云计算(cloud computing)标榜的卖点是不需什么维护,成本也很低。但问题是,企业会让自己的数据暴露于风险之中吗? 欧洲网络与信息安全机构(ENISA)公布的最新报告显示,云计算有利也有弊。 这份123页厚的报告标题为《云计算:利益、风险与信息安全建议》,建议企业若是把数据交给云计算服务厂商托管时,该如何做才能把风险降到最低。
ENISA指出,云计算的好处很明显,就是内容和服务随时都可存取,而企业也可降低成本,因为不必再花冤枉钱管理超过需求的数据中心容量,而是可视需求调整用量,并依照实际用量付费。 不必维护某些硬件或软件,也可发布内部的IT资源。 但这份报告的编辑Giles Hogben指出,企业仍对云计算望而却步,首要的问题是安全性。企业质疑,能够把企业的数据、甚至整个商业架构,交给云计算服务供应商吗?
云计算虽号称一周七天、24小时全天候提供服务,但厂商的数据中心也可能因故障停摆。而且,这将导致他们依赖单单一家服务供应商,万一数据与服务必须移交给另一家服务供应商,可能遭遇问题。再者,把数据搬上云端,企业可能面临主管当局稽核方面的挑战。有些云计算服务厂商还可能未确实依照顾客的吩咐,把数据完全、妥善地删除干净。
ENISA建议,企业必须做风险评估,比较把数据存在云端、以及存在内部数据中心的潜在风险。并比较各家云计算供应者,把选择缩减到几家,并取得优选者的服务水准保证。接下来,应该明白指定哪些服务和任务由公司内部的IT人员负责、哪些交由云计算厂商负责。
报告指出,如果选对供应商,数据存在云端可以是安全无虞的,甚至比内部的安全维护更固若金汤、更有弹性、也更能快速执行。例如,厂商可立即征召额外的防御资源,像是过滤(filtering)和绕道(re-routing),也可更有效率地部署新的安全更新,并维持更广泛的安全诊断; 二、基于云计算的网络监控系统 随着信息安全技术的发展,网络安全威胁已不仅仅来自外部,还要防范来自内部的威胁,内部人员因恶意或使用不当等带来的安全隐患。因此,网络监控系统孕育而生。由于云计算和移动技术改变了IT模式,解决方案供应商们不但需要突出广域网优化节省成本的优点,还要突出提高灵活性的优点。简化网络架构,运维的工作量和难度降低50%。 基于云计算的网络监控系统,减少了主机的负载,可以对ssl的加密信息进行审计,并初步支持ipv6。对困扰传统网络监控审计系统多年的不足和缺陷提出了解决方案。目前市场上的主流网络监控审计系统大多都属于传统的集中式网络监控审计系统,它们都不能满足海量数据的处理,无法应用到云计算分布式网络环境中,并且无法审计加密信息,也都没有考虑到IPV6的网络环境. 传统的集中式网络结构尽管具有部署简单,管理方便的优点,但是仍面临诸多挑战:一是在应对海量的工作时,系统的效率会降低。二是单点失效的问题,当系统结构的某个关键点失效后,整个系统可能瘫痪。 基于云计算的网络监控系统不仅丰富了网络审计系统的品种,还解决了现有网络审计系统的不足和缺陷,并且具有优越的可操作性、易用性和创新性,具有得天独厚的优势。具有以下的主要功能: (1)实现传统网络监控审计的基本功能,如流量分析,网络监控策略管理,网络内容监控审计等。
(2)采用云计算结构,实现负载均衡,大幅提升网络监控审计效率。
(3)通过SSL Proxy,实现对加密网络信息的审计,做到零遗漏审计。
(4)动态网络拓扑图绘制,实时反映网络结构。
(5)初步支持IPV6网络环境,以适应日益发展的网络结构。 基于云计算的网络监控系统其创新点为一下三点:
(1)巧妙设计SSL Proxy,获得SSL加密信息,使网络监控系统的审计功能更全面。 为了获得操作系统以及程序软件向外部网络发出的加密数据包,要想直接从每个软件获取SSL密钥是很困难的。因此,本系统巧妙地在每个Agent主机搭建了一个SSL Proxy,利用OpenSSL开发包实现加密数据包代理转发的功能。
(2)新型基于云计算的协作算法,缩短各功能模块之间的距离,占用极低的通信带宽,优化了协作计算的流程,提高了审计效率。 分布式网络审计系统初始化以后,计算任务仅由Agent主机完成。Agent主机的计算任务包括数据采集和数据审计。为了提高数据传输效率,降低网络传输负载,本系统缩短了采集模块与审计模块的距离,即每个Agent主机只需要审计自己抓取的数据。 (3)对IPV6新技术的支持。 目前可实现ipv6下的网络拓扑。
|