云計算安全體系研究

吳耀輝

[摘要]云計算是信息技術(shù)領(lǐng)域發(fā)生的重大變革，這種變革為信息安全領(lǐng)域帶來了巨大沖擊。本文對云計算的安全需求進(jìn)行了比較詳細(xì)的總結(jié)和分析，指出云計算不僅在機(jī)密性、完整性、服務(wù)有效性等傳統(tǒng)安全基本需求上賦予了新的內(nèi)涵，而且增加了可靠性、身份認(rèn)證、可移植性、合規(guī)性、可追責(zé)性、虛擬機(jī)及終端安全等方面新的安全需求。最后在對安全需求分析的基礎(chǔ)上，提出了云計算的安全體系框架，為云計算的安全保障和研究提供了參考依據(jù)

[關(guān)鍵詞]云計算；機(jī)密性；數(shù)據(jù)完整性；身份認(rèn)證；可靠性；可移植性；合規(guī)性；可追責(zé)性；體系結(jié)構(gòu)

[中圖分類號]TP309 [文獻(xiàn)標(biāo)識碼]A [文章編號]1672-5158（2013）05-0001-02

1 引言

云計算具有快速伸縮（Rapid elasticity）、按需自助服務(wù)（On-de mand self-service）、無所不在的網(wǎng)絡(luò)訪問（Broad network access）、資源池（Resource pooling）、服務(wù)可度量（Measured service）等獨特優(yōu)勢，對于企業(yè)用戶而言可顯著降低計算和存儲的維護(hù)成本；對個人用戶而言通過將信息的存儲和計算放在云端，降低了自身存儲和計算資源有限所帶來的很多約束。云計算提供商以自己強(qiáng)大的經(jīng)濟(jì)和技術(shù)實力，在法律法規(guī)的約束下保障云計算的高度可靠性。云計算高速發(fā)展，但安全問題卻日益突出。據(jù)有關(guān)調(diào)查，70%以上受訪企業(yè)認(rèn)為近期不采用云計算的首要原因在于存在數(shù)據(jù)安全性與隱私n生的憂慮。文章對云計算安全面臨的挑戰(zhàn)進(jìn)行研究，對安全需求進(jìn)行深入探討，最后提出云計算的安全體系結(jié)構(gòu)。

2 挑戰(zhàn)與風(fēng)險

云計算是信息技術(shù)領(lǐng)域發(fā)生的重大變革，這種變革為信息安全領(lǐng)域帶來了巨大挑戰(zhàn)：（1）在云平臺中運行的各類云應(yīng)用沒有固定不變的基礎(chǔ)設(shè)施，沒有固定不變的安全邊界，難以實現(xiàn)用戶數(shù)據(jù)安全與隱私保護(hù)；（2）云服務(wù)所涉及的資源由多個管理者所有，存在利益沖突，無法統(tǒng)一規(guī)劃部署安全防護(hù)措施；（3）云平臺中數(shù)據(jù)與計算高度集中，安全措施必須滿足海量信息處理的需求。

云安全聯(lián)盟與惠普公司共同在對29加企業(yè)、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果進(jìn)行研究分析后，共同列出了云計算面臨的數(shù)據(jù)丟失/遺漏、共享技術(shù)漏洞、供應(yīng)商可靠n生不易評估、身份認(rèn)證機(jī)制薄弱、不安全的應(yīng)用程序接口、不正確的使用、對供應(yīng)商的未知安全的安全七宗罪。國際著名IT咨詢研究機(jī)構(gòu)Gartner早在2008年就在文中描述了云計算存在的7大安全風(fēng)險；ENISA（歐洲網(wǎng)絡(luò)與信息安全局）在其發(fā)布的《云計算安全風(fēng)險評估》中也提到了云計算安全所面臨的7大關(guān)鍵性問題；

3 云計算的安全需求

3.1可靠性

云計算通過整合分散的、甚至是閑置的資源來提供服務(wù)，這種分散的、閑置的資源可能不是穩(wěn)定“在線”的，所以，要求云計算系統(tǒng)要具有較強(qiáng)的數(shù)據(jù)容錯和單個計算節(jié)點故障恢復(fù)措施來保障服務(wù)的高可用可靠性。云計算是以互聯(lián)網(wǎng)為基礎(chǔ)的，而互連網(wǎng)是脆弱和不可靠的。系統(tǒng)的高可靠性是云計算系統(tǒng)設(shè)計時的基本要求。Goog～電子郵件服務(wù)中斷、微軟云計算平臺window s A zu re運作中斷、亞馬遜的“簡單存儲服務(wù)”（simpleStorage Service，s3）中斷等問題都可歸結(jié)為是由于云計算系統(tǒng)可靠性設(shè)計的不足而發(fā)生的。除了對設(shè)備、資源云系統(tǒng)可靠性考慮外，對可靠性需求的另外一個方面是提供商在選用員工時對員工背景的調(diào)查，選用可靠的員工。

3.2保密性

用戶數(shù)據(jù)和應(yīng)用程序都在第三方云提供商提供的基礎(chǔ)平臺中運行，云服務(wù)提供商可能隨意處置用戶的數(shù)據(jù)與代碼，容易造成用戶數(shù)據(jù)的泄露和丟失；服務(wù)提供商還可以通過數(shù)據(jù)挖掘及推理分析等技術(shù)發(fā)現(xiàn)用戶的使用習(xí)慣，用戶與其他用戶之間存在的交易關(guān)系等私密信息，造成用戶隱私泄露；在云端，應(yīng)用程序要對處于加密狀態(tài)的數(shù)據(jù)進(jìn)行處理，應(yīng)用程序需要首先解密數(shù)據(jù)，然后再完成運算，但是加密的方式又帶來了運算上的開銷，提高性能要求需要服務(wù)器能夠在密文上面直接進(jìn)行操作。在最理想的情況下，服務(wù)器在密文上的任何操作都能夠直接對應(yīng)到明文上的相應(yīng)操作，這種加密方法稱為完全同態(tài)加密。在完全同態(tài)加密不能高效實現(xiàn)的情況下，利用同態(tài)函數(shù)的特性保護(hù)隱私，研究基于密文的操作是云計算實現(xiàn)保密性的一個很重要的需求。

3.3數(shù)據(jù)完整性

完整性指系統(tǒng)內(nèi)信息在存儲或傳輸過程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等以造成破環(huán)和丟失的特性。云計算安全完整性需求主要包括云用戶存儲在云中的靜態(tài)數(shù)據(jù)的存儲，在存取過程中需要完成的完整性檢測要求，以及應(yīng)用程序在處理數(shù)據(jù)時，在從存儲介質(zhì)中存取數(shù)據(jù)，在對數(shù)據(jù)流中數(shù)據(jù)包的完整性檢測校驗。

3.4服務(wù)有效性

在云計算中，可能由于各種原因?qū)е碌挠脩粼谛枰獣r不能得到云服務(wù)商提供的及時有效服務(wù)。如云虛擬機(jī)因漏洞或系統(tǒng)更新等而導(dǎo)致的進(jìn)程崩潰、宕機(jī)；攻擊者破壞了用戶應(yīng)用程序的完整性使得用戶程序部分或全部不能正常運行；由于虛擬機(jī)控制權(quán)丟失而致使用戶失去對主機(jī)/月艮務(wù)器的控制和使用權(quán)，云內(nèi)部或用戶接人端受到黑客攻擊導(dǎo)致大面積的DDoS/DoS；如此等等，這些都要求云服務(wù)提供商要預(yù)備各種應(yīng)急災(zāi)備措施和設(shè)備保障，對數(shù)據(jù)，平時要為用戶做好災(zāi)備考慮，要有足夠的實力，為用戶提供可供選擇的備用帶寬、存儲及計算資源。

3.5可控性

計算機(jī)既是解放的技術(shù)，又是控制的技術(shù)。云計算就猶如一臺更加龐大的和“泛在”的超級計算機(jī)，所以，在云計算中的控制也顯得更為重要，云計算改變了互聯(lián)網(wǎng)時代依靠防火墻在物理上保護(hù)一個“安全域”的安全防護(hù)的模式已不存在，對每個云用戶的應(yīng)用程序進(jìn)程、數(shù)據(jù)隱私的訪問及控制依賴用戶的身份，所以，要實現(xiàn)云計算的控制，首先做好用戶的身份管理，身份管理主要涉及身份的供應(yīng)、注銷以及身份認(rèn)證過程。在云環(huán)境下，實現(xiàn)身份聯(lián)合和單點登錄可以支持云中合作企業(yè)之間更加方便地共享用戶身份信息和認(rèn)證服務(wù)。其次，云訪問控制服務(wù)的實現(xiàn)依賴于如何妥善地將傳統(tǒng)的訪問控制模型（女口基于角色的訪問控制、基于屬性的訪問控制模型以及強(qiáng)制/自主訪問控制模型等）和各種授權(quán)策略語言標(biāo)準(zhǔn)（如XACML，SAML等）擴(kuò)展后移植入云環(huán)境。此外，鑒于云中各企業(yè)組織提供的資源服務(wù)兼容性和可組臺性的日益提高，組合授權(quán)問題也是云訪問控制服務(wù)安全框架需要考慮的重要問題。

3.6虛擬安全

虛擬化是云計算的重大技術(shù)特征。虛擬安全包括虛擬環(huán)境下，虛擬主機(jī)、虛擬通道、虛擬網(wǎng)絡(luò)連接設(shè)備的安全。虛擬安全主要包括虛擬機(jī)自身安全、虛擬機(jī)之間的安全、Hypervisor與虛擬機(jī)之間的安全、虛擬機(jī)鏡像安全、虛擬環(huán)境中的權(quán)限控制與認(rèn)證安全、虛擬機(jī)遷移安全、桌面虛擬化安全等。云計算多個虛擬設(shè)備（主機(jī)或網(wǎng)絡(luò)互連構(gòu)件）可能會別綁定到相同的物理資源上，可能導(dǎo)致信息泄露或數(shù)據(jù)的覆蓋。要防lkhypervisor被入侵從而控制虛擬機(jī)資源；虛擬機(jī)和Hypervisor通信時，要防止可能包含敏感信息如特權(quán)賬號的用戶名和口令被嗅探竊取；要防止應(yīng)用程序繞過底層，利用宿主機(jī)進(jìn)行某些攻擊或破壞活動。

3.7可移植性（portability）

數(shù)據(jù)“鎖入”（LOCK IN）是指在云計算中當(dāng)一個云計算服務(wù)提供商因種種原因不能夠為用戶提供服務(wù)，用戶需要將其數(shù)據(jù)信息以及應(yīng)用從一個云服務(wù)提供商遷移到另外的云服務(wù)提供商提供的云平臺上進(jìn)行存儲、部署時，不同云平臺間沒有統(tǒng)一標(biāo)準(zhǔn)的配置、運行環(huán)境接口，而使云用戶遭受損失?？梢浦残允侵笇?shù)據(jù)或應(yīng)用程序從一個提供商搬移到另一個提供商，或?qū)⑺堪嵋频奖镜氐哪芰?。目前還不能提供統(tǒng)一的工具、規(guī)程、標(biāo)準(zhǔn)數(shù)據(jù)格式或服務(wù)接口來保證數(shù)據(jù)、應(yīng)用程序和服務(wù)的可移植性；原數(shù)據(jù)、數(shù)據(jù)的備份和日志、訪問記錄的冗余拷貝，以及其他任何可能因法律或合規(guī)性原因而導(dǎo)致的信息、數(shù)據(jù)能否被完整遷移。

3.8合規(guī)性

不同的國家對信息系統(tǒng)建設(shè)、管理的相關(guān)規(guī)定、立法不同，許多國家或地區(qū)都有嚴(yán)格的隱私法，禁止將某些數(shù)據(jù)存儲在本國或本地區(qū)外的物理機(jī)器上，對違反這些法律的機(jī)構(gòu)通常將進(jìn)行嚴(yán)厲處罰。云服務(wù)提供商要對用戶數(shù)據(jù)的存儲及應(yīng)用的發(fā)布、運行范圍進(jìn)行審查或限定，以滿足法律法規(guī)、處罰條例以及其他的法案的要求。同時，云計算大大提升了計算的效率和能力，也給非法行為帶來了便利，如利用云計算資源破譯口令和系統(tǒng)密碼；云平臺對資源的動態(tài)伸縮性管理和資源共享模式意味著云服務(wù)平臺擁有龐大的網(wǎng)絡(luò)資源、計算資源和用戶身份資源，如果這些資源被黑客或內(nèi)部人員非法利用，用于組織類似DDoS、僵尸木馬類的大規(guī)模攻擊。所以，云計算在使用用途上，也必須嚴(yán)格審定其使用的正當(dāng)合法性。

3.9可追責(zé)性

在云計算中，數(shù)據(jù)和應(yīng)用程序?qū)儆谟脩?，然而，?shù)據(jù)的存儲和應(yīng)用程序的運行場所并不屬其所有者用戶所管轄和控制的區(qū)域，但是當(dāng)出現(xiàn)數(shù)據(jù)的保密性、完整性、有效性遭遇破壞或用戶隱私遭受到不法侵害，違反云用戶與云提供商事先的服務(wù)等級約定或其他法律法規(guī)時，在用戶和云計算提供商之間可進(jìn)行相應(yīng)的責(zé)任追查。在云計算這種新的電子空間環(huán)境下，這種可追責(zé)性需要一定的環(huán)境保障，這種環(huán)境保障主要表現(xiàn)在有法可依、可電子取證、可審計三個方面。

3.10終端安全

云平臺中數(shù)據(jù)與計算高度集中，用戶接人呈現(xiàn)時間，地點的不確定性和訪問終端類型多樣化的特點，終端是攻擊的起源和人口，所以，云計算要為云用戶所安全利用，就必須包括終端安全，終端安全需求具體包括接口適配需求、身份安全和終端運行環(huán)境安全需求等。

4 安全體系總體結(jié)構(gòu)

依照以上云計算安全需求，參考云計算定義，本章提出了面向架構(gòu)的云計算安全服務(wù)模型，在此基礎(chǔ)上，又給出了云計算安全體系。

3.1面向架構(gòu)的云計算安全模型

圖1是云計算安全參考模型?？梢钥闯觯朴嬎惆踩Ｐ褪且环N多層次的安全保障體系，安全服務(wù)是多方位和多層次的，我們把該模型作為云計算安全技術(shù)體系設(shè)計的基礎(chǔ)。

3.2面向服務(wù)的云計算安全體系

根據(jù)云計算安全參考模型設(shè)計的云計算安全體系結(jié)構(gòu)如圖2。

（1）基礎(chǔ)設(shè)施安全服務(wù)

基礎(chǔ)設(shè)施安全服務(wù)為上層云應(yīng)用提供安全的數(shù)據(jù)存儲、計算等資源服務(wù)，保護(hù)業(yè)務(wù)連續(xù)性和數(shù)據(jù)的隱私性是其主要安全目標(biāo)?；A(chǔ)設(shè)施層面主要考慮的安全要素包括：物理安全 物理防護(hù)、網(wǎng)絡(luò)可靠、備用設(shè)施等；存儲安全一存儲加密和完整性，數(shù)據(jù)備份、災(zāi)難恢復(fù)等；虛擬化安全Hypervisor加固、鏡像加密、虛擬機(jī)隔離等；系統(tǒng)安全——則應(yīng)涵蓋虛擬機(jī)的管理和安全；網(wǎng)絡(luò)安全——FW/IPS/IDS、拒絕服務(wù)攻擊、程序漏洞、網(wǎng)絡(luò)監(jiān)控等。

（2）基礎(chǔ)平臺安全服務(wù)

基礎(chǔ)平臺云安全服務(wù)是支撐云應(yīng)用、滿足用戶安全目標(biāo)的重要手段，其中比較典型的幾類安全服務(wù)包括：云用戶身份管理服務(wù)，主要涉及用戶身份認(rèn)證、管理，還包括云環(huán)境下的身份聯(lián)合管理、單點登錄等問題；云授權(quán)服務(wù)，研究適合云環(huán)境中的訪問控制模型和授權(quán)策略，提高各企業(yè)，組織資源管理的可靠性、兼容性和擴(kuò)展性；云審計服務(wù)，滿足用戶安全管理與審計的需要，可信地提供包括操作系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)和網(wǎng)路設(shè)備等重要資源的日志和記錄；云密碼服務(wù)，除提供最典型的加、解密服務(wù)外，云密碼服務(wù)還包括秘鑰管理與分發(fā)，證書管理等安全服務(wù)。

（3）應(yīng)用安全服務(wù)

云安全應(yīng)用服務(wù)是根據(jù)用戶的需求，提供信息安全服務(wù)和應(yīng)用安全服務(wù)。信息安全服務(wù)包括內(nèi)容過濾與殺毒應(yīng)用、內(nèi)容安全云服務(wù)，應(yīng)用安全服務(wù)包括DDOS攻擊防護(hù)云服務(wù)、安全事件監(jiān)控與預(yù)警云服務(wù)、接人安全、終端安全等服務(wù)。

（4）云計算安全管理服務(wù)

云提供商需要提供透明的安全管理服務(wù)，建立信任度。云計算在很大程度上取決于它的許多組件的安全，包括通用的計算組件，如部署的應(yīng)用程序、虛擬機(jī)監(jiān)視器、客戶虛擬機(jī)、數(shù)據(jù)存儲和次要的中間件之外，也包括了一些管理功能組件，如用于自行配置資源、資源計量、限額管理、數(shù)據(jù)備份和恢復(fù)等管理組件。因此，對一個安全的云計算解決方案的操作和維護(hù)，強(qiáng)大的管理措施是必不可少的。對用于建立和維護(hù)信息系統(tǒng)資源的保密性、完整性、可用性的安全策略的管理、對主機(jī)和網(wǎng)絡(luò)的配置及關(guān)鍵文件的管理和監(jiān)控、對系統(tǒng)中有關(guān)安全的所有活動的記錄和審查、防止惡意用戶攻擊的漏洞和補(bǔ)丁管理等管理措施都是必不可少的。

（5）云計算安全基礎(chǔ)設(shè)施服務(wù)

為了彌補(bǔ)網(wǎng)絡(luò)控制的丟失以及加強(qiáng)風(fēng)險保障，云提供商將提供安全基礎(chǔ)設(shè)施服務(wù)。主要包括證書、密鑰的管理、身份管理、訪問控制管理等。

5 結(jié)束語

云計算這一信息技術(shù)的新模式，目前已經(jīng)在廣泛應(yīng)用，但還沒有進(jìn)入到關(guān)鍵應(yīng)用的實質(zhì)性大規(guī)模運用階段，究其原因，正在于它的安全性問題。目前工業(yè)界云計算產(chǎn)品已經(jīng)使用的安全策略只能針對現(xiàn)有的安全攻擊技術(shù)進(jìn)行保護(hù)，而對云計算中新產(chǎn)生的安全問題還能沒有更多考慮。我們對云安全的需求做以總結(jié)和歸納，提出云計算安全的總體結(jié)構(gòu)，旨在為云計算安全方面的研究做一個好的鋪墊和幫助。云計算作為一個新興的產(chǎn)業(yè)發(fā)展非常迅速，我們期待著其中的安全問題能夠早日被完善解決并在實際產(chǎn)品中得以應(yīng)用。

參考文獻(xiàn)

[1] NIST.The NIST Definition of Cloud Computing.Special Publication 800-1 45.2011

[2]劉鵬.云計算（第二版）.北京：電子工業(yè)出版社，2011

[5]周洪波.云計算——技術(shù)、應(yīng)用、標(biāo)準(zhǔn)和商業(yè)模式.北京：電子工業(yè)出版社，2011

[4]馮登國等.云計算安全研究.軟件學(xué)報2011，22（1）：71—83