云計算面臨哪些安全挑戰

云計算面臨的安全挑戰有以下這些：

• 虛擬化安全挑戰：云計算的核心技術是虛擬化技術，由于云計算按需提供服務的特點，需要提高服務器的利用率，單臺服務器的利用率會比較低，需要將多臺服務器做一個整合，這時并不是所有的服務器配置都一樣，在這樣的環境下，可以使用虛擬技術來提高服務器利用率。在云計算中多個虛擬機作用于同一個物理機上，傳統基于硬件的安全措施和物理隔離的方法，Hypervisor和VMM為每個操作系統提供硬件支持，是虛擬化技術的關鍵，使硬件資源實現替代和虛擬機間的隔離。因為Hypervisor和VMM同時，虛擬機系統都是通過HTTP / HTTPS來進行遠程管理的。VMM想要接受HTTP連接則必須運行服務器，這樣黑客就會通過HTTP突破進行惡意攻擊。虛擬化技術本身的安全問題是虛擬機操作系統安全問題，在云計算中，云計算服務提供商需要管理很多的虛擬機，如果其中一臺虛擬機系統被攻擊，一旦多個虛擬機之間的安全防護措施做得不夠好，那相關的大批虛擬機都會受到攻擊，在嚴重的情況下，就是如果有惡意代碼植入，就很有可能將云計算服務提供商設置的安全防護機制最佳，如果物理服務器受到攻擊，出現安全問題，那么該服務器上的所有虛擬機都存在安全隱患。

• 云計算的數據安全挑戰：在云計算中，用戶都會把自己的數據放到云計算數據中心，擁有權限的用戶就可以共享這些數據，可隨時隨地對這些數據進行操作。而這樣一來，用戶不能對物理上的數據存儲進行控制，也就不能控制其物理安全，例如，公有云中很多用戶共享云計算資源，但是用戶并不知道資源在哪里，也就不能在物理上進行進行任何控制。從數據保密性角度來看，對靜態數據可進行加密存儲，但在云計算中，一旦對靜態數據進行加密后，對數據的查詢，索引等數據處理操作將無法實現，則表明在整個數據如果數據可以加密，那密鑰是由云服務提供商還是由用戶來控制仍然是個問題。甚至解決了數據加密問題，那還需保證數據的絕對，最終的認證需要消息認證碼，又需要大量的加解密，涉及密鑰的管理問題。在云計算中的數據是海量的，云計算用戶希望能夠直接在云計算環境中對數據的初步進行驗證，而不是先下載下來驗證，然后再上傳。況且數據初始化的驗證需要對所有數據集進行全面的了解，而在云計算中，云計算用戶一般不會知道他們的數據具體存在其中實際的物理機器上，而且云計算中數據集是時刻變化的，這樣，傳統的數據可以驗證技術就完全不適用了。各個云計算服務提供商提供的服務大部分都相互不兼容，因此如果用戶想要更換服務提供商的話，很有可能會導致數據丟失。而且用戶在更換服務提供商的時候，也有可能將部分數據在任何領域，一旦發生數據安全問題，后果將非常嚴重。

• 云計算中應用的安全挑戰：云計算服務提供商會提供API，IT團隊對云計算資源包括管理，其他等云服務的使用和管理都是通過API和接口去管理的。而這些服務的安全性取決于這些API和接口的安全性，，用戶要在云計算環境下開發軟件，就要考慮代碼兼容性問題，多種開發技術的融合很容易約會安全漏洞。隨著云端應用越來越多，云計算服務提供商必須給用戶提供一些日志，這些日志中有很多內容可能會涉及客戶隱私，日志是云計算服務提供商內部的，用戶不能夠直接訪問，關于這些日志的監控管理，避免被惡意使用又是一個安全挑戰。

• 云計算用戶的安全挑戰：云計算提供服務的特點是數據集中管理和資源共享，為不同用戶提供服務，必須做到不同用戶間數據隔離。用戶共享云計算中的各種資源，但他們的數據是相互隔離的，私有的數據不會被其他用戶非法訪問。云計算服務提供商首先要解決的問題是如何通過虛擬化技術，訪問控制，網絡隔離和安全審計等技術來實現云計算用戶間數據的隔離。其次，還需考慮數據殘留問題，例如一個用戶之前使用過的一塊存儲區域，之后又通過資源分配的方式提供給其他用戶使用，這塊區域上很有可能有上一個用戶未寫入的數據，這樣就會導致上一個用戶的數據規模。其實最重要的是云計算服務提供商如何向用戶證明所提供的用戶數據隔離機制是安全有效的，這對云計算的推廣有很重要的影響。

• 云計算服務使用的安全挑戰：云計算服務的租用成本降低，用戶可以租用云計算服務提供商提供的存儲資源，網絡資源，平臺資源以及計算資源等。由于現在云計算服務提供商在管理控制上還不是很嚴格，會出現一些資源濫用的現象，如果一旦對租用者的租用目的是審核疏忽，不嚴謹，就可能會被黑客利用，例如對密鑰進行破解，發起DDoS攻擊，發送釣魚郵件和垃圾郵件以及惡意內容托管等。

保證云計算安全的方法有以下這些：

• 可信訪問控制技術：云計算模式下，云服務提供商是否忠實執行用戶定義的訪問控制策略十分重要。在云計算模式下，如何針對云計算特點，實施有效的訪問控制手段，包括傳統的和最新發展的手段，實施可靠、可信的訪問控制，是需要解決的重要問題。

• 密文檢索與處理：因為一般加密機制不支持對密文的直接操作，所以數據加密在確保數據隱私的同時，也導致傳統的對數據的分析和處理方法失效。比如數據被加密，即使執行一個簡單的計數查詢，通常也需要把全部的數據下載到本地，實施解密操作后才能執行。密文的檢索與處理研究是當前的一個工作重點，典型方法有基于安全索引和基于密文掃描的方法，秘密同態加密算法設計也是當前一個研究重點。

• 數據存在與可使用性證明：由于大規模數據所導致的巨大通信代價，用戶不可能將數據下載后再驗證其正確性。因此，云用戶需要在取回很少數據的情況下，通過某種知識證明協議或概率分析手段，以高置信概率判斷遠端數據是否完整，如數據持有證明方法。

• 數據安全和隱私保護：數據安全和隱私保護涉及數據生命周期的每一個階段。數據生成與計算、數據存儲和使用、數據傳輸、數據銷毀等不同階段，都需要有隱私保護機制，幫助用戶控制敏感數據在云端的使用。

• 虛擬化安全技術：虛擬化技術是實現云計算的關鍵核心技術，使用虛擬化技術的云計算平臺上的云架構提供者必須向其客戶提供安全性和隔離保證。

• 虛擬機隔離機制：在虛擬化環境中，虛擬機之間隔離的有效性標志著虛擬化平臺的安全性。虛擬機的隔離機制目的是保障各虛擬機獨立運行、互不干擾，因此，若隔離機制不能達到預期效果，當一個虛擬機出現性能下降或發生錯誤時，就會影響到其他虛擬機的服務性能，甚至會導致整個系統的癱瘓。

• 虛擬機信息流控制：信息流是指信息在系統內部和系統之間的傳播和流動，信息流控制是指以相應的信息流策略控制信息的流向。信息流控制策略一般包括數據機密性策略和完整性策略，機密性策略是防止信息流向未授權獲取該信息的主體，完整性策略是防止信息流向完整性高的主體或數據。信息流控制機制實現的核心思想是將標簽附著在數據上，標簽隨著數據在整個系統中傳播，并使用這些標簽來限制程序間的數據流向。機密性標簽可以保護敏感數據不被非法或惡意用戶讀取，而完整性標簽可以保護重要信息或存儲單元免受不可信或惡意用戶的破壞。

• 虛擬網絡：虛擬網絡映射問題是網絡虛擬化技術研究中的核心問題之一，它的主要研究目標是在滿足節點和鏈路約束條件的基礎上，將虛擬網絡請求映射到基礎網絡設施上，利用已有的物理網絡資源獲得盡可能多的業務收益。虛擬網絡映射分為節點映射和鏈路映射兩個部分。節點映射是將虛擬網絡請求中的節點映射到物理網絡中的節點上，而鏈路映射是指在節點映射階段完成后，將虛擬網絡請求中的鏈路映射到所選物理節點之間的物理路徑上。

• 虛擬機監控：基于虛擬機的安全監控技術有不同于傳統安全監控技術的特點及優點。首先，基于虛擬機的安全監控是通過在母盤操作系統中部署安全監控系統來達到監控各個虛擬子系統的目的，并不需要在每個子系統中都部署單獨的監控系統，系統部署較為方便，系統本身也不易受到黑客的直接攻擊。此外，基于虛擬機的安全監控不需要對被監控系統進行修改，保證了虛擬子系統運行環境的穩定。虛擬機監控可分為進程監控、文件監控和網絡監控。進程可以描述計算機系統中的所有活動，通過對進程進行監控能夠對可疑的活動進行及時的發現和終止；文件是操作系統中必不可少的部分，操作系統中的所有數據都以文件的方式存放，特別是系統文件在遭到惡意修改后會帶來不可逆轉的破壞，因此有必要對文件系統進行監控；網絡是計算機和外部通信的媒介，也是黑客進行破壞的有效途徑，如果對網絡數據做到全方位的監控，必然能對整個虛擬機環境提供有效的保護。

回答所涉及的環境：聯想天逸510S、Windows 10。