徐 波

(阜陽職業(yè)技術(shù)學(xué)院工程科技學(xué)院，安徽阜陽236031)

云計算是新興的，高效的商業(yè)計算模式。云計算從并行，分布式，效用，網(wǎng)格計算等概念發(fā)展而來，它的本質(zhì)是通過付費使用的方式向企業(yè)和用戶提供所需要的各種服務(wù)，用戶只需按需付費。云計算正深刻地改變著人們對軟件的認(rèn)識和使用模式。人們不需要再安裝特定的維護(hù)軟件，只需按需從互聯(lián)網(wǎng)上獲取需要的資源，按需進(jìn)行付費。在IT界，云計算被認(rèn)為是引領(lǐng)未來產(chǎn)業(yè)變革的關(guān)鍵技術(shù)。

而隨著云計算技術(shù)的快速發(fā)展，其所帶來的安全問題也逐漸明顯，制約著云計算發(fā)展的步伐。很多公司因為云計算的安全問題而望而卻步。據(jù)IDC報告，74% 以上的用戶認(rèn)為云計算安全是云計算發(fā)展的主要瓶頸。

一、云計算安全

(一)云計算安全定義

隨著云計算的快速發(fā)展，其安全問題也日趨明顯，并成為制約云計算發(fā)現(xiàn)的瓶頸，云安全有以下含義:一是云計算自身的安全，如云計算服務(wù)安全、應(yīng)用安全，云計算數(shù)據(jù)安全等。本文所研究的云計算安全就是云計算自身的安全;二是安全云計算，指云計算在信息安全方面的應(yīng)用，主要是指利用云計算架構(gòu)，運用云計算所提供的服務(wù)模式，實現(xiàn)信息的統(tǒng)一安全管理，360的云安全系統(tǒng)就是安全云計算。

(二)云計算安全現(xiàn)狀

針對當(dāng)前云計算存在的安全問題，為了推進(jìn)云計算安全研究的快速發(fā)展，增強互操作性與溝通性，國外成立了多個組織機構(gòu)，進(jìn)行云安全標(biāo)準(zhǔn)研究。云安全聯(lián)盟(CSA)是于2009年正式成立的云安全組織，其目的在于形成統(tǒng)一規(guī)范的云安全規(guī)則，進(jìn)行云計算安全的溝通，確保云的高可靠性。典型云計算安全體系架構(gòu)有以下含義:

1.CSA的云計算安全架構(gòu)。CSA是從云服務(wù)角度提出的，CSA描述了云計算三種服務(wù)模式之間的相互依賴性與層次關(guān)系，從而實現(xiàn)了由云服務(wù)模型到安全合規(guī)模型的映射。

2.可信云架構(gòu)。它是VMWare、EMC和Intel合作共同提出的一種云架構(gòu)。因此其具有的功能是十分強大的。在基礎(chǔ)設(shè)施上能夠利用Intel的可信技術(shù)進(jìn)行安全保障;云架構(gòu)成功啟動后，又可以運用VMWare的虛擬隔離技術(shù)進(jìn)行虛擬機安全保障，防止病毒與木馬的侵襲;RSA Envision對硬件層和虛擬層的安全數(shù)據(jù)進(jìn)行收集。

3.其他云安全框架。歐洲網(wǎng)絡(luò)和信息安全研究所(ENISA)針對云安全問題提出一個云計算信息安全保障框架。針對企業(yè)信息安全框架，IBM提出一種云計算安全框架。針對大型數(shù)據(jù)中心，思科提出一種云數(shù)據(jù)中心安全框架，以防御外來攻擊對數(shù)據(jù)中心的威脅。

三、云計算安全模型

解決云計算安全問題需從技術(shù)、監(jiān)管、標(biāo)準(zhǔn)、法律多方面探索，涉及范圍非常廣泛。本節(jié)僅從技術(shù)層面提出一個參考性云計算安全模型如圖1所示，擬為云計算安全提供主要的技術(shù)支撐。圖1的云計算安全模型能夠?qū)aaS，PaaS、SaaS三類平臺都適用，主要包含以下幾方面安全技術(shù)。

圖1 云計算安全模型

(一)加密技術(shù)

加密技術(shù)是保護(hù)數(shù)據(jù)安全性的重要手段，通過加密相當(dāng)于為數(shù)據(jù)又增加了一道屏障。由于云計算環(huán)境多租戶的特定性質(zhì)，云計算加密與單租戶環(huán)境中所使用的加密技術(shù)是不同的。

當(dāng)云計算進(jìn)行數(shù)據(jù)存儲時，通常會使用一個虛擬私有存儲架構(gòu)。在把數(shù)據(jù)發(fā)送至云計算之前對其進(jìn)行加密處理，而當(dāng)數(shù)據(jù)發(fā)送回來后對其進(jìn)行解密;對于存儲在IaaS應(yīng)用程序中數(shù)據(jù)的基本加密操作，可以在實例中使用卷標(biāo)加密，并把數(shù)據(jù)保存在第二個加密卷標(biāo)中。

(二)數(shù)據(jù)保護(hù)

人們對數(shù)據(jù)安全的意識越來越強，而如何保證云中數(shù)據(jù)的安全性與私密性也是云計算安全重點要解決的問題。利用環(huán)和組進(jìn)行簽名加密的方法來實現(xiàn)數(shù)據(jù)匿名的存儲，以此來保障數(shù)據(jù)的安全性。也可以針對搜索引擎，提出數(shù)據(jù)的匿名搜索引擎，搜索雙方可以交換數(shù)據(jù)，但它們卻并不知道搜索雙方搜索的內(nèi)容，確保了安全性。

(三)虛擬化安全

作為云計算架構(gòu)實施的基礎(chǔ)，虛擬化安全是云計算安全的基礎(chǔ)。虛擬化將應(yīng)用系統(tǒng)的不同層面進(jìn)行隔離，并使硬件資源對用戶透明，同時實現(xiàn)了應(yīng)用的集中管理。

云計算通過虛擬化技術(shù)對物理資源進(jìn)行動態(tài)部署與管理。虛擬機安全、虛擬網(wǎng)絡(luò)安全和Hypervisor安全都會對云計算安全產(chǎn)生直接影響。因此，虛擬化安全是確保云計算環(huán)境安全的重要舉措。

在虛擬化的安全研究中，IBM提出一種名為sHype的安全Hypervisor架構(gòu)，該架構(gòu)通過對虛擬機之間的信息流進(jìn)行訪問控制，在虛擬機與宿主機安全的情況下實現(xiàn)了資源共享。Flavor Lombardi提出了ACPS架構(gòu)，通過保護(hù)基礎(chǔ)硬件設(shè)施的完整性來提升虛擬化安全。Terra基于TVMM(可信虛擬機監(jiān)視器)構(gòu)建可信虛擬機平臺，并且在此平臺上同時運行不同安全等級的應(yīng)用。T.Garfirkel等人提出一種名為Livewire的入侵檢測系統(tǒng)，該系統(tǒng)通過硬件頁保護(hù)機制進(jìn)行虛擬機內(nèi)核狀態(tài)的監(jiān)控。A，Seshadri等人提出SecVisor系統(tǒng)，從硬件出發(fā)，通過硬件內(nèi)存保護(hù)機制達(dá)到虛擬機安全性目標(biāo)。

(四)可信云計算

N.Santos針對云計算終端無法驗證等問題，提出一種可信云計算架構(gòu)，在這個平臺上，用戶在IaaS提供商提供的封閉沙箱內(nèi)執(zhí)行，對外界威脅進(jìn)行隔離，確保虛擬機的安全運行，同時該架構(gòu)提供用戶啟動虛擬機之前驗證基礎(chǔ)設(shè)施服務(wù)提供商的服務(wù)的安全性。S.Berger等人從云中的基礎(chǔ)設(shè)施出發(fā)，為云中的虛擬環(huán)境提供可信計算，增強了虛擬機運行的安全性。

［1］劉 鵬.云計算［M］.北京:電子工業(yè)出版社，2011.

［2］王 鵬，黃華峰，曹 珂.云計算:中國未來的 IT戰(zhàn)略［M］.北京:人民郵電出版社，2010.

［3］陳 龍，肖 敏.云計算安全:挑戰(zhàn)與策略［J］.數(shù)字通信，2010，(6).