云計算怎樣打敗勁敵拒絕服務攻擊DDOS

云計算怎樣打敗勁敵拒絕服務攻擊DDOS

隨著越來越多的公司開始使用虛擬化數(shù)據(jù)中心和云服務，企業(yè)基礎設施出現(xiàn)了新的弱點。與此同時，云計算拒絕服務攻擊也開始由原來利用大量數(shù)據(jù)流進行暴力式攻擊轉(zhuǎn)變?yōu)獒槍A應用程序的技術性攻擊。在云計算中，公司需要擔心的不僅僅是對他們資源的攻擊，還需要擔心對主機托管租戶的攻擊。因為隨著多租戶的普及，針對一個公司的攻擊可能會影響到另外一些雖然沒有聯(lián)系的，但也采用主機托管的公司的服務。本期我們討論的話題是：云計算怎樣打敗勁敵DDOS。云的實質(zhì)從應用的角度講，云計算并不是技術的革命，而是服務方式的更新，其實質(zhì)是一種統(tǒng)一的集中的服務提供方式。這種服務和應用提供方式的轉(zhuǎn)變與計算技術發(fā)展初期集中計算模式有本質(zhì)區(qū)別，它是建立在計算技術、網(wǎng)絡技術以及業(yè)務應用充分發(fā)展的基礎之上的。盡管云計算需要一些新的技術手段來支持它的實現(xiàn)，但根本上說，云計算改變的不是技術而是服務及應用的模式，而且這種改變將是深遠的。即便它不能最終如很多人期望的那樣成功，也會對未來的信息技術發(fā)展產(chǎn)生重要影響。云端的安全云端安全一直是云計算安全問題的焦點，這一方面已經(jīng)有很多專家學者和產(chǎn)業(yè)界的人士從各種角度給予了分析。當然，也有很多人認為云端安全問題沒有想象的那么嚴重。就我個人來看，云端安全問題包括兩個層面，一是技術層面安全，另一個是社會層面的安全。技術層面的安全包括：系統(tǒng)安全、數(shù)據(jù)安全、內(nèi)容安全和使用安全，同時更強調(diào)系統(tǒng)的可靠性、可用性和安全性。從安全問題在云端系統(tǒng)中的分布來看，云端安全可以包括基礎架構(gòu)安全、虛擬化技術安全、云存儲安全、云應用安全等在內(nèi)的諸多問題。技術層面的安全應該說并不難解決，我相信云端存在的安全問題不會比我們大家廣泛使用的操作系統(tǒng)更多。社會層面的安全其實是云計算及云服務所面臨的最大挑戰(zhàn)和最難逾越的障礙。這里面包括政府的相關法律法規(guī)是否完善，相關的糾紛仲裁以及取證如何實施等等，其實質(zhì)上是考驗更深層次的社會信任和信譽機制是否成熟。缺乏信任以及信任無法獲得有效監(jiān)督和監(jiān)控都將嚴重影響云計算的廣泛應用和部署。云端基礎架構(gòu)的安全隱患云計算的安全更多的取決于云計算基礎架構(gòu)。云計算部署之初，直接采用從底層開始系統(tǒng)設計和開發(fā)的云計算基礎架構(gòu)還是少數(shù)的，更多的是近似的云基礎架構(gòu)，也就是說大多數(shù)云基礎架構(gòu)沒有深層次的考慮應用和服務的需求和特點。這種情況下，應該說，整個云計算基礎架構(gòu)的可靠性、可用性都存在一些問題，當然也包括安全性。這樣的系統(tǒng)更容易遭受到攻擊，不僅僅包括一切現(xiàn)有網(wǎng)絡應用中存在的攻擊行為和方式，而且由于整個基礎架構(gòu)上的不完善，更多的漏洞和缺陷將被利用，其所帶來的損失和危害也更大。應對這些安全隱患，需要更加重視云基礎架構(gòu)的全面的系統(tǒng)的設計，在必要的基礎服務設施及內(nèi)部網(wǎng)絡上引入有針對性的技術和產(chǎn)品。額外需要指出的一點是，從國家安全和利益這個角度上講，我們需要有自主知識產(chǎn)權的基礎架構(gòu)技術和產(chǎn)品，這一點非常重要。應對云端虛擬化安全問題云端虛擬化是構(gòu)建云基礎架構(gòu)平臺的重要手段，也正是因為虛擬化的重要性，它本身的安全問題也是云基礎架構(gòu)平臺所需要重點考慮的。虛擬化在某種程度上會帶來某些安全特性的提升，如對用戶行為進行了一定程度上的隔離。但另一方面，它所引入的風險也不容小視。虛擬環(huán)境下很多傳統(tǒng)的安全防護產(chǎn)品將失去作用，而一旦一個虛擬節(jié)點遭到入侵，將給整個云基礎架構(gòu)帶來致命的威脅。云端虛擬化安全問題的解決還要更多的依賴于有針對性的安全技術和產(chǎn)品，這方面的未來市場需求還是很大的。解讀云計算安全風險云計算面臨的安全風險可以從兩個角度來分析，一是從用戶的角度，即用戶在使用云的時候所面臨的安全風險；另一個是從云提供者的角度，即云服務商在提供服務時面臨的安全風險。從用戶的角度來看，在云環(huán)境下，用戶對于應用運行和數(shù)據(jù)存儲的物理環(huán)境缺乏必要管理和控制權限，所謂安全完全建立在對云提供者的信任基礎之上，而沒有監(jiān)控和審核的信任往往又是最不安全的。因此，用戶必須充分意識到云計算這種服務模式固有的安全風險，特別是在相關的法律法規(guī)還不健全，第三方監(jiān)督還沒有有效建立的情況下，必須考慮與云服務提供者達成詳細的有約束力的契約。從云提供者的角度來看，必須要應對用戶/數(shù)據(jù)隔離失效風險、云服務可靠性及可用性風險等。除此之外，云提供者還必須要應對惡意用戶對于云的濫用風險。為了規(guī)避以上風險，云提供者必須對云進行系統(tǒng)、全面的安全加固，不僅要在網(wǎng)絡層面，在云中部署針對性的安全防護產(chǎn)品，更需要從系統(tǒng)層面，建立完善的密鑰管理、權限管理、認證服務等安全機制。解決云存儲安全風險用戶使用云存儲時所面臨的主要安全風險包括數(shù)據(jù)泄漏、數(shù)據(jù)丟失等。與云計算相似，云存儲也是構(gòu)建在共享架構(gòu)之上，由于數(shù)據(jù)隔離的措施還不夠有效，對于數(shù)據(jù)的存儲、訪問、通信、銷毀等環(huán)節(jié)缺乏安全監(jiān)控，存在一定的安全隱患，導致數(shù)據(jù)存在丟失和泄漏的可能。同時在數(shù)據(jù)丟失的情況下，也有可能面臨因數(shù)據(jù)無法及時恢復所帶來的風險。以上這些風險主要是由于云服務提供者不能給用戶提供足夠的安全保障，因此對于這部分風險，用戶也可以通過與云服務提供者簽署數(shù)據(jù)安全相關的服務保障協(xié)議來將化解。針對用戶面臨的數(shù)據(jù)泄漏風險、數(shù)據(jù)丟失風險等，云服務提供者需采取必要的數(shù)據(jù)隔離、加密、備份、分權分級管理等措施，以保證云存儲服務的安全性。云應用里的安全隱患云應用里面存在安全隱患這是必然的。任何一種應用都是流程和邏輯的體現(xiàn)，而大部分應用是不能夠準確無誤地再現(xiàn)流程和邏輯的，因此必然會存在著缺陷和漏洞，這些缺陷和漏洞也就成為了最大的安全隱患?？赡芨砣藫鷳n的是這種應用上的隱患與云基礎架構(gòu)本身的安全問題疊加，會帶來更加復雜的問題。能否實現(xiàn)云應用和云基礎架構(gòu)的安全邏輯分割也許是未來可以考慮的方向之一，對于云計算安全問題的解決會起到簡化作用。獲得安全的云服務前面談到，云服務面臨兩個方面的安全挑戰(zhàn)，技術上的和社會層面上的。獲得安全的云服務要分別從這兩個方面著手。社會層面上，要盡快建立相關的法律法規(guī)。當然法律法規(guī)的建立并不能根本解決社會信任和信譽機制建立的問題，但可以促進信任和信譽機制的成熟。沒有法律法規(guī)的保障，我個人認為云服務的安全只能是一個美好的愿望。而從技術層面上看，要針對云服務的特點，研究專門的安全防護技術，開發(fā)有針對性的云服務及云應用的安全產(chǎn)品；同時，還需要針對法律法規(guī)的相關規(guī)定，為法律法規(guī)的實施提供相應的技術支持，例如，糾紛出現(xiàn)時，取證以及仲裁所需要的法證技術及產(chǎn)品等。云端確保用戶數(shù)據(jù)和隱私安全用戶的數(shù)據(jù)和隱私安全是云計算領域最早提出的，也是爭論最多的安全問題。這種關切其實很容易被人理解。它很類似于我們經(jīng)常接觸到的存款問題。我們把錢存到銀行，怎樣確保我們的錢不會因為銀行倒閉或者某些犯罪行為而被盜用或者丟失？怎樣確保我的財產(chǎn)信息不被泄漏？如果我們研究一下現(xiàn)有的銀行體系就會給我們提供很多啟示。首先，要有法律法規(guī)來應對，有了法律法規(guī)才可以為用戶數(shù)據(jù)和隱私提供一個有力的保障手段；其次，要有監(jiān)督審核機制來防范。用戶數(shù)據(jù)和隱私交給云服務提供商，并不意味著不需要監(jiān)督。無數(shù)經(jīng)驗證明，完全建立在信任和信譽基礎之上的安全是最不安全的。因此，云服務提供商以及云基礎設施提供者需要為第三方提供可靠的有效的監(jiān)督審核渠道和技術手段；最后，還要有一個查詢和確認機制。這種查詢和確認機制可以讓數(shù)據(jù)和信息所有者，及時的了解自己所擁用數(shù)據(jù)的安全狀態(tài)。上述這些方面，其實在技術上都需要一些新的方法和手段來支撐。包括數(shù)據(jù)的加密，權限的認證，數(shù)據(jù)處理流程的監(jiān)控以及取證技術的支持等等。私有云、公共云、混合云的安全差異性這三種云在安全問題上還是有差異的。私有云的安全問題與傳統(tǒng)企業(yè)或組織內(nèi)部的信息資產(chǎn)安全問題差別不大。以往存在的安全威脅也是私有云的安全威脅。而私有云的建立一定程度上會提高企業(yè)或組織內(nèi)部的信息資產(chǎn)安全。因為，私有云很大程度上解決了企業(yè)或組織內(nèi)部經(jīng)常存在的數(shù)據(jù)分散不能有效集中管理所帶來的風險。相對于私有云，公共云的安全問題將更為突出。不僅僅要面對私有云所面對的安全威脅和風險，而且涉及到多個云使用者之間的邏輯安全分割及防護的問題?；旌显频陌踩珕栴}與公共云安全問題類似。私有云、公共云、混合云的安全重點私有云的安全重點在于防止云基礎設施及系統(tǒng)受到入侵和外部攻擊。而公共云的安全重點在于內(nèi)部服務的邏輯安全分割以及數(shù)據(jù)和隱私等信息的泄漏?；旌显频陌踩雷o需要同時考慮私有和公用兩種情景下的防范重點。云計算環(huán)境下的網(wǎng)絡及服務器、CPU取證云計算環(huán)境的網(wǎng)絡和計算機法證技術與傳統(tǒng)環(huán)境下的取證技術相比，應該說有很大區(qū)別。目前情況下，計算機犯罪的證據(jù)相對來說還是比較集中的，便于收集及取證。我們所接觸到的計算機法證技術和產(chǎn)品更多的是面向單一設備的。在云計算環(huán)境下，計算機犯罪包括網(wǎng)絡犯罪的行為蹤跡將更為分散，證據(jù)難于收集。我們可以想象，在大規(guī)模的云計算基礎架構(gòu)平臺上去收集非法行為的蹤跡和證據(jù)，其復雜度是很難想象的。而這種取證又是確保云安全的必要手段。因此，我個人認為，隨著國家相關法律法規(guī)的出臺，相關的取證技術和產(chǎn)品還是有很大的市場需求的。云計算及云安全標準.目前云計算的標準化情況還存在很大程度的滯后。原因有很多，主要是云計算技術、服務及應用上還存在著各種不同的觀點和看法。這種情況也側(cè)面反應了云計算的真正成熟和商用還有相當長的路要走。至于云安全相關的標準化情況則更為不樂觀。安全技術的發(fā)展從時間軸上總是要滯后于應用的發(fā)展，這也是一個客觀現(xiàn)實。云端安全產(chǎn)品與非云端安全產(chǎn)品的區(qū)別就目