云計算應用安全研究

汪來富，沈 軍，金華敏

（中國電信股份有限公司廣東研究院 廣州 510630）

1 引言

云計算的出現(xiàn)是傳統(tǒng)IT領域和通信領域技術進步、需求推動和商業(yè)模式變化共同促進的結(jié)果，具有以網(wǎng)絡為中心、以服務為提供方式、高擴展性和高可靠性以及資源使用透明化等重要特征。業(yè)界認為云計算是繼PC、互聯(lián)網(wǎng)之后信息產(chǎn)業(yè)的第三次變革，將對社會信息化發(fā)展產(chǎn)生深遠影響。

隨著云計算技術及理念的深入應用，云安全越來越成為安全業(yè)界關注的重點，一方面云計算應用的無邊界性、流動性等特點引發(fā)了很多新的安全問題；另一方面云計算技術及理念也對傳統(tǒng)安全技術及應用產(chǎn)生了深遠的影響。從完整意義上來說，云安全包括2種含義，一種是云計算應用自身的安全；另一種是云計算技術在安全領域的具體應用。前者是云計算各類應用健康、可持續(xù)發(fā)展的基礎，后者則是當前安全領域最為關注的技術熱點。為便于區(qū)分，本文將前者定義為云計算應用安全，將后者定義為安全云。

本文將重點闡述云計算應用安全，安全云在本文則不作探討。

2 云計算應用安全威脅分析

根據(jù)IDC在2009年年底發(fā)布的一項調(diào)查報告顯示，云計算服務面臨的前三大市場挑戰(zhàn)分別為服務安全性、穩(wěn)定性和性能表現(xiàn)。該三大挑戰(zhàn)排名同IDC于2008年進行的云計算服務調(diào)查結(jié)論完全一致。2009年11月，F(xiàn)orrester Research公司的調(diào)查結(jié)果顯示，有51%的中小型企業(yè)認為安全性和隱私問題是他們尚未使用云服務的最主要原因。由此可見，安全性是客戶選擇云計算應用時的首要考慮因素。

云計算應用由于其用戶、信息資源的高度集中，帶來的安全事件后果與風險也較傳統(tǒng)應用高出很多。如在2009 年，Google、Microsoft、Amazon 等公司的云計算服務均出現(xiàn)了重大故障，導致成千上萬客戶的信息服務受到影響，進一步加劇了業(yè)界對云計算應用安全的擔憂。

總體來說，云計算應用主要面臨如下安全威脅。

（1）服務可用性威脅

用戶的數(shù)據(jù)和業(yè)務應用處于云計算系統(tǒng)中，其業(yè)務流程將依賴于云計算服務提供商所提供的服務，這對服務商的云平臺服務連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外當發(fā)生系統(tǒng)故障時，如何保證用戶數(shù)據(jù)的快速恢復也成為一個重要問題。

（2）云計算用戶信息濫用與泄露風險

用戶的資料存儲、處理、網(wǎng)絡傳輸?shù)榷寂c云計算系統(tǒng)有關。如果發(fā)生關鍵或私隱信息丟失、竊取，對用戶來說無疑是致命的。如何保證云服務提供商內(nèi)部的安全管理和訪問控制機制符合客戶的安全需求；如何實施有效的安全審計，對數(shù)據(jù)操作進行安全監(jiān)控；如何避免云計算環(huán)境中多用戶共存帶來的潛在風險都成為云計算環(huán)境下所面臨的安全挑戰(zhàn)。

（3）拒絕服務攻擊威脅

云計算應用由于其用戶、信息資源的高度集中，容易成為黑客攻擊的目標，同時由于拒絕服務攻擊造成的后果和破壞性將會明顯超過傳統(tǒng)的企業(yè)網(wǎng)應用環(huán)境。

（4）法律風險

云計算應用地域性弱、信息流動性大，信息服務或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至國家，在政府信息安全監(jiān)管等方面可能存在法律差異與糾紛；同時由于虛擬化等技術引起的用戶間物理界限模糊而可能導致的司法取證問題也不容忽視。

3 云計算應用安全研究

云計算應用作為一項信息服務模式，其安全與ASP（應用托管服務）等傳統(tǒng)IT信息服務并無本質(zhì)上的區(qū)別。只是由于云計算的應用模式及底層架構(gòu)的特性，使得在具體安全技術及防護策略實現(xiàn)上會有所不同。

從安全的角度看，云計算帶來的機遇和挑戰(zhàn)并存。一方面，若能合理運用云計算技術，則可以解決目前存在的一些安全問題。如采用瘦終端的方式，將企業(yè)數(shù)據(jù)統(tǒng)一存儲在云計算服務器網(wǎng)絡中，通過加強對核心數(shù)據(jù)的集中管理，可大大降低由終端造成的信息泄露的安全風險。另一方面，云計算為系統(tǒng)安全引入新的潛在威脅問題，由于云計算的服務模式以及基于虛擬化、分布式計算的底層架構(gòu)特性，使得安全邊界比較模糊，傳統(tǒng)的安全域劃分、網(wǎng)絡邊界防護等安全機制難以保障云計算應用的安全需求。

3.1 業(yè)界研究現(xiàn)狀

云計算應用安全研究目前還處于起步階段，業(yè)界尚未形成相關標準，目前主要的研究組織主要包括CSA（cloud security alliance，云 安全聯(lián)盟）、CAM （common assurance metric-beyond the cloud）等相關論壇。

為推動云計算應用安全的研究交流與協(xié)作發(fā)展，業(yè)界多家公司在2008年12月聯(lián)合成立了CSA，該組織是一個非贏利組織，旨在推廣云計算應用安全的最佳實踐，并為用戶提供云計算方面的安全指引。CSA在2009年12月17日發(fā)布的《云計算安全指南》，著重總結(jié)了云計算的技術架構(gòu)模型、安全控制模型以及相關合規(guī)模型之間的映射關系，從云計算用戶角度闡述了可能存在的商業(yè)隱患、安全威脅以及推薦采取的安全措施。目前已經(jīng)有越來越多的IT企業(yè)、安全廠商和電信運營商加入到該組織。

另外，歐洲網(wǎng)絡信息安全局（ENISA）和CSA聯(lián)合發(fā)起了CAM項目。CAM項目的研發(fā)目標是開發(fā)一個客觀、可量化的測量標準，供客戶評估和比較云計算服務提供商安全運行的水平，CAM計劃于2010年底提出內(nèi)容架構(gòu)，并推向全球。

許多云服務提供商，如Amazon、IBM、Microsoft等紛紛提出并部署了相應的云計算安全解決方案，主要通過采用身份認證、安全審查、數(shù)據(jù)加密、系統(tǒng)冗余等技術及管理手段來提高云計算業(yè)務平臺的魯棒性、服務連續(xù)性和用戶數(shù)據(jù)的安全性。

3.2 云計算應用安全剖析

為有效保障云計算應用的安全，需結(jié)合云計算應用特點，在采取IT系統(tǒng)基本安全防護技術的基礎上，進一步集成數(shù)據(jù)加密、VPN、身份認證、安全存儲等綜合安全技術手段，構(gòu)建面向云計算應用的縱深安全防御體系，并重點解決如下安全問題。

（1）構(gòu)建安全的邏輯邊界

在典型云計算應用環(huán)境下，物理的安全邊界逐步消失，取而代之的是邏輯的安全邊界，應通過采用VPN和數(shù)據(jù)加密等技術，實現(xiàn)從用戶終端到云計算數(shù)據(jù)中心傳輸通道的安全；在云計算數(shù)據(jù)中心內(nèi)部，采用VLAN以及分布式虛擬交換機等技術實現(xiàn)用戶系統(tǒng)、用戶網(wǎng)絡的安全隔離。

（2）數(shù)據(jù)加密與安全存儲

采用數(shù)據(jù)加密技術實現(xiàn)用戶信息在云計算共享環(huán)境下的安全存儲與安全隔離；采用基于身份認證的權限控制方式，進行實時的身份監(jiān)控、權限認證和證書檢查，防止用戶間的非法越權訪問。同時應做好剩余信息保護措施，存儲資源重分配給新用戶（如虛擬機等）之前，需要進行完整的數(shù)據(jù)擦除，防止被非法恢復。

（3）虛擬化技術等安全漏洞風險防范

通過采用虛擬防火墻、防惡意軟件和虛擬設備管理軟件對虛擬機環(huán)境實施安全策略，確保構(gòu)建的虛擬網(wǎng)絡與構(gòu)建的物理網(wǎng)絡一樣可靠、安全；采用版本和補丁管理控制機制防范虛擬化等安全漏洞引起的潛在安全隱患。

同時，云計算應用安全也是云計算服務提供商和云計算用戶之間共同的責任?；A設施即服務（IaaS）、平臺即服務（PaaS）、軟件即服務（SaaS）等三種云計算應用模式，由于其自身特點，以及云計算用戶對云計算資源的控制能力不同，使得云服務提供商和云計算用戶各自承擔的安全責任與職責也有所不同。

IaaS云服務提供商主要負責為用戶提供基礎架構(gòu)服務，如提供包括服務器、存儲、網(wǎng)絡和管理工具在內(nèi)的虛擬數(shù)據(jù)中心，云計算基礎設施的可靠性、物理安全、網(wǎng)絡安全、信息存儲安全、系統(tǒng)安全是其基本職責范疇，如虛擬機的入侵檢測、完整性保護等；而云計算用戶則需要負責基礎設施架構(gòu)以上層面的所有安全問題，如自身操作系統(tǒng)、應用程序的安全。

PaaS云服務提供商主要負責為用戶提供簡化的分布式軟件開發(fā)、測試和部署環(huán)境，云服務提供商除了負責底層基礎設施安全外，還需解決應用接口安全、數(shù)據(jù)與計算可用性等；而云計算用戶則需要負責操作系統(tǒng)或應用環(huán)境之上的安全問題。

SaaS云服務提供商需保障其所提供的SaaS服務從基礎設施到應用層的整體安全，云計算用戶則需維護與自身相關的信息安全，如身份認證賬號、密碼、終端安全等。

3.3 云計算應用安全策略與實施建議

按照服務對象的不同，云計算可分為私有云（private cloud）、公共云（public cloud）和混合云（hybrid cloud）。對于私有云而言，通常部署在企業(yè)內(nèi)部，安全實現(xiàn)相對比較容易，企業(yè)內(nèi)部使用的傳統(tǒng)IT安全措施也可直接應用到私有云的保護上去。公共云和混合云則涉及到云服務提供商和云計算用戶，安全性要求相對私有云復雜很多，需要云計算服務提供商和云計算用戶協(xié)同配合，共同提高云計算服務的應用安全水平。

3.3.1 云計算服務提供商

要提供面向公眾的商業(yè)化云計算服務，服務質(zhì)量保證、數(shù)據(jù)安全性和計算環(huán)境的安全隔離都是必要的保證，因此對于云計算服務提供商而言，如何在最大程度上降低云計算系統(tǒng)安全威脅、提高服務連續(xù)性、保障用戶信息安全是其業(yè)務能否取得成功的關鍵，結(jié)合云計算應用面臨的主要安全威脅，建議采取的安全策略如下。

（1）建立云計算系統(tǒng)的縱深安全防御機制，提高云計算系統(tǒng)的安全性、健壯性，保障服務提供連續(xù)性和穩(wěn)定性

·控制蠕蟲/病毒/木馬在云計算平臺內(nèi)外部網(wǎng)絡內(nèi)的傳播，及時隔離和修復；

·對進出云計算系統(tǒng)的數(shù)據(jù)流量和云計算系統(tǒng)運行狀態(tài)進行實時監(jiān)控，及時發(fā)現(xiàn)修復網(wǎng)絡和系統(tǒng)異常；

·部署網(wǎng)絡攻擊防御系統(tǒng)或購買相關攻擊防護服務，防范黑客攻擊造成的系統(tǒng)癱瘓或服務中斷；

·完善云計算平臺的容災備份機制，包括重要系統(tǒng)、數(shù)據(jù)的異地容災備份；

·建立完善的應急響應機制，提高對異常情況和突發(fā)事件的應急響應能力。

（2）保護用戶信息的可用性、隱私性和完整性

·對用戶系統(tǒng)和數(shù)據(jù)進行安全隔離和保護，確保用戶信息的存儲安全以及用戶間邏輯邊界的安全防護；

·通過采用數(shù)據(jù)加密、VPN等技術保障用戶數(shù)據(jù)的網(wǎng)絡傳輸安全；

·完善用戶信息的數(shù)據(jù)加密與密鑰管理與分發(fā)機制，實現(xiàn)對用戶信息的高效安全管理與維護；

·完善數(shù)據(jù)備份、安全恢復機制，在發(fā)生異常時為用戶進行及時的數(shù)據(jù)恢復。

（3）身份認證與安全接入控制

建立嚴格的云計算AAA機制，實施嚴格的身份管理、安全認證與訪問權限控制，提供用戶訪問記錄，訪問可溯源。

（4）加強云計算數(shù)據(jù)中心的安全管理，完善安全審計機制

·加強云計算數(shù)據(jù)中心的安全管理，完善安全事件應急響應機制及處理流程；

·加強對操作、維護等各類日志的審計管理，提高對違規(guī)溯源的事后審查能力。

3.3.2 云計算用戶

對于廣大用戶而言，在選擇云計算服務或?qū)F(xiàn)有IT系統(tǒng)向私有云或公共云服務遷移之前，首先應對云計算安全有一個正確的認識，這對用戶決定將什么樣的業(yè)務放在云里，以節(jié)本增效、增強安全性，有著重要意義；同時也應結(jié)合本企業(yè)實際情況，做好周詳?shù)臏蕚涔ぷ?，在最大程度上降低在向云計算服務遷移后可能出現(xiàn)的安全威脅。

（1）向私有云遷移

私有云一般部署在企業(yè)網(wǎng)內(nèi)部，所面臨的安全風險相對較小，但依然會面臨法規(guī)遵從、軟件許可、應用可靠性、SLA等問題。用戶在向私有云遷移時，需要采用成熟的技術方案，解決私有云的系統(tǒng)建設及運營管理安全工作，具體可參見上文。同時，應做好系統(tǒng)容災、數(shù)據(jù)備份以及業(yè)務回退機制，以提高應對各類突發(fā)安全事件的處理能力。

（2）向公共云遷移

在向公共云遷移時，應采取如下舉措以規(guī)避遷移風險：

·盡量選擇安全可信度高、信譽好的大型云服務提供商，降低云服務提供商出現(xiàn)破產(chǎn)導致的業(yè)務受損或相關負面結(jié)果的風險；

·確定哪些業(yè)務可以使用云計算服務，有選擇性地向云計算服務遷移，如對于企業(yè)最至關重要的涉及核心知識產(chǎn)權的或非常敏感的信息，在做好各項測試驗證前，應審慎遷移；

·繼續(xù)做好數(shù)據(jù)遷移后的安全管理和監(jiān)控，一方面應通過技術手段和合規(guī)審計來驗證云服務提供商的安全舉措，確保自身數(shù)據(jù)安全及完整性；另一方面，也應繼續(xù)做好自身應用系統(tǒng)的安全管理與運行監(jiān)控工作，包括關鍵應用信息的備份，以應對云計算系統(tǒng)故障等突發(fā)安全風險；

·詳細了解協(xié)議內(nèi)容，確保了解SLA服務協(xié)議、服務提供商的隱私協(xié)議等，通過協(xié)議條款要求云計算服務提供商更新其保護系統(tǒng)，以實現(xiàn)與業(yè)內(nèi)最佳實施策略相一致；

·明確云服務提供商存儲用戶數(shù)據(jù)的地點，在可能的情況下，控制數(shù)據(jù)的存放地點，以應對不同地區(qū)、國家的法律差異而可能引起的法律糾紛。

另外，由于云計算服務可能涉及到諸多個人、企業(yè)乃至整個國家的重要敏感信息安全，因此在某種程度上需要政府相關監(jiān)管部門的介入，通過制定、完善相應的法律法規(guī)，對云計算服務提供商、云計算服務進行規(guī)范、監(jiān)督、審計，保障云計算應用服務及信息安全。

4 結(jié)束語

安全是廣大用戶權衡是否使用云計算服務的重要指標之一，是云計算健康可持續(xù)發(fā)展的基礎。只有為用戶提供可靠、可信、高性價比的云計算服務，企業(yè)才有可能在云計算領域取得成功。本文在總結(jié)、分析云計算應用面臨的技術層面安全威脅和法律合規(guī)風險的基礎上，對云計算應用安全進行了系統(tǒng)分析與研究，并分別從云計算服務提供商和用戶角度提出云計算應用安全策略與建議。相信隨著整個云計算產(chǎn)業(yè)鏈的不懈努力，以及政府監(jiān)管部門相關法律法規(guī)的不斷完善，云計算應用及服務將朝著可靠、安全、可信的方向健康發(fā)展。

1 Cloud Security Alliance.Security guidance for critical areas of focus in cloud computing v2.1,http://www.cloudsecurityalliance.org/csaguide.pdf

2 IBM.藍云解決方案.http://www-900.ibm.com/ibm/ideasfromibm/cn/cloud/solutions/index.shtml

3 王鵬.走近云計算.北京:人民郵電出版社，2009