云計(jì)算安全常見問題及對(duì)策

云計(jì)算安全常見問題及對(duì)策

目錄R1. 問責(zé)制和所有權(quán) 4簡(jiǎn)介： 4內(nèi)容： 4對(duì)策： 4案例： 5參考：無 5內(nèi)容：無 6內(nèi)容： 7對(duì)策：無 7R4. 業(yè)務(wù)持續(xù)性和靈活性 8簡(jiǎn)介： 8內(nèi)容： 8對(duì)策： 8案例： 8參考： 8R5. 用戶隱私與數(shù)據(jù)的第二用途 9簡(jiǎn)介： 9內(nèi)容： 9對(duì)策：無 10R6. 服務(wù)和數(shù)據(jù)傳輸安全 11簡(jiǎn)介： 11內(nèi)容： 11參考 11R7. 多租戶和物理安全 13簡(jiǎn)介： 13內(nèi)容： 13對(duì)策： 13案例： 14參考： 14R8. 影響范圍分析和法律支持 15簡(jiǎn)介： 15內(nèi)容：無 15內(nèi)容： 16對(duì)策： 16案例：無 17R10.非生產(chǎn)環(huán)境暴露 18簡(jiǎn)介： 18內(nèi)容： 18對(duì)策： 18案例：無 18

R1. 問責(zé)制和所有權(quán)簡(jiǎn)介：對(duì)于一個(gè)組織來說，傳統(tǒng)的數(shù)據(jù)中心是完全可控的。這個(gè)組織可以在邏輯上和物理上保護(hù)他們所擁有的數(shù)據(jù)。一個(gè)組織如果選擇去使用一個(gè)公開的云來托管業(yè)務(wù)服務(wù)，這樣會(huì)失去對(duì)他們自己數(shù)據(jù)的控制權(quán)。這會(huì)造成嚴(yán)重的安全威脅，該組織需要認(rèn)真考慮并解決它。（Pankaj，維奈）內(nèi)容：對(duì)于一個(gè)組織來說，傳統(tǒng)的數(shù)據(jù)中心是完全被這個(gè)組織控制的，這個(gè)組織可以在邏輯和物理上保護(hù)他們的數(shù)據(jù)。組織可以選擇一個(gè)的云提供商來托管他們的業(yè)務(wù)，但他們這樣會(huì)失去對(duì)自己數(shù)據(jù)的控制。這可能會(huì)造成嚴(yán)重的安全威脅，所以組織需要認(rèn)真考慮并作出恰當(dāng)?shù)臎Q策。威脅的嚴(yán)重程度是由存儲(chǔ)在云端的數(shù)據(jù)的重要性決定的，例如BLOG、微博、公共新聞以及新聞組信息這些公開的信息就是不敏感的的數(shù)據(jù)，所以在云中托管這些數(shù)據(jù)的風(fēng)險(xiǎn)是很低的。相反，像個(gè)人健康記錄、犯罪記錄、信用記錄和工資信息是高度敏感的業(yè)務(wù)數(shù)據(jù)，如果這些數(shù)據(jù)被泄露，會(huì)導(dǎo)致很嚴(yán)重的商業(yè)和法律后果，因此在云中托管這些數(shù)據(jù)會(huì)有非常高的風(fēng)險(xiǎn)。由于云中的數(shù)據(jù)由云提供商控制，所以首要的問題是確保存儲(chǔ)數(shù)據(jù)的保密性，加密技術(shù)可以被用來確保保密性，如果云提供商使用多租戶架構(gòu)，應(yīng)當(dāng)為云中的每個(gè)用戶提供單獨(dú)的加密密鑰。云提供商可能會(huì)把用戶的數(shù)據(jù)存放在不同的國(guó)家，這也會(huì)帶來一些風(fēng)險(xiǎn)，因?yàn)槊總€(gè)國(guó)家都會(huì)有它自己的法律體系，云提供商運(yùn)營(yíng)的業(yè)務(wù)都要遵循它所在地區(qū)的法律體系，某些國(guó)家的法律也許會(huì)強(qiáng)制云提供商向司法人員提供某些數(shù)據(jù)和密鑰。數(shù)據(jù)的存放位置也會(huì)增加額外的經(jīng)濟(jì)成本，如銷售訂單需要繳納稅點(diǎn)，而且可能無法獲得這個(gè)國(guó)家提供的最低稅率的優(yōu)惠，因?yàn)樵铺峁┥炭赡馨褦?shù)據(jù)存放在任何國(guó)家和地區(qū)。云提供商可能把用戶的數(shù)據(jù)存放在他們的辦公場(chǎng)所，或者租用一個(gè)基礎(chǔ)設(shè)施（IAAS）作為提供數(shù)據(jù)存儲(chǔ)的地方。提供商可能采用多租戶架構(gòu)，在一個(gè)物理存儲(chǔ)中存放許多的云用戶數(shù)據(jù)。這種架構(gòu)可能缺少必要的控制，以確保云的用戶只能訪問屬于自己的數(shù)據(jù)，而不會(huì)訪問到其他用戶的數(shù)據(jù)。如果云用戶之間在商業(yè)上有競(jìng)爭(zhēng)關(guān)系，那么缺乏這種控制會(huì)給用戶帶來嚴(yán)重的商業(yè)風(fēng)險(xiǎn)。當(dāng)一個(gè)請(qǐng)求要?jiǎng)h除一些數(shù)據(jù)的時(shí)候，云提供商可能只是名義上把它刪除，并留下可以用來重建原始數(shù)據(jù)的痕跡。這些數(shù)據(jù)可能被偷走、并且被濫用，給云中的用戶造成嚴(yán)重威脅。對(duì)策：為了降低各種數(shù)據(jù)的相關(guān)風(fēng)險(xiǎn)，使用云計(jì)算來開展服務(wù)的組織應(yīng)當(dāng)做到以下幾點(diǎn)：明確云提供商是如何確保數(shù)據(jù)安全，以及是如何去檢測(cè)和報(bào)告一個(gè)威脅。明確數(shù)據(jù)存儲(chǔ)的地理位置，以及確保提供商不會(huì)把數(shù)據(jù)存儲(chǔ)在一個(gè)受相關(guān)限制的國(guó)家中。明確第三方機(jī)構(gòu)或當(dāng)?shù)卣谑裁辞闆r下可以從云提供商處抓取或沒收數(shù)據(jù)，當(dāng)出現(xiàn)此類事件時(shí)提供商應(yīng)及時(shí)提前通知用戶。HIPPA隱私法的相關(guān)問題。默認(rèn)情況下提供商拒絕所有對(duì)用戶數(shù)據(jù)的訪問，用戶組織可以給需要訪問的對(duì)象給予指定和明確的授權(quán)。云提供商要對(duì)靜態(tài)和傳輸過程中的數(shù)據(jù)進(jìn)行加密。明確云提供商是如何管理不同用戶的密鑰。提供商應(yīng)當(dāng)為每個(gè)用戶使用一個(gè)加密密鑰，而不是對(duì)所有用戶使用相同密鑰。核實(shí)云提供商對(duì)刪除的數(shù)據(jù)已經(jīng)進(jìn)行了徹底的銷毀，不能再通過任何方式恢復(fù)出來。如果數(shù)據(jù)被破壞，確保云提供商承擔(dān)賠償。案例：2009715日，Twitter透露一個(gè)黑客通過劫持Twitter員工的郵件賬戶獲取了存儲(chǔ)在GoogleApps上的大量公司數(shù)據(jù)。盡管這次破壞是由于弱口令和密碼重置造成的，不過這一事件已引起新的有關(guān)云計(jì)算安全和隱私問題更廣泛的關(guān)注。參考：無R2. 用戶身份統(tǒng)一簡(jiǎn)介：當(dāng)企業(yè)需要轉(zhuǎn)移服務(wù)和應(yīng)用到不同云服務(wù)提供商時(shí)，他們保持對(duì)自己的用戶身份控制是非常重要的，而不是讓云服務(wù)提供商創(chuàng)建多個(gè)不同的身份，這會(huì)導(dǎo)致管理變的越來越復(fù)雜。用戶應(yīng)當(dāng)具有一個(gè)可在不同的云服務(wù)提供商間通用的唯一的身份驗(yàn)證（如SAML），這樣用戶即可不需要管理眾多賬號(hào)和證書，很好的提高了用戶的使用體驗(yàn)。這使得后端數(shù)據(jù)在不同云提供商之間的整合變得更加容易。（維奈，Pankaj）內(nèi)容：無對(duì)策：無案例：無參考：無R3. 合規(guī)性簡(jiǎn)介：復(fù)雜的合規(guī)性說明。數(shù)據(jù)在一個(gè)國(guó)家可能被認(rèn)為是安全的，在另一個(gè)國(guó)家可能被認(rèn)為是不安全的，這是因?yàn)椴煌膰?guó)家或地區(qū)的監(jiān)管法律是不同的。舉例來說，歐盟有非常嚴(yán)格的隱私法，因此存放在美國(guó)的數(shù)據(jù)可能不符合歐盟的法律條款。（尚卡爾，奧雅納）內(nèi)容：用戶最終為了安全和遵從監(jiān)管法規(guī)，把他們自己的應(yīng)用托管在云中。數(shù)據(jù)服務(wù)和應(yīng)用所有者必須及時(shí)到位的提出審計(jì)計(jì)劃，確保用戶對(duì)托管在云提供商處的應(yīng)用和基礎(chǔ)設(shè)施有適當(dāng)?shù)目刂茩?quán)。不少公司在計(jì)劃采用云技術(shù)（如SaaS，Iaas，Paas等），必須確保他們的云提供商了解各自的角色和職責(zé)（RACI等），從而幫助用戶遵從適當(dāng)?shù)谋O(jiān)管法規(guī)和標(biāo)準(zhǔn)（政府和商業(yè)）。IT經(jīng)理可能會(huì)害怕把數(shù)據(jù)給云提供商而失去對(duì)數(shù)據(jù)的控制，因?yàn)槿鄙偻该鞯臋C(jī)制運(yùn)提供商可能為了符合監(jiān)管法規(guī)而在用戶不同意的的情況下改變他們的底層技術(shù)和實(shí)現(xiàn)。IT組織應(yīng)當(dāng)分析是否應(yīng)該將風(fēng)險(xiǎn)管理框架包括數(shù)據(jù)保護(hù)和合規(guī)性要求應(yīng)用到云中，并確認(rèn)通過數(shù)據(jù)保護(hù)，可用性和密鑰管理等方式更好的界定服務(wù)水平協(xié)議的可行性。對(duì)策：無案例：無參考：[1].Anthes,G（20091月），saas43(1)21‐22.200989日，ABI/INFORMGlobal.(文件編號(hào)：1626575741)。[2].Business：PainintheaaS；計(jì)算機(jī)安全（20084月），經(jīng)濟(jì)學(xué)家，387（8577），86200989日，ABI公司/INFORMGlobal.。.(文件編號(hào)：1469385981)[3].Gartner:七大云計(jì)算安全風(fēng)險(xiǎn)：/article/423713/Gartner_Seven_Cloud_Computing_Security_Risks?page=1&taxonomyId=1419[4].Google：云計(jì)算比傳統(tǒng)IT技術(shù)更安全：\h/Articles/2009/07/21/236982/cloud‐computing‐more‐secure‐than‐traditional‐it‐says.htm[5].云計(jì)算安全問題TOP5：\h/Articles/2009/04/24/235782/top‐five‐cloud‐computing‐security‐issues.htm[6].云安全聯(lián)盟：\h/csaguide.pdf[7].奧沙利文,D.(2009)互聯(lián)網(wǎng)云的一線希望英國(guó)行政管理雜志。[8].Chow,R.Golle,P.JakobssonM.,Shi,E.StaddonJ.,MasuokaR.&Molina,J.2009).云中的數(shù)據(jù)控制：外包數(shù)據(jù)而非外2009CCSW2009年美國(guó)芝加哥，伊利諾伊州，ACM研討會(huì)論文集[9].Getgen,K.(2009,October)2009加密和密鑰管理的行業(yè)標(biāo)準(zhǔn)的報(bào)告，TrustCatalyst白皮書數(shù)據(jù)保護(hù)中的風(fēng)險(xiǎn)管理.R4. 業(yè)務(wù)持續(xù)性和靈活性簡(jiǎn)介：業(yè)務(wù)持續(xù)性是用來確保IT組織的業(yè)務(wù)在遇到災(zāi)難的情況下可以正常運(yùn)行的活動(dòng)。當(dāng)一個(gè)組織使用了云服務(wù)之后，維護(hù)業(yè)務(wù)持續(xù)性的職責(zé)便要授權(quán)給云服務(wù)提供商。這有可能會(huì)讓組織產(chǎn)生一個(gè)失去業(yè)務(wù)持續(xù)性控制的風(fēng)險(xiǎn)。(Pankaj，尚卡爾)。關(guān)于服務(wù)的持續(xù)性和服務(wù)質(zhì)量（QoS），首先要確保有關(guān)的云計(jì)算擬議的合同解決方案，以及服務(wù)等級(jí)協(xié)議。（盧多維奇）內(nèi)容：維護(hù)業(yè)務(wù)的持續(xù)性是一個(gè)公司或組織必須具備的操作預(yù)案，以確保一些關(guān)鍵的業(yè)務(wù)功能對(duì)客戶、提供商、監(jiān)管機(jī)構(gòu)和其他必須能夠訪問這些功能的實(shí)體是可用的。這些活動(dòng)包括許多常規(guī)操作如項(xiàng)目管理、系統(tǒng)備份、控制更改和幫助臺(tái)(helpdesk)。靈活性是系統(tǒng)必須具備的一個(gè)特征，這使系統(tǒng)本身能夠適應(yīng)自然或人為事件所造成的災(zāi)難性故障后果。在非云端環(huán)境下，保證業(yè)務(wù)的連續(xù)性是公司或者組織的職責(zé)。公司或者組織理應(yīng)制定計(jì)劃，執(zhí)行業(yè)務(wù)連續(xù)性。因?yàn)楣净蚪M織擁有完備的IT基礎(chǔ)設(shè)施，它有能力和資源開發(fā)有效的業(yè)務(wù)連續(xù)性計(jì)劃。在使用云的情況下，企業(yè)維護(hù)業(yè)務(wù)持續(xù)性的責(zé)任必須授權(quán)下放給云提供商。組織失去了制定和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃的控制權(quán)。因此在萬一出現(xiàn)災(zāi)難的情況下，在大的災(zāi)難發(fā)生時(shí)沒有足夠能力保證業(yè)務(wù)連續(xù)性的公司或組織可能會(huì)出現(xiàn)危險(xiǎn)。對(duì)策：為了減輕這種風(fēng)險(xiǎn)，公司或組織在使用云的時(shí)候，應(yīng)該遵循下面幾點(diǎn)：確保完全理解客戶恢復(fù)時(shí)間目標(biāo)(RecoveryTimeObjectives:RTOs)被云提供商理解并將其明確的寫到合同關(guān)系中。確認(rèn)云提供商已經(jīng)實(shí)施了由其董事會(huì)董事核準(zhǔn)的業(yè)務(wù)連續(xù)性性策略。檢查一下云提供商是否已經(jīng)具備有效的管理支持和對(duì)業(yè)務(wù)連續(xù)性定期的審查程序。確認(rèn)一下云提供商的業(yè)務(wù)連續(xù)性程序是否已經(jīng)經(jīng)過認(rèn)證并且/或者能夠符合國(guó)際公認(rèn)的標(biāo)準(zhǔn)比如BS25999.然而，除了考慮以上的危險(xiǎn)以外，如果一個(gè)公司或者組織自身就缺乏因?yàn)檫B續(xù)性的策略，那么如果使用了具備良好業(yè)務(wù)連續(xù)性策略的云提供商提供的服務(wù)的話，該組織將從云的使用中受益。案例：windowsAzure，微軟的云計(jì)算平臺(tái)，在2009年3月的曾經(jīng)中斷服務(wù)一個(gè)周末。如果你的公司使用了該服務(wù)，那么這次中斷服務(wù)對(duì)你的公司的運(yùn)營(yíng)造成什么影響？微軟有職責(zé)去解決這個(gè)問題，而不是你們公司的IT團(tuán)隊(duì)。參考：無R5. 用戶隱私與數(shù)據(jù)的第二用途簡(jiǎn)介：用戶個(gè)人數(shù)據(jù)從使用社交網(wǎng)站開始就已經(jīng)存儲(chǔ)在云端了。大多數(shù)的社交網(wǎng)站對(duì)于如何處理用戶的個(gè)人數(shù)據(jù)都是模糊不清的。此外，大多數(shù)的社交網(wǎng)站采用默認(rèn)共享所有（或者很少的限制）的策略來建立用戶。例如通過LinkedIn、twitter、Facebook等是非常容易推斷個(gè)人的詳細(xì)信息的。（維奈）你需要確定你的數(shù)據(jù)是否能夠被云服務(wù)提供商用于其他目的。包括能夠直接從提供商獲得的用戶數(shù)據(jù)和間接基于用戶行為分析出來的數(shù)據(jù)（點(diǎn)擊次數(shù)，鏈入鏈出的網(wǎng)址等）。許多社交應(yīng)用提供商挖掘用戶的數(shù)據(jù)來進(jìn)行二次使用，比如Gmail、hotmail或yahoo把我們的假期計(jì)劃告訴給朋友時(shí)，就馬上會(huì)看到靠近我們目的地的旅店或者航班的廣告也就不用奇怪了。（維奈，奧雅納）內(nèi)容：隱私是本地的，可是數(shù)據(jù)流向的云端確實(shí)全球的?，F(xiàn)在個(gè)人和規(guī)章都希望和要求他們本地的預(yù)期值能夠在共享/全球的云上匯合。什么是隱私數(shù)據(jù)？能夠唯一標(biāo)識(shí)一個(gè)人和他/她的行為和活動(dòng)的數(shù)據(jù)。不同的國(guó)家和地區(qū)有著不同的隱私條例。Google和其他社交網(wǎng)站收集隱私數(shù)據(jù)并利用它。它會(huì)導(dǎo)致什么損失？用戶根本不知道這一切是怎么發(fā)生的谷歌的隱私策略。提供數(shù)據(jù)中心的安全模型和擴(kuò)展的可信邊界的必要性。另外，隱私和管理的服從要求CSP擴(kuò)展和驅(qū)動(dòng)更強(qiáng)的內(nèi)部安全控制比如薩班斯法案，支付卡行業(yè)以及健康保險(xiǎn)流通與責(zé)任法案。隨著網(wǎng)絡(luò)空間和使用社交媒體的合作的指數(shù)級(jí)增長(zhǎng)，安全討論方面的焦點(diǎn)集中在隱私關(guān)注方面。然而企業(yè)的領(lǐng)導(dǎo)希望在不改變風(fēng)險(xiǎn)偏好的情況下，能夠享受到云計(jì)算帶來的好處。企業(yè)的領(lǐng)導(dǎo)必須權(quán)衡自我擁有的低成本和改善的功能，即時(shí)的市場(chǎng)優(yōu)勢(shì)和對(duì)隱私和數(shù)據(jù)的保護(hù)需求。本文會(huì)提供當(dāng)企業(yè)采用了云計(jì)算之后，如何管理安全和隱私風(fēng)險(xiǎn)的信息和方法。在云計(jì)算中，一個(gè)最大的挑戰(zhàn)是最小化CSP，包括物理存儲(chǔ)和數(shù)據(jù)跨云的分發(fā)。工作于不同的安全方案，作者們必須設(shè)計(jì)一個(gè)使用“隱私安全矩陣”的評(píng)估方法。PIICSPsSLAs公司的律師和HR）。最后，對(duì)正在進(jìn)行的風(fēng)險(xiǎn)管理和順從，云提供商擴(kuò)展一個(gè)有效的監(jiān)控和可審計(jì)的程序是非常必要的。程序流程應(yīng)該有明確和可的量化的標(biāo)準(zhǔn)，保證隱私和安全程序的有效性?？偟膩碚f，作者在評(píng)估CSPs的安全隱私風(fēng)險(xiǎn)以及他們開發(fā)的方險(xiǎn)。對(duì)策：無案例：無參考：.http://www.privacyconference2007.gc.ca/workbooks/pres_infosession1_01_abrams_e.pdfR6. 服務(wù)和數(shù)據(jù)傳輸安全簡(jiǎn)介：內(nèi)容：Gartner公司發(fā)布了大量的關(guān)于云服務(wù)中間商即所謂的云服務(wù)經(jīng)紀(jì)人(cloudservicesbrokerages)的研究。這項(xiàng)研究提高和豐富了云服務(wù)的性能并對(duì)云能夠被正式通過有一定幫助。云服務(wù)提商必須向正在計(jì)劃采用云服務(wù)的消費(fèi)者保證他們的私有數(shù)據(jù)數(shù)據(jù)是收到充分的保護(hù)的。就像終端用戶和云數(shù)據(jù)中心通過internet進(jìn)行數(shù)據(jù)傳輸。云計(jì)算模型增加了數(shù)據(jù)在傳輸過程中被竊聽的風(fēng)險(xiǎn)，盡管這種風(fēng)險(xiǎn)并不僅僅局限于云。云提供商必須使用SSL和/或更加嚴(yán)格的加密協(xié)議來保證數(shù)據(jù)在傳輸過程中的安全。日益復(fù)雜的集成度和云計(jì)算中的動(dòng)態(tài)數(shù)據(jù)是及時(shí)診斷和解決事故——比如通過惡意軟件的檢測(cè)和及時(shí)的入侵響應(yīng)來緩解影響——的重要挑戰(zhàn)。對(duì)策無案例無參考[1].Babcock,C.(20099月HybridClouds.InformationWeek,(1240),15‐19.20091220號(hào)fromABI/INFORMGlobal.（文件編號(hào)：1865633581）.[2].Byrne,T.(2009,April).CloudingOver.EContent,32(3),37.RetrievedDecember20,2009,fromABI/INFORMGlobal.(DocumentID:1675328451).deAssuncao,M.D.,diCostanzo,A.,&Buyya,R.(2009).Evaluatingthecost‐benefitofusingcloudcomputingtoextendthecapacityofclusters.PaperpresentedattheHPDC'09:Proceedingsofthe18thACMInternationalSymposiumonHighPerformanceDistributedComputing,Garching,Germany.141‐150.[3].Hoover,J.(2009,April).通用電氣公司提出向云模型試驗(yàn)，信息周刊，（1226），32‐33。取自2009年12月20號(hào)，來自ABI/INFORMGlobal。（文件編號(hào)：1682898981）。[4].Gupta,R.Prasad,K.HLuanL.Rosu,D.,&Ward,C.(2009)Multi‐dimensionalknowledgeintegrationforefficientincidentmanagementinaservicescloudSCC'09(2009IEEE國(guó)際服務(wù)計(jì)算會(huì)議論文集)57‐64。[5].Christodorescu,M.,Sailer,R.Schales,DL.Sgandurra,D&Zamboni,D2009).云安全不（僅僅）虛擬化安全：一個(gè)發(fā)表在(CCSW'09)2009ACM云計(jì)算安全研討會(huì)論文集中簡(jiǎn)短的論文。R7. 多租戶和物理安全簡(jiǎn)介：多重租賃的云服務(wù)意味著在多個(gè)客戶端之間共享資源和服務(wù)（CPU資源、網(wǎng)絡(luò)帶寬、空間容量、數(shù)據(jù)庫、應(yīng)用程序池）。它需要加入對(duì)邏輯的隔離和其它控制等可靠的功能來確保一個(gè)用戶不能有意或無意地妨礙其他用戶保密性、整體性、可用性等方面的安全。（維奈，Pankaj）內(nèi)容：云中多租戶指共享資源和服務(wù)來運(yùn)行軟件，來服務(wù)大量用戶和組織(租戶)。它指物理資源(如計(jì)算、網(wǎng)絡(luò)、存儲(chǔ))和服務(wù)共享，而且管理功能和支持和可以共享。對(duì)云提供商來說，在多用戶中共享和重新使用資源來降低成本是一個(gè)大的利益驅(qū)動(dòng)。在一個(gè)多用戶的環(huán)境中，更多的安全取決于邏輯的(在應(yīng)用層面上)而不是資源的物理隔離，一些云供應(yīng)為了多個(gè)用戶，可能不允許某個(gè)特別的用戶在共享的結(jié)構(gòu)中審計(jì)和評(píng)估。1、不適當(dāng)?shù)倪壿嫲踩刂疲何锢碣Y源(CPU、網(wǎng)絡(luò)、存儲(chǔ)/數(shù)據(jù)庫、應(yīng)用棧)在多用戶中共享，也就是說依賴邏輯的隔離和其他控制來保證某個(gè)用戶無法妨礙其他用戶的安全(保密性、完整性、可用性)。2惡意的或者無知的用戶：如果供應(yīng)者(如軟件)在多用戶中存在比較弱的不合理的控制，那么某個(gè)惡意的或者無知的用戶可能降低其他用戶的安全性。2、共享資源可能成為故障點(diǎn)：如果供應(yīng)者沒有很好地構(gòu)建共用服務(wù)，這樣由于某個(gè)用戶錯(cuò)誤或者濫用共有服務(wù)，很容易成為單一故障點(diǎn)；3、不協(xié)調(diào)的變更控制和錯(cuò)誤配置，當(dāng)多用戶正在共享底層結(jié)構(gòu)時(shí)，所有的變更均需要協(xié)調(diào)和測(cè)試；4、混合用戶數(shù)據(jù)：為了減少成本，提供者可能把多個(gè)用戶的數(shù)據(jù)存儲(chǔ)在相同的數(shù)據(jù)庫單元和備份單元。尤其是如果用戶數(shù)據(jù)存儲(chǔ)在共享的媒介里(如數(shù)據(jù)庫、備份空間、案卷保管處)，一旦數(shù)據(jù)毀壞，多用戶均面臨挑戰(zhàn)；5、性能風(fēng)險(xiǎn)：某個(gè)用戶對(duì)服務(wù)大量應(yīng)用，會(huì)影響其他用戶應(yīng)用該服務(wù)的質(zhì)量；6、Xaas特殊風(fēng)險(xiǎn)：Saas(software‐as‐a‐service):多個(gè)客戶端(租戶)可能共享一個(gè)應(yīng)用軟件棧(數(shù)據(jù)庫、app/web服務(wù)器、網(wǎng)絡(luò))戶的數(shù)據(jù)可能存儲(chǔ)在同一個(gè)數(shù)據(jù)庫，可能一起備份和一起存檔，可能移向共同的網(wǎng)絡(luò)設(shè)備(未加密的)，而且被共同的程序處理。這就更加強(qiáng)調(diào)了在應(yīng)用軟件之間的邏輯安全構(gòu)建，來分離本用戶和其他用戶。Paas(Platform‐as‐a‐service):多個(gè)用戶共享平臺(tái)棧。攻擊平臺(tái)?？赡軙?huì)導(dǎo)致用戶之間共享數(shù)據(jù)備份和存檔的質(zhì)量問題；Iaas(Infrastructur‐as‐a‐service)：交叉虛擬機(jī)器的攻擊，交叉網(wǎng)絡(luò)通信的監(jiān)聽。這會(huì)發(fā)生經(jīng)常處于低安全性狀態(tài)的設(shè)對(duì)策：1、對(duì)多用戶進(jìn)行構(gòu)建：提供者需要提供多用戶的架構(gòu)，而不是單純使用那些不是為多租戶設(shè)計(jì)的服務(wù)。多用戶的構(gòu)建應(yīng)該考慮合理的劃分，加強(qiáng)通用的服務(wù)和故障單點(diǎn)，同時(shí)給消費(fèi)者(用戶)提供更多的透明度。2、數(shù)據(jù)加密：對(duì)數(shù)據(jù)進(jìn)行加密以及對(duì)各個(gè)用戶的數(shù)據(jù)進(jìn)行隔離。要求用戶的密鑰管理對(duì)數(shù)據(jù)進(jìn)行加密、在一個(gè)虛擬的環(huán)境中這意味著每個(gè)用戶的密鑰管理在每臺(tái)虛擬機(jī)進(jìn)行加密，而不是提供者進(jìn)行加密。3、變更控制管理：需要對(duì)所有的變更(尤其是通用共享的服務(wù)變更)進(jìn)行很好的計(jì)劃，快速釋放使用資源使用戶進(jìn)SaaS提供商(SaaS模式)來說，用戶需要日益的想新的基礎(chǔ)設(shè)施融合，(對(duì)這些行為，提供者需要計(jì)劃額外的資源)提供者需要有多用戶到基層資源和服務(wù)的映射表，以至于基層資源的任何變更均被很好的計(jì)劃。4、透明性/管理審計(jì)：用戶需要知道管理者有權(quán)訪問它們的資源/服務(wù)。其中之一的辦法就是允許具有審計(jì)能力的管理者訪問棧的各個(gè)層(操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用軟件、數(shù)據(jù)庫)，這些層是可以被用戶審計(jì)的。提供者可能仍在管理，但是在很嚴(yán)格的可審計(jì)環(huán)境中進(jìn)行管理；5、虛擬個(gè)人云(VPC):它是私人云存在于一個(gè)公共的或者共享的云中。一個(gè)VPC是把一公共云分割成孤立的虛擬基礎(chǔ)設(shè)施和鏈接方法，通過加密的網(wǎng)絡(luò)鏈接來回到多用戶的內(nèi)在資源。6、第三方評(píng)估：可以輪流評(píng)估或契約，如果每個(gè)消費(fèi)者由于安全考慮而要求審計(jì)，但提供者有不允許時(shí)除外。7、隔離用戶：用戶能一直想云提供商協(xié)商或要求擁有它們自己的隔離物理基礎(chǔ)設(shè)施，數(shù)據(jù)庫、存儲(chǔ)、網(wǎng)絡(luò)，……在安全領(lǐng)域，隔離起來重要作用，但是他確實(shí)增加了用戶/客戶的成本。案例：20106月WordPress(CNNTechcrunch)的WordPress系統(tǒng)，3個(gè)數(shù)據(jù)中心(1300個(gè)服務(wù)器，千萬博客)發(fā)生了損壞，這僅僅是由于程序員修改了配置(數(shù)據(jù)庫)，這對(duì)云博客服務(wù)的大量用戶造成了沖擊。參考：[1]./chucks_blog/2010/01/thoughts‐on‐secure‐multitenancy.html[2]. /vpc/[3]. /2008/05/virtual‐private‐cloud‐vpc.html[4]. /thomas_bittman/2009/01/08/virtual‐cloud‐privacy‐is‐gray/[5]. /tromer/papers/cloudsec.pdf[6]. /csaguide.pdf[7]. /2010/06/11/wordpress‐and‐the‐dark‐side‐of‐multitenancy/[8]. /2010/06/10/wordpress‐gives‐us‐the‐vip‐treatment‐goes‐down‐on‐us‐again/[9]. /2010/06/14/wordpress‐outage‐feedback/[10]. /2010/06/14/downtime/[11]. /14980/security‐risks‐of‐multi‐tenancy/[12]. /video/Multitenant‐Magic‐Under‐the‐Cov[13]. /nati_shaloms_blog/2010/03/multitenancy‐does‐it‐have‐to‐be‐that‐hard.htmlR8. 影響范圍分析和法律支持簡(jiǎn)介：發(fā)生信息安全事件時(shí)，在同一個(gè)云提供商上部署的應(yīng)用程序和托管服務(wù)可能難以追查記錄，因?yàn)槿罩居涗浛赡芊稚⒌蕉嗯_(tái)主機(jī)和數(shù)據(jù)中心，這些不同的主機(jī)和數(shù)據(jù)中心可能位于不同的國(guó)家，因此受不同的法律管制著。此外，由于屬于多個(gè)客戶的日志文件和數(shù)據(jù)可能共同位于相同的硬件和存儲(chǔ)設(shè)備，因此，需要加強(qiáng)對(duì)執(zhí)法部門和取證恢復(fù)技術(shù)的關(guān)注。(尚卡爾，奧雅納)內(nèi)容：無對(duì)策：無案例：無參考：無R9. 基礎(chǔ)設(shè)施安全簡(jiǎn)介：發(fā)生信息安全事件時(shí)，在同一個(gè)云提供商上部署的應(yīng)用程序和托管服務(wù)可能難以追查記錄，因?yàn)槿罩居涗浛赡芊稚⒌蕉嗯_(tái)主機(jī)和數(shù)據(jù)中心，這些不同的主機(jī)和數(shù)據(jù)中心可能位于不同的國(guó)家，因此受不同的法律管制著。此外，由于屬于多個(gè)客戶的日志文件和數(shù)據(jù)可能共同位于相同的硬件和存儲(chǔ)設(shè)備，因此，需要加強(qiáng)對(duì)執(zhí)法部門和取證恢復(fù)技術(shù)的關(guān)注。(尚卡爾，奧雅納)內(nèi)容：雖然上述條目的細(xì)節(jié)必須被視為高度敏感的信息，但是也有理由期望客戶愿意去了解高層次的細(xì)節(jié)也是情有可原的。提供商必須愿意提供這些信息?；趹?yīng)用的數(shù)據(jù)安全完全取決于構(gòu)成基礎(chǔ)設(shè)施的組件構(gòu)成的應(yīng)用程序平臺(tái)的安全性。未能采取“最佳實(shí)踐“考慮的后果可能導(dǎo)致的數(shù)據(jù)，名譽(yù)，或可用性損失，甚至有可能帶來監(jiān)管/法律的后果。所有的服務(wù)，甚至活躍而未使用的，都有可能包含潛在被利用的安全相關(guān)的漏洞，而惡意組織正通過互聯(lián)網(wǎng)進(jìn)行主動(dòng)的掃描。這些服務(wù)的運(yùn)行，即使實(shí)際上是毫無目的的，也會(huì)因此而不必要地增加組織基礎(chǔ)設(shè)施成為漏洞利用目標(biāo)的可能性。被利用的服務(wù)如果不被控制，則可能成為到別的服務(wù)的跳板。例如，如果web層能夠直接訪問數(shù)據(jù)庫，那么一旦web服務(wù)被利用，則可能導(dǎo)致后臺(tái)數(shù)據(jù)庫也被入侵?；钴S的網(wǎng)絡(luò)協(xié)議和開放端口，即使沒有在解決方案體系結(jié)構(gòu)中使用，也可能被利用。管理訪問可能被濫用，或者通過管理員或者通過被利用的管理帳號(hào)。此外，管理訪問可能會(huì)導(dǎo)致意外的中斷所有代碼（應(yīng)用程序，操作系統(tǒng)，網(wǎng)絡(luò)）會(huì)包含安全相關(guān)的漏洞，配置也可能包含配置錯(cuò)誤，這些都能夠被利用。對(duì)策：對(duì)操作系統(tǒng)，應(yīng)用程序和配置進(jìn)行加固。目的在于通過減少有漏洞的系統(tǒng)服務(wù)，應(yīng)用程序，未使用的或不安全的默認(rèn)賬戶等風(fēng)險(xiǎn)，來減少被入侵的風(fēng)險(xiǎn)。分層解決方案的架構(gòu)。解決方案的分層架構(gòu)將意味著一個(gè)直接暴露在Int