⑴ 雲計算應用存在哪些問題,採取哪些安全防護措施
雲計算存在的一些問題:
虛擬化安全問題:如果物理主機受到破壞,其所管理的虛擬伺服器由於存在和物理主機的交流,有可能被攻克,若物理主機和虛擬機不交流,則可能存在虛擬機逃逸。如果物理主機上的虛擬網路受到破壞,由於存在物理主機和虛擬機的交流,以及一台虛擬機監控另一台虛擬機的場景,導致虛擬機也會受到損害。
2.數據集中的安全問題:用戶的數據存儲、處理、網路傳輸等都與雲計算系統有關,包括如何有效存儲數據以避免數據丟失或損壞,如何對多租戶應用進行數據隔離,如何避免數據服務被阻塞等等。
3.雲平台可用性問題:用戶的數據和業務應用處於雲平台遭受攻擊的問題系統中,其業務流程將依賴於雲平台服務連續性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰。另外,當發生系統故障時,如何保證用戶數據的快速恢復也成為一個重要問題。
4.雲平台遭受攻擊的問題:雲計算平台由於其用戶、信息資源的高度集中,容易成為黑客攻擊的目標,由此拒絕服務造成的後果和破壞性將會明顯超過傳統的企業網應用環境。
5.法律風險:雲計算應用地域弱、信息流動性大,信息服務或用戶數據可能分布在不同地區甚至是不同國家,在政府信息安全監管等方面存在法律差異與糾紛;同時由於虛擬化等技術引起的用戶間物理界限模糊可能導致的司法取證問題也不容忽視
雲計算的安全防護措施:
1基礎設施安全
基礎設施安全包括伺服器系統安全、網路管理系統安全、域名系統安全、網路路由系統安全、區域網和VLAN配置等。主要的安全措施包括安全冗餘設計、漏洞掃描與加固,IPS/IDS、DNSSec等。考慮到雲計算環境的業務持續性,設備的部署還須要考慮到高可靠性的支持,諸如雙機熱備、配置同步,鏈路捆綁聚合及硬體Bypass等特性,實現大流量匯聚情況下的基礎安全防護。
2數據安全
雲數據安全包含的內容遠遠不只是簡單的數據加密。數據安全的需求隨著三種服務模式,四種部署模式(公共雲、私有雲、社區雲、混合雲)以及對風險的承受能力而變化。滿足雲數據安全的要求,需要應用現有的安全技術,並遵循健全的安全實踐,必須對各種防範措施進行全盤考慮,使其構成一道彈性的屏障。主要安全措施包括對不同用戶數據進行虛擬化的邏輯隔離、使用身份認證及訪問管理技術措施等,從而保障靜態數據和動態數據的保密性、完整性、可用性、真實性、授權、認證和不可抵賴性。
3虛擬化安全
虛擬化的安全包括兩方面的問題:一是虛擬技術本身的安全,二是虛擬化引入的新的安全問題。虛擬技術有許多種,最常用的是虛擬機(VM)技術,需考慮VM內的進程保護,此外還有Hypervisor和其他管理模塊這些新的攻擊層面。可以採用的安全措施有:虛擬鏡像文件的加密存儲和完整性檢查、VM的隔離和加固、VM訪問控制、虛擬化脆弱性檢查、VM進程監控、VM的安全遷移等。
4身份認證與訪問管理(IAM,IdentityandAccessManagement)
IAM是用來管理數字身份並控制數字身份如何訪問資源的方法、技術和策略,用於確保資源被安全訪問的業務流程和管理手段,從而實現對企業信息資產進行統一的身份認證、授權和身份數據集中化的管理與審計。IAM是保證雲計算安全運行的關鍵所在。傳統的IAM管理范疇,例如自動化管理用戶賬號、用戶自助式服務、認證、訪問控制、單點登錄、職權分離、數據保護、特權用戶管理、數據防丟失保護措施與合規報告等,都與雲計算的各種應用模式息息相關。
IAM並不是一個可以輕易部署並立即產生效果的整體解決方案,而是一個由各種技術組件、過程和標准實踐組成的體系架構。標準的企業級IAM體系架構包含技術、服務和過程等幾個層面,其部署體系架構的核心是目錄服務,目錄服務是機構用戶群的身份、證書和用戶屬性的信息庫。
5應用安全
由於雲環境的靈活性、開放性以及公眾可用性等特性,給應用安全帶來了很多挑戰。雲計算的應用主要通過Web瀏覽器實現。因此,在雲計算中,對於應用安全,尤其需要注意的是Web應用的安全。要保證SaaS的應用安全,就要在應用的設計開發之初,制定並遵循適合SaaS模式的安全開發生命周期規范和流程,從整體生命周期上去考慮應用安全。可以採用的防護措施有訪問控制、配置加固、部署應用層防火牆等。
⑵ 雲計算災備:災備通識
目錄
一、災備的定義
災備指的是用現有的科學技術手段和方法,提前建立起可靠的應急方式,來應對突發事件的發生。
災備包括容災系統和備份系統。
備份: 保障數據的安全性 ,備份指的是將全部或部分數據集合從生產主機硬碟或陣列中保存到其他的存儲介質的過程。
容災: 保障業務的連續性 ,容災指的是在較遠的異地建立兩套或者多套相同的、包含完整基礎設施(計算、網路、存儲、電力製冷等)的IT系統,通過網路的方式實現數據的傳輸,當主數據中心發生故障,可以利用備數據中心快速恢復業務。
保護對象 :備份保護的是 數據 ,容災保護的是 業務連續性 。
實現方式 :備份採用備份軟體技術實現,而容災通過復制或者鏡像軟體實現。
時間周期: 數據保護的周期不一致,復制或者鏡像的時間周期更短。
補充:歸檔使用的是備份。
只有備份:
如果只有備份,業務無法快速恢復,數據恢復需要時間,這段時間對某些行業帶來的損失是無法估量的。另外,備份一般是周期性執行的,一旦發生數據丟失,從恢復復時間到上次備份時間之間的數據就會丟失。
只有容災:
如果只有容災,業務可以快速恢復,數據也可以被保護,但是生產段有錯誤的操作,或者系統升級失敗之類的,也會被同步到容災端,從而造成業務的中斷。
(數據是無價的,丟了的話問題很大哇!)
雲伺服器備份服務(CSBS): Cloud Server Backup Service,為雲伺服器提供整機備份功能,支持基於多雲硬碟一致性快照技術的本地備份,以及對備份數據的遠程復制,並支持利用備份數據恢復雲伺服器數據,最大限度保障用戶數據的安全性和正確性,確保業務安全。
雲硬碟備份服務(VBS): Volume Backup Service,基於雲硬碟的備份服務。用戶可為雲硬碟創建備份,利用備份數據回滾雲硬碟,以最大限度保證用戶數據正確性和安全性。
同步復制: 實時同步進行復制。
非同步復制: 非同步復制數據,數據一致性有待商榷。
本地生產中心:
同城容災方案(<100km):
異地容災方案(>100km):
優點:
本地高可用: 本地高可用通常為近距離的同一個機房內,使用 實時鏡像 和 同步復制 的方案,由於帶寬和距離很近,通常要求RPO=0。
優點:
關鍵技術: HyperReplication
優點:
關鍵技術: HyperMetro
補充:
備份窗口 :它指用戶正常使用業務系統不受影響的情況下,能夠對業務系統中的業務數據進行數據備份的時間間隔,或者說是用於備份的時間段。
完全備份: 又叫全量備份,對某一時間點上的所有數據的一個完全拷貝。備份發起後變更的數據將在下一次進行備份,又稱為全量備份。
累積增量式備份: 以上一次完全備份為基準 進行備份,若之前從未進行過備份,則備份所有數據。
差異增量式備份: 以上一次備份為基準 進行備份,若之前從未進行過備份,則備份所有文件。
恢復點目標(RPO): 當業務發生故障時,可以容忍 數據丟失的數量 ,單位為時間。
舉例:8點進行備份,9點丟數據,RPO=1小時,丟了一個小時的數據。
恢復時間目標(RTO): 當業務發生故障時,可以容忍 業務中斷的時間 ,單位為時間。
舉例:比如災難發生後半天內需要恢復數據,那麼RTO就是12小時。
RTO/RPO 與災難恢復能力等級關系(GB/T 20988-2007)
這個在備份組網那一塊再詳細補充...
這里參考:圖解三種備份方式(LAN,LAN free,Server free)_star&storage的技術博客_51CTO博客
LAN-Base,這種方式很簡單,直接在生產伺服器上安裝備份代理,部署一台備份伺服器,這樣即可完成備份,不過這種方式不適合數據量非常大的環境。因為如果備份數據量非常大,會佔用乙太網的帶寬,雖然說備份操作一般在晚上進行。但是這種方式還是不適合大數據量的情況。因此有了LAN-Free備份。
LAN-Free,顧名思義,即釋放了LAN的壓力。如上圖所示,數據流直接從File server經過FC switch備份到Tape,而不經過Lan,這樣就不會佔用主網路的帶寬。但是數據仍然會通過文件伺服器的本地磁碟--內存—FC switch這步,因此仍然會消耗File server的資源。因此有了下面的Server Free備份來盡可能的減少生產伺服器的壓力。
Server-Free,即備份時數據不流經伺服器的匯流排和內存,如上圖,文件伺服器使用SAN的File Server Storage空間,現在需要備份文件伺服器,則只需將File Server Storage的數據直接備份到Tape。此時文件伺服器只需要發出SCSI擴展復制命令,剩下的事情就是File Server Storage和Tape之間的事情了,這樣就減輕了文件伺服器的很多壓力,使它可以專注於對外提供文件服務,而不需要再消耗大量CPU、內存、IO在備份的事情上了。
或者還有一種方式即NDMP,Network Data Management Protocol,網路數據管理協議。它是一種支持智能數據存儲設備、磁帶庫設備及備份應用程序之間互相通信以完成備份過程的通信協議。伺服器只要向支持NDMP協議的存儲設備發送NDMP指令,即可讓存儲設備將其自己的數據直接發送到其他設備上,而不需要流經伺服器主機。
主機層數據復制: 在生產中心和災備中心的伺服器上安裝專用的數據復制軟體,如卷復制軟體,以實現遠程復制功能。兩中心間必須有網路連接作為數據通道。可以在伺服器層增加應用遠程切換功能軟體,從而構成完整的應用級容災方案。這種數據復制方式相對投入較少,主要是軟體的采購成本;兼容性較好,可以兼容不同品牌的伺服器和存儲設備,較適合硬體組成復雜的用戶。但這種方式要在伺服器上通過軟體來實現同步操作,佔用主機資源和網路資源非常大。
網路層數據復制: 在生產中心和災備中心的伺服器上安裝專用的數據復制軟體,如卷復制軟體,以實現遠程復制功能。兩中心間必須有網路連接作為數據通道。可以在伺服器層增加應用遠程切換功能軟體,從而構成完整的應用級容災方案。這種數據復制方式相對投入較少,主要是軟體的采購成本;兼容性較好,可以兼容不同品牌的伺服器和存儲設備,較適合硬體組成復雜的用戶。但這種方式要在伺服器上通過軟體來實現同步操作,佔用主機資源和網路資源非常大。
存儲層數據復制: 要實現數據的復制需要在生產中心和災備中心都部署一套這樣的存儲系統,數據復制功能由存儲系統實現。如果距離比較近(幾十公里之內),之間的鏈路可由兩中心的存儲交換機通過光纖直接連接;如果距離在200公里內,可通過增加DWDM等設備直接進行光纖連接;超過200公里,則可增加存儲路由器進行協議轉換途徑WAN或Internet實現連接。因此,從理論上可實現無限制連接。在存儲層實現數據復制功能是很成熟的技術,而且對應用伺服器的性能基本沒有影響。目前,這種容災方案穩定性高、對伺服器性能基本無影響,是容災方案的主流選擇。
本文作者:SkyBiuBiu
本文鏈接:https://www.cnblogs.com/Skybiubiu/p/14992848.html
⑶ 不理解:「雲計算提供了最可靠、最安全的數據存儲中心,用戶不用再擔心數據丟失、病毒入侵等麻煩」。
雲的概念主要是指大規模硬體虛擬化技術和雲存儲技術等等的結合。
關於你說的病毒入侵應該是說病毒進入了雲主機系統,毀壞了文件或者數據等問題,首先雲的數據不是儲存在一塊物理硬碟上的,因為雲採用的是分布式存儲,所以不用擔心數據的丟失,系統同樣是做的鏡像備份處理,在遭到破壞後可以及時恢復。
你不要把雲伺服器看成是無堅不摧的東西,它只是有很多技術可以協助數據丟失以及系統崩潰問題後的恢復。雲伺服器只是用雲技術虛擬出的伺服器,病毒的防護同樣是需要把自己的系統做安全。
⑷ 請教下大家,雲原生計算環境的主要安全風險有哪些
雲原生計算環境的主要安全風險類型包括:雲原生網路安全風險、雲原生編排及組件安全風險、鏡像安全風險、鏡像倉庫安全風險和容器逃逸攻擊等類型,針對這些風險的防範建議還是去找有實力的安全服務廠商,我們公司現在合作的青藤雲安全在這方面做的就非常不錯,可以去了解下。
⑸ 雲計算服務中斷怎麼辦
隨著消息的擴散,數據中心行業對於雲計算服務提供商是否能夠提供安全,可靠的網站服務又重新展開了激烈的討論。由於服務中斷會直接影響雲計算服務提供商的財務狀況,因此雲計算服務提供商也在一直積極地尋找新的方法來降低停機時間造成的影響范圍和時間。
降低停機損失的最佳做法
如果你的公司的業務已經託管在雲中,或者正在考慮雲計算解決方案,首先,應該測試你的關鍵業務在雲計算服務一旦中斷後是否可以憑借自身來處理數據。此外,應用程序也應該進行測試,確保能夠以較快的速度恢復,這將有助於你的公司在服務中斷後將損失降低到最小。
此外,公司還應該要考慮到隨機事件,使IT團隊在盡量接近真實世界的條件下進行響應測試,來找到最好的解決方案,並降低停機帶來的損失。和雲計算服務提供商共享這些壓力測試結果有助於建立一個更加全面的系統解決方案。
尋求頂級的解決方案提供商,可以有效的保證數據的安全性並限制停機出錯的頻率。例如,大型的雲計算服務提供商會升級電氣以及冷卻系統,引進新的安全設備,來降低出錯的幾率。此外,服務提供商還會提供數據備份功能,來應對停機之後造成的數據丟失。而多樣化的備份方式也允許用戶通過多種途徑來恢復自己的數據並盡快的恢復關鍵業務的運行。
從錯誤中吸取教訓
一旦發生停機後,負責任的服務提供商會進行數據分析,找出任何導致出錯的原因,包括硬體,人為錯誤以及內部文檔,來對發生的事件負責任。一旦最終確定根本原因,服務提供商需要通過實施新的措施以及安全檢查程序,並進行學習和適應,避免再次發生類似情況。
當然,重大的中斷事件應該盡量避免,顧客也不用為自己在雲計算服務商託管的業務感到提心吊膽。要知道,很多停機事件在數據中心內部經常發生,但卻沒有被新聞報道,這是因為它們得到了很好的處理,並沒有對客戶的業務造成影響。雲計算解決方案的靈活性保證了即使發生了一些錯誤,仍然可以保證服務的正常運行。
選擇合作夥伴
雲計算服務市場是一個復雜的市場,每一個服務提供商所提供的運行時間,安全性以及可靠性都不相同。所以尋找一個合適的合作夥伴是一項重大的挑戰。首先,信息的透明度是至關重要的,這些信息包括服務提供商過去發生的停機時間,採取了那些措施,有什麼新的舉措來應對等等。你可以在網上關注這些服務提供商的動態,比如Twitter以及電子郵件。
一個沒有透明度的服務提供商是難以提供可靠服務的,客戶也很難對他們有信心。而頂級的服務提供商是積極的,無論是數據中心的信息還是公司的信息都會提供給客戶,來避免潛在的停機危險。
具體可以看看iT號外,專家問答很詳細。
⑹ 雲計算時代信息數據安全如何保障
信息安全的主要目標之一是保護用戶數據和信息安全。當向雲計算過渡時,傳統的數據安全方法將遭到雲模式架構的挑戰。彈性、多租戶、新的物理和邏輯架構,以及抽象的控制需要新的數據安全策略。
數據與信息安全的具體防護可分為以下幾個方面。
1.數據安全隔離
為實現不同用戶間數據信息的隔離,可根據應用具體需求,採用物理隔離、虛擬化和Multi-tenancy等方案實現不同租戶之間數據和配置信息的安全隔離,以保護每個租戶數據的安全與隱私。
2.數據訪問控制
在數據的訪問控制方面,可通過採用基於身份認證的許可權控制方式,進行實時的身份監控、許可權認證和證書檢查,防止用戶間的非法越權訪問。如可採用默認「denyall」的訪問控制策略,僅在有數據訪問需求時才顯性打開對應的埠或開啟相關訪問策略。在虛擬應用環境下,可設置虛擬環境下的邏輯邊界安全訪問控制策略,如通過載入虛擬防火牆等方式實現虛擬機間、虛擬機組內部精細化的數據訪問控制策略。
3.數據加密存儲
對數據進行加密是實現數據保護的一個重要方法,即使該數據被人非法竊取,對他們來說也只是一堆亂碼,而無法知道具體的信息內容。在加密演算法選擇方面,應選擇加密性能較高的對稱加密演算法,如AES、3DES等國際通用演算法,或我國國有商密演算法SCB2等。在加密密鑰管理方面,應採用集中化的用戶密鑰管理與分發機制,實現對用戶信息存儲的高效安全管理與維護。對雲存儲類服務,雲計算系統應支持提供加密服務,對數據進行加密存儲,防止數據被他人非法窺探;對於虛擬機等服務,則建議用戶對重要的用戶數據在上傳、存儲前自行進行加密。
4.數據加密傳輸
在雲計算應用環境下,數據的網路傳輸不可避免,因此保障數據傳輸的安全性也很重要。數據傳輸加密可以選擇在鏈路層、網路層、傳輸層等層面實現,採用網路傳輸加密技術保證網路傳輸數據信息的機密性、完整性、可用性。對於管理信息加密傳輸,可採用SSH、SSL等方式為雲計算系統內部的維護管理提供數據加密通道,保障維護管理信息安全。對於用戶數據加密傳輸,可採用IPSecVPN、SSL等VPN技術提高用戶數據的網路傳輸安全性。
5.數據備份與恢復
不論數據存放在何處,用戶都應該慎重考慮數據丟失風險,為應對突發的雲計算平台的系統性故障或災難事件,對數據進行備份及進行快速恢復十分重要。如在虛擬化環境下,應能支持基於磁碟的備份與恢復,實現快速的虛擬機恢復,應支持文件級完整與增量備份,保存增量更改以提高備份效率。
6.剩餘信息保護
由於用戶數據在雲計算平台中是共享存儲的,今天分配給某一用戶的存儲空間,明天可能分配給另外一個用戶,因此需要做好剩餘信息的保護措施。所以要求雲計算系統在將存儲資源重分配給新的用戶之前,必須進行完整的數據擦除,在對存儲的用戶文件/對象刪除後,對對應的存儲區進行完整的數據擦除或標識為只寫(只能被新的數據覆寫),防止被非法惡意恢復。
⑺ 雲計算服務如何保護用戶的數據
雲計算服務如何保護你的數據呢?簡單地說有以下幾個方面:身份驗證、訪問許可權控制、伺服器的安全性。身份驗證是用來保證只有用戶自己才能以自己的身份登錄。訪問許可權控制是指用戶之間數據是否可見。伺服器安全性是指伺服器上使用的軟體和服務程序是否安全。
你是否曾把家庭住址、電話號碼、自己的名字以及銀行卡號碼等信息放在網上?這些信息如果被不法分子獲取,就有可能會發生令人不快的事,輕則接到騷擾電話或垃圾簡訊,重則這些私人信息甚至可能被用來做違法的勾當。同樣的道理,對一家企業而言,企業的收入支出、產品的配方、職員的信息等也是很重要的信息,若被商業競爭對手得到,則在市場競爭中就會處於不利的地位。而雲計算分為私有雲和公共雲兩種,私有雲是在企業內部架設的雲計算服務,相對來說比較安全,因為入侵者需要進入到公司的網路內部竊取數據,難度比較大。公共雲是架設在互聯網上的雲計算服務,比如我們平時使用的網頁電子郵件、文件分享、照片分享等服務。這些服務在互聯網上任何人都可以訪問,所以如何保護你的數據能夠不被別人訪問就是很重要的事。
雲計算服務如何保護你的數據呢?簡單地說有以下幾個方面:身份驗證、訪問許可權控制、伺服器的安全性。身份驗證是用來保證只有用戶自己才能以自己的身份登錄,比如小明在雲服務A上設定了密碼,其他人不知道小明的密碼就無法用小明的身份登錄。訪問許可權控制是指用戶之間數據是否可見,比如小明上傳了照片到雲服務B,他可以決定只有小紅才能看見他上傳的照片,這樣就保護了照片不被其他人看見。伺服器安全性是指伺服器上使用的軟體和服務程序是否安全,這需要雲服務的管理員不停提高雲服務的安全性。
作為個人用戶,如何決定你正在使用的雲計算服務是否安全呢?有幾個方面可以幫助你決定。你需要考慮一下自己放在雲計算服務上的數據對你是否重要,一旦泄露或者丟失,會對你產生怎樣的影響。重要的數據需要更高的安全性。還要想想自己使用的雲服務是否屬於知名企業,用戶是否夠多,用戶多的知名企業會更關心服務的安全性和用戶數據的安全,也會投入更多的人力物力到服務安全中去。雲服務本身對安全保護是否重視,是否使用了密碼驗證以外的身份驗證方法,是否提供給用戶控制訪問許可權,都從不同的側面反映了雲服務本身的安全性高低。
對於個人用戶來說,聯網的個人計算機往往也有很多安全漏洞。和個人計算機相比,有專業安全人員維護的雲計算服務往往會更加安全一些。我們要根據具體情況作出自己的判斷,而不是簡單地認為雲計算很安全或者雲計算不安全。