云计算技术作为快速迭代的新兴技术,云平台在设计、应用、测试和部署时对安全性考虑仍显不足,在资源高度集中的运行环境下,云平台容易成为黑客的攻击目标,与传统企业的网络环境相比,云平台所面临的攻击威胁更大,产生的影响更大。
一、基础平台风险
云计算基础平台相比传统IT基础设施系统结构更加复杂,设备规模大、应用类型多,这给云计算基础平台安全管理带来了更大的挑战。从历年的安全检查和安全演练情况来看:部分云计算基础平台核心软硬件设备中仍然存在大量操作系统漏洞、配置错误、策略失效等高、中风险安全漏洞;各类云管理平台、业务运营支撑系统中也经常暴露出信息泄露、越权访问、跨站脚本等安全漏洞;云平台远程运维模式和身份认证机制在工程实现中暴露出严重风险隐患;共享物理基础设施的不同租户之间因分离存储、内存、路由等机制失败而导致的虚机跳跃攻击、侧信道攻击等案例时有发生;通过网络钓鱼窃取用户凭据后进行云计算服务跟踪和本地攻击,最终导致大量数据泄露的案例日益增多;云计算服务密钥管理机制不完善,密码技术的合规性、正确性和有效性得不到保障,一直是云计算服务基础平台的安全隐忧。
二、数据安全风险
数据安全是云计算服务安全的最终目标之一,与此同时,数据安全风险也是用户选择云计算服务商时首要考虑的因素,然而从目前情况来看,当前云计算服务中存在的数据安全风险隐患依然很多:数据传输和共享过程中,数据未采取加密机制或加密机制存在缺陷,第三方调用采用明文方式进行传输,数据在同一台物理服务器上不同VM之间通过服务器内部虚拟网络进行通信时的数据安全防护机制考虑不周,这些都可能被攻击者利用从而导致数据信息泄露;云计算基础设施中依然存在大量重要、敏感数据未使用加密技术进行保护,给黑客等不法分子带来可乘之机,导致信息泄露或篡改等行为发生;云服务数据在迁移过程中,遗留数据得不到彻底清除,传输数据得不到有效保护,备份数据得不到合理处置,往往引发数据泄露风险;对开发、测试、生产环境开放接口管理不严格,而导致数据迁移项目中的数据泄露案例时有发生;云计算服务中过度收集用户个人信息,违规使用个人信息,违反个人信息保护法等问题还频频出现。
三、供应链安全风险
目前,国内云计算服务平台所采用的云管平台软件、服务器、网络安全设备、网络交换设备和各类应用软件虽已广泛采用国内厂商供货,但上述设备中使用的CPU、内存、硬盘、关键芯片方面主要供应商仍主要来自美国、韩国等境外企业,“芯片断供事件”给我们敲响了警钟,这些隐藏在二级、三级供应链中的安全风险在今后一段时间内依然是云计算服务商需要持续关注的现实风险。此外,数字供应链发展是未来趋势,供应链安全成为网络安全体系面临的重要挑战。
四、专业人才匮乏风险
据最新发布的《网络信息安全产业人才发展报告》显示,2021年国内网络安全专业人才累计缺口超140万人,而云计算服务安全专业人才缺口更显突出,在历年网络安全攻防演练活动中,由于云计算服务安全管理人员意识不强、技能不足而导致的云平台受到社会工程钓鱼攻击情况时有发生,云平台技术人员由于操作失误、配置不当而引发的网络安全事故也屡屡发生,这些都给云平台安全稳定运行带来了很大的风险隐患。
五、其它风险
当前,考虑到云计算服务应用场景固有的潜在风险,国家各部门陆续出台了多项监管政策和合规要求,云计算服务供应商要做好兼顾合规与风险管控是极具挑战的事情。另外,种类复杂多样的云上应用尚缺乏整体统一的安全规划和策略,快速应对云计算新技术演进面临的风险能力仍存不足。云计算服务中数据泄露和滥用、数据违规共享等安全管理问题也值得关注。
云计算服务安全风险应对措施
通过对云计算服务中的安全风险分析,可采取以下措施对云计算服务安全风险进行防范和持续改进。