发表于:2014年3月13日
2013年6月20日 下午5:27
云计算的利与弊
十年多前,云计算横空出世,如今它已是每一个CIO梦寐以求的东西。它代表了我们大多数人所能想见的信息技术中最显著的转变。它的优点很是吸引人。
—— 通过按需配置的计算能力,它不仅提供了灵活性,还让信息技术与企业战略和需求的结合变得更容易。
—— 它还符合成本效益。云计算解决方案的用户可以将自身从基础设施管理中解放出来,转而专注核心竞争力
—— 云存储的容量是无限的。因此,再也不必担心存储空间不够用了
—— 相比存储在物理设备上的数据,云端备份和恢复容易得多。大多数云计算供应商提供这类服务
—— 软件集成通常会自动运行。没有必要采取额外的措施来定制和集成应用程序
—— 从任何地方访问信息都很容易,只要那里有互联网连接
—— 部署会很快速并且可以在几分钟之内就完成,取决于采用的技术类型
所有这些诱人的优点都有与之对应的缺点,主要是由于安全性造成的。那些决定采用云技术的首席信息官(CIOs)应该记住,他此举将会把组织机构所有的敏感信息提供给第三方的云服务提供商,而这有可能让其组织机构处于很大的风险中。
—— 数据泄露
—— 账户劫持
—— 不安全的APIs(应用程序接口)
—— 拒绝服务
—— 恶意的内部人员
—— 云服务的滥用
—— 不充分的审慎调查
—— 共享技术的问题
数据泄露
试想一下,一个组织机构的所有敏感数据都落入竞争对手的手中。而这种风险的确是存在的,北卡罗来纳大学,威斯康星大学和RSA公司的研究人员所写的论文中阐明了这一点。他们描述了虚拟机如何使用边信道攻击来提取在同一物理服务器上被用于其他虚拟机的私有加密密钥。更简单点说,如果一个多租户的云服务数据库被设计得很糟糕,那么这可能使得攻击者可以访问其所服务客户的所有数据。
账户劫持
账户和服务劫持依然是最大的威胁。凭借偷来的授权,攻击者可以访问部署的云计算服务的关键领域。禁止用户和服务之间进行账户认证共享应该是第一条要实施的规则。
不安全的APIs(应用程序接口)
Web和云服务使用API密钥来识别第三方应用程序。如果服务提供商不够谨慎,可以访问密钥的攻击者会导致拒绝服务或让受害者承担巨额费用。
拒绝服务
拒绝服务攻击威胁互联网已经很多年,但它在云计算时代变得更成问题,组织机构都依赖于一项或多项全天候可用的服务。
恶意的内部人员
恶意的内部人员可以是现任或前任员工、承包商或是获得访问网络、系统或数据权限而用于恶意目的的商业伙伴。在一个设计不当的云计算方案中,恶意的内部人员会造成更大的破坏。
云服务的滥用
坏人可以利用云服务的计算能力来破解加密密钥,而通常这在一台标准的计算机上是难以破解的。另一个例子是黑客使用云服务器发动DDoS(分布式拒绝服务)攻击或者传播恶意软件。
不充分的审慎调查
换一种方式来说就是企业在接纳云计算时却并不完全了解云计算的环境及其相关风险。例如,一个公司的开发团队在将应用放入云端时,没有获得足够的培训或是熟悉云技术。
共享技术的问题
云服务供应商将基础架构、平台和应用程序共享,从而以可扩展的方式来提供服务。他们大量使用虚拟化技术。存放在一个单一的物理系统管理程序平台的若干组织机构的数据有关风险的确存在,并且这种风险会继续,除非制定出具体的措施。如果其中一个组成部分受损,比如一个虚拟机管理程序、一个共享的平台组件或是应用程序,它会将整个环境暴露在外,从而存在遭受破坏和泄露的可能性。
只有你知道该做什么,云技术才会变得奇妙。但与任何新技术一样,云计算创造了新的机遇,也带来了新的风险。如果没有意识这其中的利弊,这个梦想的实现也会成为一场噩梦。
作者: Patrick Wolf