⑴ 云计算应用存在哪些问题,采取哪些安全防护措施
云计算存在的一些问题:
虚拟化安全问题:如果物理主机受到破坏,其所管理的虚拟服务器由于存在和物理主机的交流,有可能被攻克,若物理主机和虚拟机不交流,则可能存在虚拟机逃逸。如果物理主机上的虚拟网络受到破坏,由于存在物理主机和虚拟机的交流,以及一台虚拟机监控另一台虚拟机的场景,导致虚拟机也会受到损害。
2.数据集中的安全问题:用户的数据存储、处理、网络传输等都与云计算系统有关,包括如何有效存储数据以避免数据丢失或损坏,如何对多租户应用进行数据隔离,如何避免数据服务被阻塞等等。
3.云平台可用性问题:用户的数据和业务应用处于云平台遭受攻击的问题系统中,其业务流程将依赖于云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
4.云平台遭受攻击的问题:云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由此拒绝服务造成的后果和破坏性将会明显超过传统的企业网应用环境。
5.法律风险:云计算应用地域弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至是不同国家,在政府信息安全监管等方面存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊可能导致的司法取证问题也不容忽视
云计算的安全防护措施:
1基础设施安全
基础设施安全包括服务器系统安全、网络管理系统安全、域名系统安全、网络路由系统安全、局域网和VLAN配置等。主要的安全措施包括安全冗余设计、漏洞扫描与加固,IPS/IDS、DNSSec等。考虑到云计算环境的业务持续性,设备的部署还须要考虑到高可靠性的支持,诸如双机热备、配置同步,链路捆绑聚合及硬件Bypass等特性,实现大流量汇聚情况下的基础安全防护。
2数据安全
云数据安全包含的内容远远不只是简单的数据加密。数据安全的需求随着三种服务模式,四种部署模式(公共云、私有云、社区云、混合云)以及对风险的承受能力而变化。满足云数据安全的要求,需要应用现有的安全技术,并遵循健全的安全实践,必须对各种防范措施进行全盘考虑,使其构成一道弹性的屏障。主要安全措施包括对不同用户数据进行虚拟化的逻辑隔离、使用身份认证及访问管理技术措施等,从而保障静态数据和动态数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。
3虚拟化安全
虚拟化的安全包括两方面的问题:一是虚拟技术本身的安全,二是虚拟化引入的新的安全问题。虚拟技术有许多种,最常用的是虚拟机(VM)技术,需考虑VM内的进程保护,此外还有Hypervisor和其他管理模块这些新的攻击层面。可以采用的安全措施有:虚拟镜像文件的加密存储和完整性检查、VM的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM进程监控、VM的安全迁移等。
4身份认证与访问管理(IAM,IdentityandAccessManagement)
IAM是用来管理数字身份并控制数字身份如何访问资源的方法、技术和策略,用于确保资源被安全访问的业务流程和管理手段,从而实现对企业信息资产进行统一的身份认证、授权和身份数据集中化的管理与审计。IAM是保证云计算安全运行的关键所在。传统的IAM管理范畴,例如自动化管理用户账号、用户自助式服务、认证、访问控制、单点登录、职权分离、数据保护、特权用户管理、数据防丢失保护措施与合规报告等,都与云计算的各种应用模式息息相关。
IAM并不是一个可以轻易部署并立即产生效果的整体解决方案,而是一个由各种技术组件、过程和标准实践组成的体系架构。标准的企业级IAM体系架构包含技术、服务和过程等几个层面,其部署体系架构的核心是目录服务,目录服务是机构用户群的身份、证书和用户属性的信息库。
5应用安全
由于云环境的灵活性、开放性以及公众可用性等特性,给应用安全带来了很多挑战。云计算的应用主要通过Web浏览器实现。因此,在云计算中,对于应用安全,尤其需要注意的是Web应用的安全。要保证SaaS的应用安全,就要在应用的设计开发之初,制定并遵循适合SaaS模式的安全开发生命周期规范和流程,从整体生命周期上去考虑应用安全。可以采用的防护措施有访问控制、配置加固、部署应用层防火墙等。
⑵ 云计算灾备:灾备通识
目录
一、灾备的定义
灾备指的是用现有的科学技术手段和方法,提前建立起可靠的应急方式,来应对突发事件的发生。
灾备包括容灾系统和备份系统。
备份: 保障数据的安全性 ,备份指的是将全部或部分数据集合从生产主机硬盘或阵列中保存到其他的存储介质的过程。
容灾: 保障业务的连续性 ,容灾指的是在较远的异地建立两套或者多套相同的、包含完整基础设施(计算、网络、存储、电力制冷等)的IT系统,通过网络的方式实现数据的传输,当主数据中心发生故障,可以利用备数据中心快速恢复业务。
保护对象 :备份保护的是 数据 ,容灾保护的是 业务连续性 。
实现方式 :备份采用备份软件技术实现,而容灾通过复制或者镜像软件实现。
时间周期: 数据保护的周期不一致,复制或者镜像的时间周期更短。
补充:归档使用的是备份。
只有备份:
如果只有备份,业务无法快速恢复,数据恢复需要时间,这段时间对某些行业带来的损失是无法估量的。另外,备份一般是周期性执行的,一旦发生数据丢失,从恢复复时间到上次备份时间之间的数据就会丢失。
只有容灾:
如果只有容灾,业务可以快速恢复,数据也可以被保护,但是生产段有错误的操作,或者系统升级失败之类的,也会被同步到容灾端,从而造成业务的中断。
(数据是无价的,丢了的话问题很大哇!)
云服务器备份服务(CSBS): Cloud Server Backup Service,为云服务器提供整机备份功能,支持基于多云硬盘一致性快照技术的本地备份,以及对备份数据的远程复制,并支持利用备份数据恢复云服务器数据,最大限度保障用户数据的安全性和正确性,确保业务安全。
云硬盘备份服务(VBS): Volume Backup Service,基于云硬盘的备份服务。用户可为云硬盘创建备份,利用备份数据回滚云硬盘,以最大限度保证用户数据正确性和安全性。
同步复制: 实时同步进行复制。
异步复制: 异步复制数据,数据一致性有待商榷。
本地生产中心:
同城容灾方案(<100km):
异地容灾方案(>100km):
优点:
本地高可用: 本地高可用通常为近距离的同一个机房内,使用 实时镜像 和 同步复制 的方案,由于带宽和距离很近,通常要求RPO=0。
优点:
关键技术: HyperReplication
优点:
关键技术: HyperMetro
补充:
备份窗口 :它指用户正常使用业务系统不受影响的情况下,能够对业务系统中的业务数据进行数据备份的时间间隔,或者说是用于备份的时间段。
完全备份: 又叫全量备份,对某一时间点上的所有数据的一个完全拷贝。备份发起后变更的数据将在下一次进行备份,又称为全量备份。
累积增量式备份: 以上一次完全备份为基准 进行备份,若之前从未进行过备份,则备份所有数据。
差异增量式备份: 以上一次备份为基准 进行备份,若之前从未进行过备份,则备份所有文件。
恢复点目标(RPO): 当业务发生故障时,可以容忍 数据丢失的数量 ,单位为时间。
举例:8点进行备份,9点丢数据,RPO=1小时,丢了一个小时的数据。
恢复时间目标(RTO): 当业务发生故障时,可以容忍 业务中断的时间 ,单位为时间。
举例:比如灾难发生后半天内需要恢复数据,那么RTO就是12小时。
RTO/RPO 与灾难恢复能力等级关系(GB/T 20988-2007)
这个在备份组网那一块再详细补充...
这里参考:图解三种备份方式(LAN,LAN free,Server free)_star&storage的技术博客_51CTO博客
LAN-Base,这种方式很简单,直接在生产服务器上安装备份代理,部署一台备份服务器,这样即可完成备份,不过这种方式不适合数据量非常大的环境。因为如果备份数据量非常大,会占用以太网的带宽,虽然说备份操作一般在晚上进行。但是这种方式还是不适合大数据量的情况。因此有了LAN-Free备份。
LAN-Free,顾名思义,即释放了LAN的压力。如上图所示,数据流直接从File server经过FC switch备份到Tape,而不经过Lan,这样就不会占用主网络的带宽。但是数据仍然会通过文件服务器的本地磁盘--内存—FC switch这步,因此仍然会消耗File server的资源。因此有了下面的Server Free备份来尽可能的减少生产服务器的压力。
Server-Free,即备份时数据不流经服务器的总线和内存,如上图,文件服务器使用SAN的File Server Storage空间,现在需要备份文件服务器,则只需将File Server Storage的数据直接备份到Tape。此时文件服务器只需要发出SCSI扩展复制命令,剩下的事情就是File Server Storage和Tape之间的事情了,这样就减轻了文件服务器的很多压力,使它可以专注于对外提供文件服务,而不需要再消耗大量CPU、内存、IO在备份的事情上了。
或者还有一种方式即NDMP,Network Data Management Protocol,网络数据管理协议。它是一种支持智能数据存储设备、磁带库设备及备份应用程序之间互相通信以完成备份过程的通信协议。服务器只要向支持NDMP协议的存储设备发送NDMP指令,即可让存储设备将其自己的数据直接发送到其他设备上,而不需要流经服务器主机。
主机层数据复制: 在生产中心和灾备中心的服务器上安装专用的数据复制软件,如卷复制软件,以实现远程复制功能。两中心间必须有网络连接作为数据通道。可以在服务器层增加应用远程切换功能软件,从而构成完整的应用级容灾方案。这种数据复制方式相对投入较少,主要是软件的采购成本;兼容性较好,可以兼容不同品牌的服务器和存储设备,较适合硬件组成复杂的用户。但这种方式要在服务器上通过软件来实现同步操作,占用主机资源和网络资源非常大。
网络层数据复制: 在生产中心和灾备中心的服务器上安装专用的数据复制软件,如卷复制软件,以实现远程复制功能。两中心间必须有网络连接作为数据通道。可以在服务器层增加应用远程切换功能软件,从而构成完整的应用级容灾方案。这种数据复制方式相对投入较少,主要是软件的采购成本;兼容性较好,可以兼容不同品牌的服务器和存储设备,较适合硬件组成复杂的用户。但这种方式要在服务器上通过软件来实现同步操作,占用主机资源和网络资源非常大。
存储层数据复制: 要实现数据的复制需要在生产中心和灾备中心都部署一套这样的存储系统,数据复制功能由存储系统实现。如果距离比较近(几十公里之内),之间的链路可由两中心的存储交换机通过光纤直接连接;如果距离在200公里内,可通过增加DWDM等设备直接进行光纤连接;超过200公里,则可增加存储路由器进行协议转换途径WAN或Internet实现连接。因此,从理论上可实现无限制连接。在存储层实现数据复制功能是很成熟的技术,而且对应用服务器的性能基本没有影响。目前,这种容灾方案稳定性高、对服务器性能基本无影响,是容灾方案的主流选择。
本文作者:SkyBiuBiu
本文链接:https://www.cnblogs.com/Skybiubiu/p/14992848.html
⑶ 不理解:“云计算提供了最可靠、最安全的数据存储中心,用户不用再担心数据丢失、病毒入侵等麻烦”。
云的概念主要是指大规模硬件虚拟化技术和云存储技术等等的结合。
关于你说的病毒入侵应该是说病毒进入了云主机系统,毁坏了文件或者数据等问题,首先云的数据不是储存在一块物理硬盘上的,因为云采用的是分布式存储,所以不用担心数据的丢失,系统同样是做的镜像备份处理,在遭到破坏后可以及时恢复。
你不要把云服务器看成是无坚不摧的东西,它只是有很多技术可以协助数据丢失以及系统崩溃问题后的恢复。云服务器只是用云技术虚拟出的服务器,病毒的防护同样是需要把自己的系统做安全。
⑷ 请教下大家,云原生计算环境的主要安全风险有哪些
云原生计算环境的主要安全风险类型包括:云原生网络安全风险、云原生编排及组件安全风险、镜像安全风险、镜像仓库安全风险和容器逃逸攻击等类型,针对这些风险的防范建议还是去找有实力的安全服务厂商,我们公司现在合作的青藤云安全在这方面做的就非常不错,可以去了解下。
⑸ 云计算服务中断怎么办
随着消息的扩散,数据中心行业对于云计算服务提供商是否能够提供安全,可靠的网站服务又重新展开了激烈的讨论。由于服务中断会直接影响云计算服务提供商的财务状况,因此云计算服务提供商也在一直积极地寻找新的方法来降低停机时间造成的影响范围和时间。
降低停机损失的最佳做法
如果你的公司的业务已经托管在云中,或者正在考虑云计算解决方案,首先,应该测试你的关键业务在云计算服务一旦中断后是否可以凭借自身来处理数据。此外,应用程序也应该进行测试,确保能够以较快的速度恢复,这将有助于你的公司在服务中断后将损失降低到最小。
此外,公司还应该要考虑到随机事件,使IT团队在尽量接近真实世界的条件下进行响应测试,来找到最好的解决方案,并降低停机带来的损失。和云计算服务提供商共享这些压力测试结果有助于建立一个更加全面的系统解决方案。
寻求顶级的解决方案提供商,可以有效的保证数据的安全性并限制停机出错的频率。例如,大型的云计算服务提供商会升级电气以及冷却系统,引进新的安全设备,来降低出错的几率。此外,服务提供商还会提供数据备份功能,来应对停机之后造成的数据丢失。而多样化的备份方式也允许用户通过多种途径来恢复自己的数据并尽快的恢复关键业务的运行。
从错误中吸取教训
一旦发生停机后,负责任的服务提供商会进行数据分析,找出任何导致出错的原因,包括硬件,人为错误以及内部文档,来对发生的事件负责任。一旦最终确定根本原因,服务提供商需要通过实施新的措施以及安全检查程序,并进行学习和适应,避免再次发生类似情况。
当然,重大的中断事件应该尽量避免,顾客也不用为自己在云计算服务商托管的业务感到提心吊胆。要知道,很多停机事件在数据中心内部经常发生,但却没有被新闻报道,这是因为它们得到了很好的处理,并没有对客户的业务造成影响。云计算解决方案的灵活性保证了即使发生了一些错误,仍然可以保证服务的正常运行。
选择合作伙伴
云计算服务市场是一个复杂的市场,每一个服务提供商所提供的运行时间,安全性以及可靠性都不相同。所以寻找一个合适的合作伙伴是一项重大的挑战。首先,信息的透明度是至关重要的,这些信息包括服务提供商过去发生的停机时间,采取了那些措施,有什么新的举措来应对等等。你可以在网上关注这些服务提供商的动态,比如Twitter以及电子邮件。
一个没有透明度的服务提供商是难以提供可靠服务的,客户也很难对他们有信心。而顶级的服务提供商是积极的,无论是数据中心的信息还是公司的信息都会提供给客户,来避免潜在的停机危险。
具体可以看看iT号外,专家问答很详细。
⑹ 云计算时代信息数据安全如何保障
信息安全的主要目标之一是保护用户数据和信息安全。当向云计算过渡时,传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。
数据与信息安全的具体防护可分为以下几个方面。
1.数据安全隔离
为实现不同用户间数据信息的隔离,可根据应用具体需求,采用物理隔离、虚拟化和Multi-tenancy等方案实现不同租户之间数据和配置信息的安全隔离,以保护每个租户数据的安全与隐私。
2.数据访问控制
在数据的访问控制方面,可通过采用基于身份认证的权限控制方式,进行实时的身份监控、权限认证和证书检查,防止用户间的非法越权访问。如可采用默认“denyall”的访问控制策略,仅在有数据访问需求时才显性打开对应的端口或开启相关访问策略。在虚拟应用环境下,可设置虚拟环境下的逻辑边界安全访问控制策略,如通过加载虚拟防火墙等方式实现虚拟机间、虚拟机组内部精细化的数据访问控制策略。
3.数据加密存储
对数据进行加密是实现数据保护的一个重要方法,即使该数据被人非法窃取,对他们来说也只是一堆乱码,而无法知道具体的信息内容。在加密算法选择方面,应选择加密性能较高的对称加密算法,如AES、3DES等国际通用算法,或我国国有商密算法SCB2等。在加密密钥管理方面,应采用集中化的用户密钥管理与分发机制,实现对用户信息存储的高效安全管理与维护。对云存储类服务,云计算系统应支持提供加密服务,对数据进行加密存储,防止数据被他人非法窥探;对于虚拟机等服务,则建议用户对重要的用户数据在上传、存储前自行进行加密。
4.数据加密传输
在云计算应用环境下,数据的网络传输不可避免,因此保障数据传输的安全性也很重要。数据传输加密可以选择在链路层、网络层、传输层等层面实现,采用网络传输加密技术保证网络传输数据信息的机密性、完整性、可用性。对于管理信息加密传输,可采用SSH、SSL等方式为云计算系统内部的维护管理提供数据加密通道,保障维护管理信息安全。对于用户数据加密传输,可采用IPSecVPN、SSL等VPN技术提高用户数据的网络传输安全性。
5.数据备份与恢复
不论数据存放在何处,用户都应该慎重考虑数据丢失风险,为应对突发的云计算平台的系统性故障或灾难事件,对数据进行备份及进行快速恢复十分重要。如在虚拟化环境下,应能支持基于磁盘的备份与恢复,实现快速的虚拟机恢复,应支持文件级完整与增量备份,保存增量更改以提高备份效率。
6.剩余信息保护
由于用户数据在云计算平台中是共享存储的,今天分配给某一用户的存储空间,明天可能分配给另外一个用户,因此需要做好剩余信息的保护措施。所以要求云计算系统在将存储资源重分配给新的用户之前,必须进行完整的数据擦除,在对存储的用户文件/对象删除后,对对应的存储区进行完整的数据擦除或标识为只写(只能被新的数据覆写),防止被非法恶意恢复。
⑺ 云计算服务如何保护用户的数据
云计算服务如何保护你的数据呢?简单地说有以下几个方面:身份验证、访问权限控制、服务器的安全性。身份验证是用来保证只有用户自己才能以自己的身份登录。访问权限控制是指用户之间数据是否可见。服务器安全性是指服务器上使用的软件和服务程序是否安全。
你是否曾把家庭住址、电话号码、自己的名字以及银行卡号码等信息放在网上?这些信息如果被不法分子获取,就有可能会发生令人不快的事,轻则接到骚扰电话或垃圾短信,重则这些私人信息甚至可能被用来做违法的勾当。同样的道理,对一家企业而言,企业的收入支出、产品的配方、职员的信息等也是很重要的信息,若被商业竞争对手得到,则在市场竞争中就会处于不利的地位。而云计算分为私有云和公共云两种,私有云是在企业内部架设的云计算服务,相对来说比较安全,因为入侵者需要进入到公司的网络内部窃取数据,难度比较大。公共云是架设在互联网上的云计算服务,比如我们平时使用的网页电子邮件、文件分享、照片分享等服务。这些服务在互联网上任何人都可以访问,所以如何保护你的数据能够不被别人访问就是很重要的事。
云计算服务如何保护你的数据呢?简单地说有以下几个方面:身份验证、访问权限控制、服务器的安全性。身份验证是用来保证只有用户自己才能以自己的身份登录,比如小明在云服务A上设定了密码,其他人不知道小明的密码就无法用小明的身份登录。访问权限控制是指用户之间数据是否可见,比如小明上传了照片到云服务B,他可以决定只有小红才能看见他上传的照片,这样就保护了照片不被其他人看见。服务器安全性是指服务器上使用的软件和服务程序是否安全,这需要云服务的管理员不停提高云服务的安全性。
作为个人用户,如何决定你正在使用的云计算服务是否安全呢?有几个方面可以帮助你决定。你需要考虑一下自己放在云计算服务上的数据对你是否重要,一旦泄露或者丢失,会对你产生怎样的影响。重要的数据需要更高的安全性。还要想想自己使用的云服务是否属于知名企业,用户是否够多,用户多的知名企业会更关心服务的安全性和用户数据的安全,也会投入更多的人力物力到服务安全中去。云服务本身对安全保护是否重视,是否使用了密码验证以外的身份验证方法,是否提供给用户控制访问权限,都从不同的侧面反映了云服务本身的安全性高低。
对于个人用户来说,联网的个人计算机往往也有很多安全漏洞。和个人计算机相比,有专业安全人员维护的云计算服务往往会更加安全一些。我们要根据具体情况作出自己的判断,而不是简单地认为云计算很安全或者云计算不安全。