如何看待云存儲的核心問題——安全？

云存儲的一些特性和現有的IT模式有很大的差異，特別是數據和應用都存儲和運行在不可控的云平臺，而不是傳統的企業數據中心內。安全是云存儲的前提，如果用戶數據的私密性得不到保證，用戶的寶貴數據隨時可能丟失，那么，云存儲只能是“空中樓閣“。

首先需要承認，云存儲在安全方面確實面臨著更多的挑戰，也不可能強行要求用戶將所有的數據、服務和應用都依托于互聯網“云”里。安全問題主要體現在如下幾個方面：

在信任邊界方面有了巨大的變化。在現有的IT模式下，所有的IT資源都處于企業IT部門的監控之下，理論上都是可以信任的。但在云存儲環境中，數據存放在企業無法監管的云存儲平臺中，這些數據對企業而言暫時很難被充分信任。

更多利益相關方。過去只有企業的IT部分參與到IT運營中，但是在云存儲環境中，云存儲服務提供商也會參與其中。

云存儲服務暴露在互聯網上。和過去大多數企業IT服務只運行在企業的內部網不同的是，公有云存儲服務暴露在互聯網上。雖然它會配備一定的安全和認證方面的措施，但是需要面對DDos等攻擊的可能性。

多租戶共享的引入。云存儲運行平臺通過虛擬機或者特定的應用運行容器實現多租戶共享，但是這些技術都做不到盡善盡美，多個用戶可能互相干擾，這也為云存儲的安全性帶來了一定的隱患。

數據存儲。傳統模式下，個人用戶將數據存儲在本地磁盤，U盤等持久化介質中，而云存儲的數據存放在個人用戶無法接觸到的數據中心中，用戶的隱私存在一定的風險。

然而，云存儲的安全問題并不像想象中那么嚴重，云存儲服務提供商有專門的安全團隊，制定了完善的安全方案，對任何應用和數據的訪問和使用都會被記錄在案，也會對數據進行備份和加密。云存儲服務提供商一般為大型互聯網企業，技術實力強，能夠保證數據的高可靠和高可用性。另外，安全是云存儲的前提，當云存儲平臺出現非常重大的安全問題，將極有可能使其在市場上處于崩潰的境地，正因如此，云存儲服務提供商一定會非常重視安全問題。

傳統的IT模式在安全方面也不是固若金湯。例如：個人用戶往往沒有數據備份意識，很多用戶的關鍵數據只存儲一份在PC機或者手機中，也不進行加密，如果PC機或者手機丟失，個人數據將泄漏，個人隱私也受到成脅。企業數據中心也不一定是安全的，很多企業沒有專門的安全團隊，一些關鍵的數據，比如用戶的銀行卡號信息，可能被內部用戶盜竊以牟取私利，2011年某專業面向程序員的網站也出現過密碼泄露事件。

可以這么說，很多用戶甚至包括企業用戶要么沒有安全意識，要么缺乏安全方面的知識或者不愿意花太多的時間處理安全問題，與其讓用戶數據自生自滅，不如交給專業的云存儲安全團隊管理。

云存儲安全包括兩個層面：非技術層面以及技術層面。非技術層面主要指政策、法律以及監管等。正如我們愿意將錢存到銀行或者身份證信息登記到公安系統一樣，只要對安全問題足夠重視并制定相應的法律法規和監管措施，非技術層面的問題是會逐步解決的。在技術層面，云存儲安全包括如下幾個方面：

用戶安全

用戶安全主要包括兩個方面：用戶認證以及訪問授權。用戶認證用于確保用戶的合法性，訪問授權用于確保每個用戶只能訪問他們得到授權的應用和數據。另外，用戶安全模塊還會對用戶的操作進行日志記錄以檢測每個用戶的行為，以發現用戶任何觸及安全底線的行為。以Amazon云平臺AWS為例，新用戶注冊時，Amazon會分配給每個用戶分配一個Access Key ID和一個Secure Access Key。Access Key ID用于確定請求的發送者，面Secure Access Key則參與數字簽名過程，用來證明發送服務請求的賬戶的合法性。用戶請求AWS服務時將通HMAC函數對Secure Access Key生成數字簽名，當服務端接收到用戶請求后通過用戶的Access Key ID查找服務器端保存的數字簽名，然面和用戶發送的數字簽名做比對，相同則通過驗證，反之拒絕請求。在訪問授權方面，一個AWS賬戶可以創建多個用戶，允許同一個賬戶下的不同用戶具有不同的訪問權限。AWS可以設置每個賬戶的訪問控制策略（Policy），每個策略都是一個四元組<用戶，資源，操作，Allow/Deny>，表示是否允許用戶對某個資源執行某些操作。例如，，表示允許用戶Bob對S3中名為bucketxyz的桶執行ListBucket操作。

網絡安全

網絡安全包括安全通信、網絡防火墻、人侵檢測、DDoS攻擊緩解等。云存儲通過SSL（Secure Sockets Layer.安全套接層）、TLS（Transport Layer Security，傳輸層安全）、VPN（Virtual Private Network.虛擬專用網絡）和IPSec（Internet Protocol Security，因特網協議安全性)等安全技術來確保通信的私密性和完整性。另外，通過網絡防火墻過濾非法的網絡訪問，并且支持入侵和DdoS攻擊的偵測。

例如，Amazon的AWS平臺默認情況下防火墻會禁止任何流入的流量，用戶需要明確開啟端口才能接收流入的流量，并且還會依據其協議和源地址來對部分流量進行屏蔽，另外，AWS內部的主機防火墻系統不允許那些以非本地IP和MAC作為源地址的網絡流量，從而防止應用程序發送帶有欺騙性的網絡流量。最后，需要檢測和分析整個網絡的流量來確保網絡安全運行，發現流量異常時及時報警。

多租戶隔離

云存儲的應用運行在虛擬機或者特定的應用容器中，需要確保多個應用之間互相不會產生干擾，也需要防止應用破壞系統。以Amazon EC2和Google App Engine為例，EC2底層采用Xen來管理多個實例。通過Xen的半虛擬化技術，能在多個虛擬機和虛擬機管理程序之間對CPU、網絡、內存和硬盤等資源進行有效隔離，虛擬機之間互相不影響；而AppEngine通過安全沙箱的機制限制了應用程序對網絡或者文件進行危險操作，也限制了單個請求的時間和最多允許使用的資源從而防止影響其他應用。

存儲安全

存儲安全主要包括數據備份以及數據安全。為了避免由于硬件或者軟件故障導致數據丟失，需要將數據復制到多個存儲節點，另外，為了防止數據中心整體出現故障的情況、云存儲系統設計時需要將復制到多個數據中心進行容災。為了保證數據安全，需要對數據加密，比如，用戶在上傳數據之前先使用密鑰對其進行加密，并在使用時再解密。這樣能夠確保即使數據被竊取，也不會被非法分子所利用。另外，還可以通過數據校驗來確保數據的完整性，當數據被用戶副除之后，云存儲系統需要確保很快刪除所有的副本，從而防止非法訪問。

總結

總而言之，安全是云存儲的核心問題，但不必對此過分擔心，前途是光明的，道路是曲折的，隨著專業的云存儲服務提供商對系統不斷的優化，云存儲比現有的IT模式反而會更加安全。

存儲 云計算 通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。