鄧宇珊

摘 要：云計算是社會發(fā)展、科技進(jìn)步的產(chǎn)物，是IT領(lǐng)域變革的結(jié)果。云計算從提出開始就是IT領(lǐng)域較為令人關(guān)注的話題，引發(fā)了新的技術(shù)變革和IT服務(wù)模式。其大規(guī)模、通用性、用戶無需維護(hù)和關(guān)心基礎(chǔ)設(shè)施等特點(diǎn)給用戶帶來了極大的便利。與此同時，云計算也因其特點(diǎn)，凸顯出了諸多的安全隱患需要著手解決。論文旨在對云計算存在的安全隱患進(jìn)行分析，并簡單的探討可實行的安全保障措施。

關(guān)鍵詞：云計算；云安全；云計算安全。

中圖分類號：TP15 文獻(xiàn)標(biāo)識碼：D

Abstract： Cloud computing is the product of social development and technological progress， and is the result of the change in the field of IT. Cloud computing has been a hot topic in the field of IT since it was put forward， which has triggered new technological changes and IT service patterns. Its large-scale， versatility， users do not need to maintain and care about infrastructure and other features to the user has brought great convenience. At the same time， because of its characteristics， cloud computing has highlighted many security risks that need to be solved. The purpose of this paper is to analyze the security risks of cloud computing， and simply explore the security measures that can be implemented.

Key words： cloud computing； cloud security； cloud computing security

1 引言

云計算是分布式計算、并行計算、效用計算、網(wǎng)絡(luò)存儲、虛擬化、負(fù)載均衡、熱備份冗余等傳統(tǒng)計算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。同時，云計算也是一項技術(shù)、一系列技術(shù)、一種運(yùn)營模式、一種商業(yè)模式。其主要特點(diǎn)有超大規(guī)模、虛擬化、高可靠性、通用性、高擴(kuò)展性、按需分配、極其廉價等。

因此，云計算帶來的優(yōu)點(diǎn)也顯而易見。云計算提供了可靠、安全的數(shù)據(jù)存儲中心，用戶不用再擔(dān)心數(shù)據(jù)丟失、病毒入侵等麻煩；云計算對用戶端設(shè)備的兼容性高，使用起來也最方便；增強(qiáng)的計算能力，接入到云計算的系統(tǒng)，可獲取和支配整個云中共享的CPU、內(nèi)存、計算能力等，并不再局限于單臺計算機(jī)所能做的事情，利用成千上萬臺計算機(jī)和服務(wù)器的能力，能執(zhí)行更多的任務(wù)；擁有“無限”的存儲容量，用戶可不用考慮存儲的上限。

云計算目前有三個層次的服務(wù)模式，即IaaS基礎(chǔ)設(shè)施即服務(wù)、PaaS平臺及服務(wù)、SaaS軟件及服務(wù)，用戶可根據(jù)不同的需求選擇不同的服務(wù)模式。

2 云計算面臨的威脅

云計算具有流動性、無邊界、虛擬化等特性，這就使得其傳統(tǒng)的防護(hù)體系受到了極大的沖擊，其面臨的安全威脅越來越多。

2.1 濫用、惡用、拒絕服務(wù)攻擊

云計算提供服務(wù)依托于寬帶網(wǎng)絡(luò)和Web方式，所以其拒絕服務(wù)攻擊會嚴(yán)重影響其可用性。網(wǎng)絡(luò)和服務(wù)器資源為云計算提供了支撐，而且云計算的特性要求其具備靈活性，這樣才能滿足業(yè)務(wù)開通和服務(wù)變更等需求。這也增加了云計算被濫用惡用的風(fēng)險，通過云計算服務(wù)破解密碼、搭建僵尸網(wǎng)絡(luò)等風(fēng)險就比較普遍。此時云計算就面臨著新的風(fēng)險——數(shù)據(jù)泄露，這是公共云最擔(dān)憂的一個問題，因為云計算中高密度聚合了關(guān)鍵數(shù)據(jù)，這就容易引發(fā)潛在的攻擊，使得云中數(shù)據(jù)丟失泄露的風(fēng)險增加。

在云計算環(huán)境中，如果攻擊者直接獲取了用戶的賬號信息，用戶的活動交易信就會被竊取，攻擊者就會通過操縱數(shù)據(jù)、捏造信息、劫持賬號來發(fā)動新的攻擊等方式來損害用戶的網(wǎng)絡(luò)信譽(yù)。

2.2 不安全的接口和API

目前，云計算業(yè)界的安全實踐中網(wǎng)絡(luò)接口和API的安全測試不成熟，出現(xiàn)了額外的安全入侵入口。因為客戶進(jìn)行業(yè)務(wù)整合、發(fā)展伙伴和提供業(yè)務(wù)，都需要通過云計算服務(wù)商來獲取大量的網(wǎng)絡(luò)接口和API，額外的安全入侵使得其業(yè)務(wù)風(fēng)險增加。

2.3 資源共享引發(fā)的風(fēng)險

云計算的一個重要特征就是可以進(jìn)行資源共享，在多用戶間共享云計算中的計算能力、存儲與網(wǎng)絡(luò)資源，其隔離性就被打破，一個租戶的惡意行為就會對同一環(huán)境下其它租戶的聲譽(yù)產(chǎn)生影響。云計算的虛擬化技術(shù)為黑客入侵到宿主機(jī)或同一宿主機(jī)上的其它虛擬機(jī)提供了便利，這都是因為虛擬機(jī)管理系統(tǒng)自身的漏洞。目前，云計算環(huán)境中集中存儲了重要的私密數(shù)據(jù)，其相互傳輸過程中也會出現(xiàn)信息泄露的情形，包括客戶資源、財務(wù)數(shù)據(jù)、關(guān)鍵業(yè)務(wù)記錄等。

因此，在不可靠的介質(zhì)上存儲數(shù)據(jù)，并沒有進(jìn)行備份，就對數(shù)據(jù)進(jìn)行刪除修改，一旦丟失了密鑰數(shù)據(jù)就難以解密，容易帶來嚴(yán)重的數(shù)據(jù)丟失事故。與傳統(tǒng)的基礎(chǔ)設(shè)施相比，云計算的分布式架構(gòu)的數(shù)據(jù)傳輸更多，在不同機(jī)器上同步的鏡像為其提供了云間的信息交換。如果其加密強(qiáng)度不夠，嗅探、中間人攻擊、重放攻擊等都可以被攻擊者用來竊取和篡改數(shù)據(jù)。

2.4 虛擬化安全問題

云計算還存在虛擬化安全問題，一旦其物理主機(jī)被破壞，因為與物理主機(jī)之間存在交流，其管理的虛擬服務(wù)器也有被攻克的可能，但是如果使得物理主機(jī)和虛擬機(jī)不交流，又會出現(xiàn)虛擬機(jī)逃逸的現(xiàn)象。在破壞了物理主機(jī)的虛擬網(wǎng)絡(luò)后，其虛擬機(jī)也會受到損害。

2.5 其他未知的風(fēng)險場景

云計算具有應(yīng)用地域弱、信息流動性大的特點(diǎn)，所以不同地區(qū)、不同國家都有其信息服務(wù)或用戶數(shù)據(jù)的分布，這也就增加了其法律風(fēng)險。因為不同國家地區(qū)的政府信息安全監(jiān)管等存在法律差異，如果用戶間物理界限模糊其因為虛擬化等技術(shù)，也會增加司法取證的難度。由此可見，云計算面臨的威脅比較多，但是用戶不可能對云中所有的細(xì)節(jié)都了解，而云計算服務(wù)商因為商業(yè)機(jī)密等也并可能分享關(guān)鍵信息，所以雙方的信息不對稱現(xiàn)象難以避免，未知安全風(fēng)險也難以禁止。

3 解決方案

信息技術(shù)在不斷向前發(fā)展，因此引發(fā)的安全問題也是在不斷演進(jìn)，傳統(tǒng)國家安全標(biāo)準(zhǔn)與安全技術(shù)已經(jīng)不能滿足與適應(yīng)新技術(shù)發(fā)展帶來的安全威脅，這就需要采取有效的解決措施來提高云計算的安全性。

3.1 加強(qiáng)數(shù)據(jù)保護(hù)

在云計算平臺存儲系統(tǒng)中存在著大量數(shù)據(jù)，包括文檔、視頻、圖片、電子郵件等。不同類型的數(shù)據(jù)、不同用戶的數(shù)據(jù)、不同級別的數(shù)據(jù)其安全性和重要性都有極大的區(qū)別。因此，要做好數(shù)據(jù)保護(hù)，提高信息的安全性，比如可以發(fā)揮安全資源池化、敏感信息識別與防護(hù)、DDoS防護(hù)等作用進(jìn)行安全保護(hù)。

3.1.1 安全資源池化

資源池主要有高性能、資源分配合理等優(yōu)勢。因此，在云計算環(huán)境中，為了提高安全設(shè)備的性能與靈活性，可將云計算安全資源如虛擬防火墻、虛擬入侵防御系統(tǒng)、虛擬防病毒、虛擬Web應(yīng)用防火墻等設(shè)備按照類型進(jìn)行資源池化，便于對安全設(shè)備的按需分配、集中管理。

3.1.2 敏感信息識別與防護(hù)

敏感信息的識別與防護(hù)可在數(shù)據(jù)的整個生命周期中分別進(jìn)行。

在數(shù)據(jù)的產(chǎn)生環(huán)節(jié)，制定敏感數(shù)據(jù)的標(biāo)準(zhǔn)與分類；在數(shù)據(jù)傳輸環(huán)節(jié)，通過數(shù)據(jù)加密或VPN技術(shù)實現(xiàn)數(shù)據(jù)的加密傳輸。

在數(shù)據(jù)存儲環(huán)節(jié)，采用加密技術(shù)或者其他保護(hù)措施實現(xiàn)數(shù)據(jù)的存儲保密性；在數(shù)據(jù)遷移環(huán)節(jié)，進(jìn)行數(shù)據(jù)遷移前的安全評估，保證數(shù)據(jù)遷移前后的安全。

在數(shù)據(jù)銷毀環(huán)節(jié)，制定相應(yīng)的銷毀準(zhǔn)則，保證數(shù)據(jù)被徹底銷毀清除；在備份與恢復(fù)環(huán)節(jié)，提供完善的數(shù)據(jù)備份與恢復(fù)功能，保證數(shù)據(jù)的可靠性。

3.1.3 DDoS防護(hù)

云計算環(huán)境中，用戶數(shù)據(jù)、帶寬、網(wǎng)絡(luò)設(shè)備等資源較為集中，如若云平臺沒有做相應(yīng)的防護(hù)或者防護(hù)措施不足，任一節(jié)點(diǎn)遭受拒絕服務(wù)攻擊時，可能導(dǎo)致毀滅性的破壞。因此，云計算的DDoS防護(hù)尤為重要。

3.2 抗拒絕服務(wù)攻擊

云計算中心的可用性受到其業(yè)務(wù)的影響，所以云計算服務(wù)提供商必須要做好其拒絕服務(wù)攻擊的調(diào)查工作，采取有效的保護(hù)措施。因此，服務(wù)提供商自身必須要有強(qiáng)大的網(wǎng)絡(luò)和服務(wù)器資源，這樣才能滿足云計算快速彈性的需求，實現(xiàn)云計算的靈活性。

云計算中也要對網(wǎng)絡(luò)入侵進(jìn)行檢測，對于攻擊成功的安全事件要通過入侵檢測系統(tǒng)的攻擊結(jié)果對其功能進(jìn)行判定。而且云計算中心要對低風(fēng)險或不可能成功的攻擊行為進(jìn)行過濾，通過特定的安全規(guī)則設(shè)定安全策略，減少管理員的日常工作量，保證可以重點(diǎn)關(guān)注重要攻擊行為。

3.3 加強(qiáng)信息安全流通

對于信息共享中出現(xiàn)的風(fēng)險，要對網(wǎng)絡(luò)的安全監(jiān)控進(jìn)行強(qiáng)化，通過高強(qiáng)度的劃分和隔離機(jī)制來管理訪問和操作，這樣在一個用戶訪問另一個用戶時，就會定期掃描和配置審計其活動的和殘留的數(shù)據(jù)。同時也會開展集中化的身份認(rèn)證，分級管理和記錄數(shù)據(jù)訪問情況，運(yùn)用HTTPS或SSL的VPN高強(qiáng)度加密傳輸?shù)臄?shù)據(jù)使用。

4 結(jié)束語

云計算為互聯(lián)網(wǎng)的發(fā)展提供了技術(shù)推力，為用戶提供了可靠的數(shù)據(jù)存儲、便捷的接入以及跨設(shè)備的數(shù)據(jù)應(yīng)用與共享等便利。但在云計算發(fā)展的同時，還需要將其面臨的安全問題與不斷提升的技術(shù)進(jìn)行同步建設(shè)與防護(hù)。

因此，要做好云計算安全問題的管理，注重其數(shù)據(jù)保護(hù)、抗拒絕服務(wù)攻擊和信息共享，保證信息傳遞存儲的安全性。同時，云計算服務(wù)商也要加強(qiáng)對其安全性監(jiān)管，這樣才能共同營造良好的、安全的網(wǎng)絡(luò)環(huán)境，有效預(yù)防更多的未知風(fēng)險。

參考文獻(xiàn)

[1] Cloud Security Alliance.Top Threats Working Group The Treacherous 12 Cloud Computing Top Threats in 2016[Z].February 2016.

[2] 賈英來，熊玉蘭.電信運(yùn)營商在云計算環(huán)境下如何保護(hù)敏感信息[J].世界電信，2015（7）：42-47.

[3] 李金金.云計算的數(shù)據(jù)安全和隱私保護(hù)[Z].國研網(wǎng)，2015，11（19）.