云計算的五大亟待解決的安全問題

防護新的企業(yè)邊界

過去，企業(yè)只需將安全重心放在保護數(shù)據(jù)中心的出口上。采用云技術就意味著企業(yè)數(shù)據(jù)和應用會分發(fā)到多個數(shù)據(jù)中心，這就為企業(yè)創(chuàng)建了新的安全邊界，企業(yè)要在更多的地方實施防護。那么企業(yè)該如何在所有保存企業(yè)數(shù)據(jù)的地方防御攻擊呢？

技術實現(xiàn)方式：許多云服務提供商測試或部署了可以檢測分布式拒絕服務攻擊的技術，但是多數(shù)技術都是基于網(wǎng)絡采樣數(shù)據(jù)實現(xiàn)的。內聯(lián)部署可以檢測所有的入站和出站流量，提供最全面的檢測和DDoS攻擊緩解措施。用戶在評估云服務提供商時，還要了解他們使用何種工具進行DDoS檢測。

維護可用性

就定義來看，云技術是一種遠程訪問技術。如果企業(yè)的云服務提供商遭遇了嚴重的DDoS攻擊，對服務的網(wǎng)絡訪問遭到禁止，這等同于企業(yè)應用被“宕機”了。企業(yè)的云服務提供商又要采取什么措施來防止這種情況發(fā)生在企業(yè)身上呢？

技術實現(xiàn)方式：云服務提供商應該部署云端和本地DDoS組合緩解工具。這種混合方法可以提供最佳的可用防護：本地部署的硬件可以檢測并緩解攻擊，同時還能自動將攻擊流量轉移至云端清洗中心。清洗中心必須可以處理幾百Gb大小的攻擊，從而改善云服務提供商保護企業(yè)資源和業(yè)務運行的能力。

租戶之間實現(xiàn)隔離保護

攻擊人員可以跟普通用戶一樣購買云服務。那么又如何在云環(huán)境內部保護企業(yè)數(shù)據(jù)遠離威脅？

技術實現(xiàn)方式：用戶可以部署安全工具，保護部署在云端的服務器。Web應用防火墻可以檢測并攔截基于服務器的攻擊，即便這些攻擊來自于與服務器所在的同一個云端架構。此外，未來部署的軟件定義網(wǎng)絡（SDN）使得提供商也可以利用網(wǎng)絡來檢測攻擊。與SDN控制器協(xié)作的安全技術可以查找可疑數(shù)據(jù)流，將其重定向到防御設備進行修復，與此同時，正常數(shù)據(jù)流仍會沿正常路徑在網(wǎng)絡中進行傳送。

安全工具的大規(guī)模定制

為了建立有利于云計算市場競爭的定價，多數(shù)提供商都會選擇創(chuàng)建對多數(shù)用戶都可用的一般性保護配置文件，以降低解決方案成本。那么采用通用安全協(xié)議的云服務提供商又如何滿足特定安全需求呢？

技術實現(xiàn)方式：云服務提供商可以而且應該為整個客戶群提供通用、完善的保護措施。但是也應該能夠結合用戶安全現(xiàn)狀提供可以建立獨特防護措施的安全工具。確保用戶可以自定義配置云服務提供商提供的安全工具，以滿足用戶的特定需求。

小即是大

每周刊登的頭條新聞都會談論最新的針對大型銀行或知名網(wǎng)站的千兆級大流量攻擊。然而，僅有約25%的DDoS攻擊是大流量攻擊。云服務提供商該如何幫助企業(yè)應對這些大流量攻擊呢？

技術實現(xiàn)方式：小流量攻擊不像大流量攻擊那樣可以瞬間堵塞互聯(lián)網(wǎng)帶寬。它們針對的是支撐企業(yè)應用的關鍵設備——防火墻、負載均衡器、IPS/IDS和服務器。這些攻擊只需要很小的帶寬，幾乎小到運營商不會察覺到流量的增加。這些專注于資源耗盡或應用漏洞的低速慢速攻擊通常不會被專用于檢測大流量攻擊的工具檢測到。在遷移到云之前，確保云服務提供商可以提供幫助用戶檢測并緩解這類小流量攻擊的解決方案。