《云计算代表it领域向集约1》由会员分享,可在线阅读,更多相关《云计算代表it领域向集约1(14页珍藏版)》请在金锄头文库上搜索。
1、云计算代表 IT 领域向集约化、规模化与专业化道路发展的趋势,是 IT 领域正在发生的深刻变革.但它在提高使用效率的同时,为实现用户信息资产安全与隐私保护带来极大的冲击与挑战.当前,安全成为云计算领域亟待突破的重要问题,其重要性与紧迫性已不容忽视.分析了云计算对信息安全领域技术、标准、监管等各方面带来的挑战;提出云计算安全参考框架及该框架下的主要研究内容;指出云计算的普及与应用是近年来信息安全领域的重大挑战与发展契机,将引发信息安全领域又一次重要技术变革.更多还原我怎么觉得云计算中心的归属者可以通过云操作使用了其云端的机器呢?感觉某种角度上一点不安全,比如使用了微软的云中心,那是不是微软可以在
2、踏云中心窥视你的一切呢?也可以通过它的云中心操作你的系统呢?而且必须有连接网络,不可回避的安全性问题 一谈到云计算,安全性问题无法回避,实际上这也是目前云计算推广应用过程中所遇到的最大难题。虽然目前云计算服务提供商都在竭力淡化或避免此一话题,但作为消费者,这却是他们取之弃之的关键。 云计算的安全问题主要是指“云”端数据的使用安全。作为用户,当然希望更多的数据放在“云”上,这样他们耗费的资源会更少,得到的便利会更多;但越多的数据存于“云”中,就意味着有越多的数据被滥用的可能,这种两难在没有法律保护的情况下让很多用户迟疑不决。 关于云计算的安全问题,人们存在这样的误区,即放在“云”上的东西容易丢。
3、实际上,在排除服务提供商的诚信出问题的前提下,从云计算的整体技术架构来看,其安全性即使不比其他网络系统好,但也绝不比它们差。除了中央数据服务器外,用户数据存储在哪片“云”上,无人知晓,因此增加了盗取难度。而如黑客窃取数据事件,则不应在云计算安全问题的考虑范围之内高明的黑客想要偷走的东西,存在哪里都不会安全。云计算传统数据架构评估导读作为一项有望大幅降低成本的新兴技术,云计算正日益受到一系列众多公司的追捧。但这些公司真的了解云计算这种不明确概念的真正本质吗? 云计算这个既前卫有热门的名词无论你是否从事与IT相关的工作,多多少少都会有所耳闻。自2009年兴起时,它以成为IT界关注的焦点,不论是各大
4、厂商的投资或是IT产业的“造云”计划都足以说明它是一门具有相当发展潜力并且可以带来巨大利益的行业,作为一项有望大幅降低成本的新兴技术,云计算正日益受到一系列众多公司的追捧。但这些公司真的了解云计算这种不明确概念的真正本质吗?云计算让公司可以把计算机处理工作的一部分(有时几乎是所有部分)外包出去。在CIO们的眼里,公司只要付费给外部提供商,用不着把钱花在内部服务器以及检修服务器所需的IT专业人员上。然后,公司可以通过互联网(用IT行话来说是“通过云计算环境”)来访问计算基础设施。更棒的是,云计算服务提供商告诉我们,云计算能够实现大规模扩展。一家大型提供商就能迅速满足网上客户对更多计算功能的请求。
5、那样,本身没有大型数据中心的小公司就能够利用云计算服务提供商的强大处理功能。各大厂商看到了这座宝藏,于是纷纷设立部门提供云计算服务。行业领头羊包括亚马逊公司的EC2和谷歌公司的应用引擎(GoogleAppEngine)。市场兴奋之余,一批缩略词如同雨后春笋般冒了出来。云计算的“近亲”就是软件即服务(SaaS),即软件通过互联网来提供;S在宣传名为平台即服务(PaaS)的另一种云计算。IT专家NickCarr在著作巨大的转变(TheBigSwitch)中把云计算誉为是企业计算领域不可避免的下一步。他解释,正如现在我们从外面庞大的电厂获取电力那样,将来我们可以从广泛分布的外部处理中心获取计算功能。
6、凌乱不堪的内部数据中心一去不复返。将来一片光明、次序井然、价位合理。但如果你看一下电力与数据之间的区别,就会发现Carr打的这个比方站不住脚。输送到贵公司的电流毫无机密或者敏感可言,而进出贵公司的数据可能含有极其敏感的信息。单单提及萨班斯-奥克斯利法案以及错综复杂的法规遵从要求,就足以让有些CIO对于把自己的文档管理(哪怕是一部分责任)交给云计算服务提供商感到惊恐不安。让这些CIO更加提心吊胆的是这个不安的事实:随着基于云计算的服务日益发展,它会日益由一连串提供商来供应。所以会出现这种情况:你与某家外包商签订了合同,这家外包商又与一连串外包商签订了合同,而那些外包商又与别的商家签订了合同。这样
7、一来,到头来为你处理最宝贵的公司机密数据的其实是你一无所知的那些提供商。这就好比中学里的校花不想透露电话号码,只告诉给了已确定了关系的心上人:橄榄球队队长;而她男友把自己的地址簿发布在了Facebook网页上,这样别有用心的人就会知道她的电话号码。云计算的危险Gartner公司的两名分析师JayHeiser和MarkNicolett共同撰写了评估云计算的安全风险,这份报告列出了云计算存在的许多危险因素。他们想要传达的主题倒不是建议公司不要使用云计算。确切地说,公司在采用云计算时要睁大眼睛,完全明白相关风险,并且采取必要的防范措施来确保安全,或者说尽量确保安全,这是由于云计算具有“黑盒子”的性质
8、,充满了未知因素。Heiser说:“要是人们对相关风险没有顾虑,云计算恐怕已经更加流行了。我认为大多数潜在的用户没有真正认识到相关风险。他们都是直觉上觉得这是一种新技术;不应该草率对待。”的确,高盛公司最近调查了CIO们对2009年的计划,他们觉得明年的经济形势让人不安。调查结果对云计算服务来说不是什么好兆头:只有不到2%的调查对象把云计算列为优先考虑的项目。云计算的众多安全问题足以让人提出这样一个问题:难道我们就不能继续使用那种传统而可靠的客户机/服务器架构吗?毕竟,服务器的价格在一路下滑,毫无止跌的势头,而从事维护工作的IT员工势必不会像过去那样领取高得离谱的薪水。为什么要寻求外界的帮助呢
9、?Heiser认为,尽管存在这些那样的怀疑,但云计算这股潮流确实有潜力改变行业。这趟列车已经驶离了车站,尽管CIO们被经济衰退吓破了胆。简而言之,云计算可以大幅节省成本,显著提高效率和灵活性,优点实在太明显了,以至人们没法忽视它。Heiser说:“云计算基本上是经济可行的,不过存在便利问题。”“这存在一个控制问题。我把云计算与消费化归为一类,这是表明最终用户如何从IT部门手里夺取主动权的另一个例子。如果他们不喜欢IT部门提供的方案,就会出去、自行购买。”比方说,“一心想摆脱IT部门、自行部署CRM的销售经理在很大程度上促进了S的迅猛发展。”另外,与斥资购买拆开包装后就开始老化的服务器相比,购买
10、云计算服务更合人们的心意。Heiser说:“如果你购买云计算服务,这只需要花费一笔小钱。如果你购买计算机之类的东西,那可是一笔大额投资。”“所以同样是花钱,但性质不同;人们喜欢花小钱办大事。”九大安全问题及相应对策Heiser表示,要评估云计算服务提供商,最实际的办法就是请第三方来进行评估。牵涉的问题和顾虑实在太多了,所以要是内部开展所有工作可能会让人望而生畏。让这项工作难上加难的是,许多云计算服务提供商一点也不透明。他说:“打电话给谷歌公司,问一下对方的透明度如何。”他暗示答复很可能这样:“不是很透明”。“如果这样,为什么你要信任对方呢?”Heiser说:“我平时拿谷歌的透明度与S的透明度进
11、行比较。我们强调,Salesforce早期在加强透明度方面确实作出过一番努力;我们其实没有把谷歌当作是Salesforce的对立面,但它确实很不透明。”如果你或者第三方在试着评估云计算服务提供商,以下是要注意的一些问题,以及Gartner公司建议的相应对策。1、特权用户访问若使用云计算,你的机密数据将由贵公司外面的人员来处理,所以可想而知:不是贵公司的员工完全可以访问这些数据。忠告:“要求提供商提供招聘及监管享有特权的管理员方面的具体信息以及控制访问方面的具体信息。”2、法规遵从在萨班斯-奥克斯利法案当道的时代,公司有责任实施严格的数据监控和归档级别。即便一家公司与外部的云计算服务提供商签订了
12、合同,这些法规仍要求这家公司负有责任。云计算服务提供商应当提交审计和安全方面的证书,确保对方能够履行约定的承诺。忠告:“如果云计算提供商不愿意或者没能力做到遵从法规,这表明客户只能用它们来处理最不重要的功能。”3、数据位置若使用云计算,你不知道自己的数据到底存放在什么地方。服务器可能建在马来西亚、加拿大或者美国的新泽西州,说不定同时建在上述三个地方。忠告:询问提供商,他们是否愿意给出合同承诺,遵守相关的一些隐私法?4、数据隔离当然,云计算提供商会使用SSL来保护传输中的数据,但当贵公司的数据位于存储设备中时,可能与其他公司的数据共用一只“虚拟保管箱”。贵公司的数据与别人的数据经过适当隔离吗?提
13、供商可能会夸耀自己的加密技术如何强大、安全。你会听到密钥长度有多长、采用哪种深奥的加密算法。不过,如果你的数据能够被提供商读取,那么可以这么认为:数据也会被别人读取。忠告:“如果你的数据将采用加密格式来进行保存及备份,就要弄清楚谁有权访问解密密钥,贵公司的授权人员在紧急情况下是不是可以访问本公司员工的数据。”5、可用性从理论上来说,如果你使用云计算服务提供商,没有必要担心自己的数据会消失这些提供商很容易采用冗余机制把你的数据复制到众多地方,这样万一系统崩溃,仍可以高枕无忧。但你的员工能不能随时访问完成工作所需的数据呢?比方说,要是虚拟管道受到堵塞会怎样?要是提供商自身出现的某种内部故障导致你无
14、法访问自己的关键数据,又会怎样?忠告:“公司应当为任何重要的IT工作负载确定服务级别方面的要求,并且需要提供商签订服务级别协议,从而确保合同里面写明惩罚条款,以防出现服务级别协议未得到遵守的情况。”6、灾难恢复希望最糟糕的永远不会发生;任何重大的灾难也不会发生在你、你的提供商或者整个世界头上。但你的提供商必须为此作好防备。重要问题:你的提供商有能力进行全面恢复吗?需要多少时间才能完成全面恢复?7、调查支持开展内部的法律调查向来就不是容易的事,因为这需要清查可能散布在实体位置和虚拟位置的大批文档。如果你使用云计算服务提供商,那么开展这种调查更是困难重重:许多客户的数据也许放在一块儿,散布在地点不
15、断变化的一系列数据中心。忠告:“如果你得不到提供商的合同承诺来支持特定的几种调查,又得不到证据表明对方曾经成功地支持这类工作,那么你几乎可以肯定,对方几乎不可能满足你要求的调查和发现。”8、存活能力你的提供商会被收购吗?或者更糟糕的是,会破产吗?如果是这样,对方需要多久才能把数据交还给你、而且采用的格式让你可以导入到另一家提供商的基础设施上?9、降低风险方面的支持你的员工开始使用外部提供商时,会经历一个学习过程。这家提供商提供的界面用起来多容易?提供商是否帮助你的管理人员设置监控政策?又采取了哪些措施来防范恶意软件和网络钓鱼?如何并有效地避免云计算所带来的安全隐患,国际上关于“云”的组织联盟正在做出努力。如欧洲网络及信息安全局(ENISA)制定了“云计算风险评估”规范,而云安全联盟(CSA)发布了“云计算重点关注区域安全指导”,涵盖13个关注的领域。而这些组织制定的规范或指导所关注的关键的问题主要是法规遵守、数据管制、可移植性及互用性、身份和接入管理等。 继个人计算机、互联网变革之后,2010年,云计算作为第三次IT浪潮的代表整在向我们走来。它将带来人类生活、生产方式和商业模式的根本
