雲環境所面臨的安全威脅

爲了雲計算的健康發展和等級保護工做在新形勢下順利推動，就不能忽視對雲計算面臨的各種安全威脅的研究和分析，並制定和創建相應的等級保護政策、技術體系，應對即將到來的雲浪潮。在雲環境中，除了傳統意義所面臨的各種安全威脅外，也有新的商務模式帶來的新威脅。

1. 逃逸威脅和隱蔽信道

逃逸威脅是指在已控制一個虛擬化應用(VM)的前提下，經過利用各類虛擬系統安全漏洞，進一步拓展滲透到Hypervisor甚至其它VM中，進行Hypervisor級、其它虛擬化應用後門安裝、DDoS等攻擊。這類威脅以及相關通訊因爲是在虛擬機以上各個VM之間發生的，並且大部分是在同一物理實體之上，根本不通過安全網關、硬件防火牆等安全設備，即因爲虛擬機之間共享硬件資源而引起的隱蔽通道，所以經過傳統防禦設備根本沒法檢測和防禦。虛擬化環境下缺少對VM間通訊流量的可見性是咱們面對的一大安全難題。

2. Web安全漏洞

雲計算服務推進了Internet的Web化趨勢，Internet是一個開放的、無控制機構的網絡，並且與傳統的操做系統、數據庫、C/S系統的安全漏洞相比，應用層面安全問題更爲突出，多客戶、虛擬化、動態、業務邏輯服務複雜、用戶參與等這些web2.0和雲服務的特色對網絡安全來講意味着巨大的挑戰，甚至是災難。雲計算的安全問題還必須考慮比網絡安全更爲複雜的問題。

3. 拒絕服務攻擊

因爲雲平臺的大規模與高性能，一旦遭受DDoS攻擊，雲平臺是否有能力提供應對的技術手段，使正常的應用不受影響，是評價雲計算平臺的一個重要指標。拒絕服務攻擊DoS和DDoS雖不是雲服務所特有的。可是，在雲服務的技術環境中，單位中的關鍵核心數據、服務若是離開了內部網遷移到了雲服務中心，更多的應用和集成業務開始依靠互聯網，拒絕服務帶來的後果和破壞將會明顯地超過傳統的網絡環境。所以服務和數據的隨時可用性自己不只是一項很是重要的安全指標，並且其質量的保證在一個存在惡意攻擊的環境裏會形成其複雜度大大增長。如何防止破壞正常應用的DDoS攻擊是一個很大的挑戰。

4. 內部的數據泄漏和濫用

相對而言，安裝在現有內部環境中的應用更易於檢查，並且也有了完善的檢查技術，然而，對安裝在外部的雲計算應用若是沒有妥善的保護，這些數據可能從外部雲計算被非法泄露，並且對其進行檢查的難度很是大。當用戶的敏感數據在雲端處理的時候，單位的重要數據和業務應用處於雲平臺的IT系統中。在多用戶環境中，雲平臺很難提供與單獨客戶環境相同的資源隔離等級和相關保障，用戶沒法對風險進行直接的控制，數據的擁有者不能控制，甚至不知道數據的存儲位置，多個不一樣等級的計算任務可能在一臺或多臺機器上運行。有效保障雲服務商自身內部的安全管理和職責分離體系、安全審計，避免雲計算環境中多客戶共存帶來的潛在風險，都成爲雲計算環境下用戶的重大安全顧慮。

5. 身份管理

在等級保護中，主客體認證、強制訪問控制—直是討論的焦點，在雲環境中若是不切實際解決這兩個問題，雲的普遍應用是不現實的。原先爲了安全放在防火牆內的數據，如今放在了外部雲計算環境中，如何在多項服務中應用角色，策略的管理、多個身份有效管理、身份鑑定均面臨着很大的安全挑戰。對員工、客戶、參與者和工做負載的身份鑑定、受權和審計是雲計算安全性的將來方向。

6. 不一樣雲之間的互聯互通(可移植性)

出於現實情況考慮，國內雲平臺建設多以各地、各行業私有云爲主，尤爲是對於國家重要信息系統和網絡，因爲目前雲計算還沒有在業界造成一個統一的標準化體系，不管是雲平臺仍是雲服務的統一標準都沒有造成，這就給雲計算產業的發展帶來了瓶頸，各個單位爲了本身的雲服務發展推出各自的平臺和服務標準，使得衆多雲平臺和運用服務用戶的利益和長遠發展得不到保證，極大地阻礙了雲計算通用性和替代性以及軟件的適合性和繼承性的發展。