首页 > 代码库 > 云计算的安全风险
云计算的安全风险
0x01 云计算中的隐私保护
在信息安全领域,除了机密性、完整性、可用性,还有很多重要概念:标识、认证、可追究性、授权、隐私,其中隐私是对云计算影响较大的一个领域,也与每个人都密切相关, 个人隐私权利体现在如下几条基本的隐私原则中:
a. 通告 ——> 有关个人身份信息的收集、使用和公开
b. 选择 ——> 将个人身份信息公开给第三方时同意或拒绝的选择权
c. 访问 ——> 消费者能对个人信息进行审查和校正
d. 安全 ——> 保护个人信息免受非授权访问
e. 实施 ——> 有适用的隐私策略和约定
以支付卡行业为例, 其标准是一个包含若干个步骤的安全认证标准[支付卡行业数据安全标准:PCI DSS pcisecuritystandards.org ],尽可能降低隐私泄露和身份盗用风险
隐私法律力求对个人信息保护,防止个人身份信息受到未授权的泄露,如下都为个人信息[HIPAA]:
姓名、邮编、电话号码、传真号码、电子邮件、医疗记录号码、身份证号、银行账号、证书/许可证号、设备识别号、URL、IP、生物特征、面部照片..etc.
P3P(Platform for Privacy Preference)[W3C]:让网站使用标准格式描述隐私保护,自动被用户代理接收和解析—告诉用户该网站的隐私保护措施
0x02 安全威胁
基础设施面临的风险:窃听、欺诈、窃取、破坏、外部攻击
基于网络系统的攻击:登陆滥用、系统使用不当、窃听[穿刺、驾驶攻击]、网络入侵[后面、搭便车]、拒绝服务、会话劫持、碎片攻击[tiny fragment —> 发送非常小的碎片迫使TCP数据包某些字段进入第二个碎片/overlapping fragment attack —> 后面的数据包覆盖前一个数据包目的地址的信息]
0x03 云服务提供商威胁
配置复杂、权限提升[利用权限要求较低的虚拟机]、未激活的虚拟机、权限分离[用户访问角色]、较差的访问控制机制
面临的攻击:后面、欺诈、中间人攻击、重放攻击、TCP劫持、社会工程、垃圾搜寻、密码猜测、特洛伊木马与恶意软件