)云博客服務(wù)的大量用戶造成了沖擊。參考：1. HYPERLINK /c

39、hucks_blog/2010/01/thoughts /chucks_blog/2010/01/thoughtsonsecuremultitenancy.html2. HYPERLINK /vpc/ /vpc/3. HYPERLINK /2008/05/virtual /2008/05/virtualprivatecloudvpc.html4. HYPERLINK /thomas_bittman/2009/01/08/virtual /thomas_bittman/2009/01/08/virtualcloudprivacyisgray/5. HYPERLINK /tromer/papers

40、/cloudsec.pdf /tromer/papers/cloudsec.pdf6. HYPERLINK /csaguide.pdf /csaguide.pdf7. HYPERLINK /2010/06/11/wordpress /2010/06/11/wordpressandthedarksideofmultitenancy/8. HYPERLINK /2010/06/10/wordpress /2010/06/10/wordpressgivesustheviptreatmentgoesdownonusagain/9. HYPERLINK /2010/06/14/wordpress /20

41、10/06/14/wordpressoutagefeedback/10. HYPERLINK /2010/06/14/downtime/ /2010/06/14/downtime/11. HYPERLINK /14980/security /14980/securityrisksofmultitenancy/12. HYPERLINK /video/Multitenant /video/MultitenantMagicUndertheCov13. HYPERLINK /nati_shaloms_blog/2010/03/multitenancy /nati_shaloms_blog/2010/

42、03/multitenancydoesithavetobethathard.htmlR8.影響范圍分析和法律支持簡介：發(fā)生信息安全事件時(shí)，在同一個(gè)云提供商上部署的應(yīng)用程序和托管服務(wù)可能難以追查記錄，因?yàn)槿罩居涗浛赡芊稚?到多臺(tái)主機(jī)和數(shù)據(jù)中心，這些不同的主機(jī)和數(shù)據(jù)中心可能位于不同的國家，因此受不同的法律管制著。 此外，由于屬于多個(gè)客戶的日志文件和數(shù)據(jù)可能共同位于相同的硬件和存儲(chǔ)設(shè)備，因此，需要加強(qiáng)對(duì)執(zhí)法部門和取證恢復(fù)技術(shù)的關(guān) 注。(尚卡爾，奧雅納)內(nèi)容： 無對(duì)策： 無案例： 無參考： 無R9.基礎(chǔ)設(shè)施安全簡介：發(fā)生信息安全事件時(shí)，在同一個(gè)云提供商上部署的應(yīng)用程序和托管服務(wù)可能難以追查記錄，因?yàn)槿?/p>

43、志記錄可能分散 到多臺(tái)主機(jī)和數(shù)據(jù)中心，這些不同的主機(jī)和數(shù)據(jù)中心可能位于不同的國家，因此受不同的法律管制著。 此外，由于屬于多個(gè)客戶的日志文件和數(shù)據(jù)可能共同位于相同的硬件和存儲(chǔ)設(shè)備，因此，需要加強(qiáng)對(duì)執(zhí)法部門和取證恢復(fù)技術(shù)的關(guān) 注。(尚卡爾，奧雅納)內(nèi)容：雖然上述條目的細(xì)節(jié)必須被視為高度敏感的信息，但是也有理由期望客戶愿意去了解高層次的細(xì)節(jié)也是情有可原 的。提供商必須愿意提供這些信息?；趹?yīng)用的數(shù)據(jù)安全完全取決于構(gòu)成基礎(chǔ)設(shè)施的組件構(gòu)成的應(yīng)用程序平臺(tái)的安全性。未能采取“最佳實(shí)踐“考慮的 后果可能導(dǎo)致的數(shù)據(jù)，名譽(yù)，或可用性損失，甚至有可能帶來監(jiān)管/法律的后果。系統(tǒng)和網(wǎng)絡(luò)設(shè)備的默認(rèn)配置。剛出廠的系統(tǒng)，應(yīng)用或網(wǎng)絡(luò)設(shè)備很可能運(yùn)行的是軟件的舊版本，并沒有進(jìn)行最新的 安全更新。而且，標(biāo)準(zhǔn)配置，密碼，漏洞等是眾所周知的，這些細(xì)節(jié)在互聯(lián)網(wǎng)上自由傳播，這意味著這些系統(tǒng)將 更容易被利用。所有的服務(wù)，甚至活躍而未使用的，都有可能包含潛在被利用的安全相關(guān)的漏洞，而惡意組織正通過互聯(lián)網(wǎng)進(jìn)行 主動(dòng)的掃描。這些服務(wù)的運(yùn)行，即使實(shí)際上是毫無目的的，也會(huì)因此而不必要地增加組織基礎(chǔ)設(shè)施成為漏洞利用 目標(biāo)的可能性。被利用的服務(wù)如果不被控制，