作者 Bernd Grobauer, Tobias Walloschek and Elmar St?cker 译者 王恒涛 发布于 2011年9月22日
这篇文章最早发表在Security & Privacy IEEE杂志,
由InfoQ联合IEEE计算机学会为您呈现。
关于云计算安全性的讨论往往失于对一般问题和云计算特定问题未加区分。为了让关于安全漏洞的讨论更加明了,根据风险要素与云计算的可靠定义,作者制定了一些指标。
每一天,每一条刚刚出炉的新闻、博客文章或其他的一些发行物都在提醒我们云计算的安全风险和威胁。多数情况下,安全问题都被认为是采用云计算的道路上最大的障碍。但这种关于云计算安全问题的论调反而让找到一个完善的方法来评估实际的安全后果变得更加困难,原因有如下两点:首先,在有关风险的这些讨论中,很大一部分都对一些基本的术语词汇——包括风险,威胁和漏洞——不加区分地交替使用,而不考虑各自实际的含义;其次,并不是每一个被提出来的问题,都是特别与云计算的背景对应。
为了更好地理解云计算在安全问题上所带来的新课题,我们必须分析云计算是如何影响了既有的安全问题。这里的一个关键因素是安全漏洞:云计算使得一些大家已经耳熟能详的漏洞变得更加突出,并且贡献了一些新成员。然而,在我们仔细分析特定于云计算语境的漏洞之前,我们必须先确定到底什么才算得上是一个真正的“漏洞”。
漏洞是一个突出的风险因素。ISO 27005中把风险定义为“一种潜在的可能性,即某种特定的威胁利用一项或一组设施的漏洞来造成组织的破坏,”对其的度量应包括发生的概率以及事件的后果[1]。Open Group的风险分类法提供了一个有用的危险因素总览(见图1) 。
(点击图像放大。)
图1.在Open Group的风险分类法所总结的会造成风险的因素。风险等于造成损害的事件的发生频率(左)和可能的损失幅度(右)的乘积。而漏洞则对造成损害的事件的发生频率具有影响。
详见:http://www.infoq.com/cn/articles/ieee-cloud-computing-vulnerabilities
联系客服
