云计算的五大亟待解决的安全问题


防护新的企业边界

过去,企业只需将安全重心放在保护数据中心的出口上。采用云技术就意味着企业数据和应用会分发到多个数据中心,这就为企业创建了新的安全边界,企业要在更多的地方实施防护。那么企业该如何在所有保存企业数据的地方防御攻击呢?

技术实现方式:许多云服务提供商测试或部署了可以检测分布式拒绝服务攻击的技术,但是多数技术都是基于网络采样数据实现的。内联部署可以检测所有的入站和出站流量,提供最全面的检测和DDoS攻击缓解措施。用户在评估云服务提供商时,还要了解他们使用何种工具进行DDoS检测。

云计算安全问题

维护可用性

就定义来看,云技术是一种远程访问技术。如果企业的云服务提供商遭遇了严重的DDoS攻击,对服务的网络访问遭到禁止,这等同于企业应用被“宕机”了。企业的云服务提供商又要采取什么措施来防止这种情况发生在企业身上呢?

技术实现方式:云服务提供商应该部署云端和本地DDoS组合缓解工具。这种混合方法可以提供最佳的可用防护:本地部署的硬件可以检测并缓解攻击,同时还能自动将攻击流量转移至云端清洗中心。清洗中心必须可以处理几百Gb大小的攻击,从而改善云服务提供商保护企业资源和业务运行的能力。

租户之间实现隔离保护

攻击人员可以跟普通用户一样购买云服务。那么又如何在云环境内部保护企业数据远离威胁?

技术实现方式:用户可以部署安全工具,保护部署在云端的服务器。Web应用防火墙可以检测并拦截基于服务器的攻击,即便这些攻击来自于与服务器所在的同一个云端架构。此外,未来部署的软件定义网络(SDN)使得提供商也可以利用网络来检测攻击。与SDN控制器协作的安全技术可以查找可疑数据流,将其重定向到防御设备进行修复,与此同时,正常数据流仍会沿正常路径在网络中进行传送。

安全工具的大规模定制

为了建立有利于云计算市场竞争的定价,多数提供商都会选择创建对多数用户都可用的一般性保护配置文件,以降低解决方案成本。那么采用通用安全协议的云服务提供商又如何满足特定安全需求呢?

技术实现方式:云服务提供商可以而且应该为整个客户群提供通用、完善的保护措施。但是也应该能够结合用户安全现状提供可以建立独特防护措施的安全工具。确保用户可以自定义配置云服务提供商提供的安全工具,以满足用户的特定需求。

小即是大

每周刊登的头条新闻都会谈论最新的针对大型银行或知名网站的千兆级大流量攻击。然而,仅有约25%的DDoS攻击是大流量攻击。云服务提供商该如何帮助企业应对这些大流量攻击呢?

技术实现方式:小流量攻击不像大流量攻击那样可以瞬间堵塞互联网带宽。它们针对的是支撑企业应用的关键设备——防火墙、负载均衡器、IPS/IDS和服务器。这些攻击只需要很小的带宽,几乎小到运营商不会察觉到流量的增加。这些专注于资源耗尽或应用漏洞的低速慢速攻击通常不会被专用于检测大流量攻击的工具检测到。在迁移到云之前,确保云服务提供商可以提供帮助用户检测并缓解这类小流量攻击的解决方案。