針對云計算的風(fēng)險類型采用經(jīng)典的“CIA三性”，即機密性、完整性和可用性來進行界定，并針對性地提出相關(guān)的防御、檢測、阻止措施。本部分介紹可用性。

    “A”：可用性(Availability)風(fēng)險

    當(dāng)考慮到需要可靠地使用低風(fēng)險和低故障發(fā)生率的服務(wù)時，這些風(fēng)險與服務(wù)可靠性自身的脆弱性和威脅緊密相關(guān)。

    1) 服務(wù)拒絕

    拒絕服務(wù)(DoS)或分布式拒絕服務(wù)(DDoS)攻擊是試圖使得計算機資源對它的目標(biāo)用戶不可用。它常常涉及到使用多種通信請求來使目標(biāo)機器達到飽和，以至于它不能響應(yīng)合法的通信請求，或者響應(yīng)得非常緩慢而被有效地釋放，從而不能對用戶可用。云服務(wù)特別容易受到測定體積的DDoS攻擊，其中大量的主機涌入云網(wǎng)絡(luò)和服務(wù)器，它們攜帶有超出自身處理能力的更多數(shù)據(jù)，使自己陷入停頓狀態(tài)。針對云服務(wù)的基于應(yīng)用的DDoS攻擊對于這個云基礎(chǔ)設(shè)施中的特定應(yīng)用(如Web服務(wù)器或數(shù)據(jù)庫) 也非常有效。此外，分布式反射拒絕服務(wù)(DRDoS)攻擊，在導(dǎo)致受害者系統(tǒng)重新發(fā)送用于填塞網(wǎng)絡(luò)的數(shù)據(jù)包方面更“有效”，它們在云環(huán)境中工作得更好。尤其是在單次攻擊中想要比攻擊個別組織或計算機占取更多基礎(chǔ)設(shè)施的攻擊者，會針對云提供商，特別是當(dāng)這些提供商很出名，能給攻擊者帶來“榮耀”或者正遭受黑客或黑客團體的報復(fù)時。

    防御：選擇對網(wǎng)絡(luò)攻擊具有堅實防護的服務(wù)提供商。在云計算基礎(chǔ)設(shè)施(主要是互聯(lián)網(wǎng)接入點)的網(wǎng)絡(luò)邊界實現(xiàn)防火墻和網(wǎng)絡(luò)過濾，以防御利用網(wǎng)絡(luò)黑名單的攻擊和敵對網(wǎng)絡(luò)。此外，使用冗余的供應(yīng)商，因為對一個供應(yīng)商環(huán)境的攻擊可能不會影響另一個。

    檢測：在24×7的基礎(chǔ)上選擇一個執(zhí)行和監(jiān)控入侵檢測的服務(wù)提供商，并簽署該功能相關(guān)的所有適當(dāng)?shù)母郊臃��?wù)。

    阻止：與服務(wù)提供商的法律部門協(xié)作，以確保攻擊者被發(fā)現(xiàn)和起訴。

    剩余風(fēng)險：由于大多數(shù)DoS攻擊來自其他國家，它們很難被檢測和追蹤，所以對于通過了環(huán)境防御設(shè)施的攻擊，我們的應(yīng)對措施很少。

    2) 中斷

    任何意外中斷或者計算機系統(tǒng)或網(wǎng)絡(luò)的不可達。

    防御：對任何服務(wù)中斷的主要防御是冗余的。確保環(huán)境可以自動在中斷時切換到不同的供應(yīng)商。此外，采用堅實的故障恢復(fù)方案來為擴大的中斷做準(zhǔn)備。

    檢測：應(yīng)用監(jiān)控工具，以持續(xù)監(jiān)控云環(huán)境的可用性和響應(yīng)時間。

    阻止：中斷的代價很高昂。計算中斷成本，并確保與服務(wù)供應(yīng)商的合同中，指出了可以補償所產(chǎn)生的實際成本，而不僅僅是服務(wù)本身成本的報酬。

    剩余風(fēng)險：由于中斷發(fā)生通常是因為軟件問題，我們用來防御的措施也很少。

    3) 不穩(wěn)定和應(yīng)用程序故障

    由于軟件或固件問題(bugs)造成的功能損失或者計算機或網(wǎng)絡(luò)的缺陷。程序的凍結(jié)，鎖定，或崩潰造成的反應(yīng)遲鈍。

    防御：確保供應(yīng)商能頻繁為它的基礎(chǔ)設(shè)施進行所有的軟件更新。這對所有客戶擁有的虛擬系統(tǒng)也同樣適用。

    檢測：實現(xiàn)業(yè)務(wù)監(jiān)控，以檢測并提醒一個應(yīng)用程序何時不能正確響應(yīng)。

    阻止：用法律語言清楚地設(shè)定服務(wù)提供商會保持一個穩(wěn)定環(huán)境的期望。

    剩余風(fēng)險：應(yīng)用程序和基礎(chǔ)設(shè)施的不穩(wěn)定性通常是由于軟件問題，所以我們的防御措施也很少。

    4) 緩慢

    計算機或網(wǎng)絡(luò)的不可接受的響應(yīng)時間。

    防御：使用冗余的提供商和互聯(lián)網(wǎng)連接來建立架構(gòu)，使應(yīng)用程序的訪問能自動切換到最快的環(huán)境。另外，還要確保服務(wù)提供商已經(jīng)實現(xiàn)了能自動擴充資源的高容量服務(wù)。

    檢測：持續(xù)檢測基礎(chǔ)應(yīng)用的響應(yīng)時間，并確保警報有帶外的路徑來支持工作人員，使得響應(yīng)問題不會阻止警報傳遞。

    阻止：與那些能為你不可接受的響應(yīng)時間提供處罰賠償?shù)姆��?wù)提供商建立合同語言。

    剩余風(fēng)險：延遲或慢響應(yīng)可以被看作是中斷的一種形式，照此，它由軟件和容量問題造成的中斷也會最大限度得持續(xù)存在。

    5) 高可用性集群失效

    我們發(fā)現(xiàn)，應(yīng)該進行故障轉(zhuǎn)移的設(shè)備實際上并沒有在本應(yīng)該的時機接管。

    防御：監(jiān)控在一個高可用性集群中的二級系統(tǒng)和所有系統(tǒng)的健壯性。

    檢測：定期進行故障轉(zhuǎn)移測試。

    阻止：從服務(wù)提供商的角度來看，他們對于保證客戶系統(tǒng)在期望時進行切換，可以做的準(zhǔn)備很少。

    剩余風(fēng)險：有時一個主設(shè)備會減慢到對所有實際用途都不做反應(yīng)，但并不是因為軟件才正式的“減慢”，所以后備系統(tǒng)不會接管。

    6) 備份失效

    我們發(fā)現(xiàn)，你正在依靠的這些數(shù)據(jù)備份實際上并沒有什么作用。

    防御：利用提供商彈性來避免傳統(tǒng)離線備份(磁帶或光盤)的使用。

    檢測：經(jīng)常進行恢復(fù)測試，以驗證數(shù)據(jù)的恢復(fù)能力。

    阻止：在與服務(wù)商的合同中建立數(shù)據(jù)——丟失條款，他們將對意外的數(shù)據(jù)丟失負責(zé)。

    剩余風(fēng)險：備份失效，但多個恢復(fù)路徑可以消除大部分的風(fēng)險。備份數(shù)據(jù)的做法已經(jīng)出現(xiàn)很久，因此它是最可靠的安全措施之一。只要數(shù)據(jù)被恰當(dāng)?shù)貍浞�，它就可以一直存在，所以在這種情況下的大部分剩余風(fēng)險都是由不合格的數(shù)據(jù)復(fù)制行為或者對此事件的關(guān)注不夠造成的。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： ddos web服務(wù)器 安全 大數(shù)據(jù) 防火墻 服務(wù)器 服務(wù)商 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)接入 數(shù)據(jù)庫 通信 網(wǎng)絡(luò) 云服務(wù) 云計算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。