陳 軍，薄明霞，王渭清

（中國(guó)電信股份有限公司北京研究院 北京100035）

1 前言

云計(jì)算服務(wù)模式的日漸清晰及云計(jì)算技術(shù)提供手段的日益成熟，正在打消人們對(duì)“云”概念及應(yīng)用的顧慮，云計(jì)算的應(yīng)用案例越來越多。

從使用云計(jì)算的客戶角度看，“云”提供商在“云”上能提供哪些業(yè)務(wù)以及這些業(yè)務(wù)是否能保證放在上面的信息的安全，是客戶選擇“云”最為看重的考量因素。也就是說，在使用云計(jì)算時(shí)，客戶除了關(guān)注云是否能提供所需的業(yè)務(wù)外，還會(huì)特別關(guān)注云計(jì)算提供商是否能保證客戶放在“云”上面的信息的安全可靠。

“客戶就是上帝”，這句話在“云”中同樣適用。對(duì)于云計(jì)算提供商來說，做出客戶真正需要的云業(yè)務(wù)、滿足客戶的實(shí)際需求是必要的，但同時(shí)，做好云安全的各項(xiàng)措施，保障客戶安心地去使用“云”及“云”上的各項(xiàng)業(yè)務(wù)也是必須的。為此，本文重點(diǎn)從客戶角度出發(fā)，對(duì)“云”自身應(yīng)滿足的安全需求進(jìn)行分析，對(duì)云安全應(yīng)重點(diǎn)關(guān)注的方面進(jìn)行探討；并依據(jù)需求分析結(jié)果，對(duì)云計(jì)算提供商應(yīng)提供的解決方案進(jìn)行初步探索。

2 云安全需求分析

從客戶的角度看，使用“云”的客戶對(duì)“云”自身的安全要求，其實(shí)與傳統(tǒng)網(wǎng)絡(luò)及系統(tǒng)是類似的?？蛻糇顬榭粗氐娜匀皇欠旁凇霸啤鄙系幕A(chǔ)數(shù)據(jù)是否安全、可靠。只不過在云計(jì)算環(huán)境下，由于基礎(chǔ)設(shè)施特別是網(wǎng)絡(luò)層和系統(tǒng)層的抽象化，缺少可視化、集成多種熟悉的安全控制手段的能力[1]，因此客戶在使用云計(jì)算提供商提供的云環(huán)境時(shí)，為保證數(shù)據(jù)的保密性、完整性、可用性、真實(shí)性、授權(quán)、認(rèn)證和不可抵賴性[2，3]，會(huì)在安全方面特別關(guān)注以下問題。

（1）數(shù)據(jù)的完整與機(jī)密

云計(jì)算提供商應(yīng)能有效維護(hù)數(shù)據(jù)的完整性和機(jī)密性，周期檢測(cè)其運(yùn)行狀況并提交報(bào)告給客戶。

在傳統(tǒng)網(wǎng)絡(luò)服務(wù)中，客戶數(shù)據(jù)基本上都是存儲(chǔ)在客戶自身私有設(shè)備上，他們通過租用網(wǎng)絡(luò)提供商的物理專線組成專網(wǎng)來傳輸、交換私有數(shù)據(jù)。客戶數(shù)據(jù)的完整性與機(jī)密性更多地掌控在客戶自己手里，他們通過限定訪問控制列表ACL、加密等技術(shù)手段保證數(shù)據(jù)的完整與機(jī)密。傳統(tǒng)網(wǎng)絡(luò)提供商的職責(zé)主要是保障客戶租用的電路可用率達(dá)標(biāo)。然而，在云計(jì)算下，由于客戶端已演變成顯示終端，客戶的私有數(shù)據(jù)放在“云”上，存儲(chǔ)在“云”上，數(shù)據(jù)的傳輸、交換都發(fā)生在云計(jì)算提供商的“云”里。因此，如何保證放在“云”內(nèi)但是卻屬于客戶的數(shù)據(jù)完整、機(jī)密就成為客戶最為關(guān)注的安全問題之一。

（2）數(shù)據(jù)的存放位置

必須保證所有的數(shù)據(jù)包括所有副本和備份存儲(chǔ)在合同、SLA中規(guī)定的地理位置。

相對(duì)固定的存放位置意味著隨時(shí)查看數(shù)據(jù)是否完整、可用、真實(shí)等是可行的，同時(shí)也意味著客戶私有數(shù)據(jù)是相對(duì)穩(wěn)定的。

（3）數(shù)據(jù)刪除持久性

數(shù)據(jù)必須徹底有效地去除才能被視為銷毀。這意味著云計(jì)算的提供商必須能提供一種可用的技術(shù)，保證全面且有效地定位云計(jì)算數(shù)據(jù)、擦除/銷毀數(shù)據(jù)，并保證數(shù)據(jù)已被完全消除或其無法恢復(fù)。

云計(jì)算中，提供商為了保證資源的利用效率，一定會(huì)發(fā)生將眾多客戶的私有數(shù)據(jù)共存在同一物理存儲(chǔ)實(shí)體的情況。一旦一個(gè)客戶的部分或全部數(shù)據(jù)提出刪除需求，該數(shù)據(jù)占用的存儲(chǔ)空間就會(huì)被釋放并分配給其他客戶使用。這時(shí)，如果存在數(shù)據(jù)刪除不徹底、可被恢復(fù)的可能，就會(huì)造成客戶數(shù)據(jù)泄漏、引發(fā)系列嚴(yán)重問題的后果。這種事情一旦發(fā)生，客戶對(duì)云計(jì)算提供商的能力認(rèn)識(shí)就會(huì)大打折扣。

（4）不同客戶數(shù)據(jù)混合狀態(tài)下如何保證數(shù)據(jù)間的有效隔離

數(shù)據(jù)尤其是保密/敏感數(shù)據(jù)不能在使用、存儲(chǔ)或傳輸過程中，在沒有任何補(bǔ)償控制的情況下與其他客戶的數(shù)據(jù)混合；“云”提供者應(yīng)能根據(jù)服務(wù)和數(shù)據(jù)的類型而使用不同的隔離技術(shù)，來實(shí)現(xiàn)客戶間以及客戶不同類型數(shù)據(jù)間的彼此隔離。此外，“云”中存儲(chǔ)的機(jī)密數(shù)據(jù)必須通過訪問控制組合和加密措施等進(jìn)行保護(hù)。

（5）數(shù)據(jù)備份和恢復(fù)重建

必須保證數(shù)據(jù)可用，云數(shù)據(jù)備份和云恢復(fù)計(jì)劃必須到位和有效，以防止數(shù)據(jù)丟失、意外的數(shù)據(jù)覆蓋和破壞；運(yùn)營(yíng)商應(yīng)能演示并證明其云計(jì)算具有全面有效的風(fēng)險(xiǎn)管理流程。

（6）數(shù)據(jù)發(fā)現(xiàn)

由于法律持續(xù)關(guān)注電子證據(jù)發(fā)現(xiàn)，因此云計(jì)算提供商會(huì)被要求在有需求時(shí)能發(fā)現(xiàn)特定的數(shù)據(jù)并確保法律和監(jiān)管當(dāng)局要求的所有數(shù)據(jù)可被找回。

3 云安全解決方案初探

從客戶的角度，對(duì)“云”自身的安全需求進(jìn)行了分析。對(duì)“云”提供商來說，這些安全需求必須滿足，并通過一系列解決措施一一映射到“云”中，這樣才能讓使用“云”的客戶既感覺方便，又用著安心，從而真正愿意使用“云”上的各項(xiàng)業(yè)務(wù)，保證云的健康穩(wěn)定發(fā)展。

為此，提出如下云計(jì)算安全解決方案：云計(jì)算提供商應(yīng)在“云”上同時(shí)做好傳統(tǒng)安全及由網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用虛擬化帶來的新增安全兩方面的工作。

所謂傳統(tǒng)安全，主要包括物理安全、環(huán)境安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全等。

物理、環(huán)境安全是指保護(hù)云計(jì)算平臺(tái)免遭地震、水災(zāi)、火災(zāi)等事故以及人為行為導(dǎo)致的破壞。主要措施包括物理位置的正確選擇、物理訪問控制（門禁、防尾隨等）、防盜竊、防雷、防火、防靜電、防塵、防電磁干擾等。

在網(wǎng)絡(luò)安全方面，主要是要做好如下幾方面的安全防護(hù)，包括網(wǎng)絡(luò)架構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等?？梢圆扇〉闹饕踩胧┖图夹g(shù)包括防火墻、IPS/IDS、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、防病毒、防病毒網(wǎng)關(guān)、強(qiáng)身份認(rèn)證等。

系統(tǒng)安全主要包括服務(wù)器、終端/工作站以及安全設(shè)備/系統(tǒng)在內(nèi)的所有計(jì)算機(jī)設(shè)備上的操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全。系統(tǒng)安全問題主要包括操作系統(tǒng)本身缺陷帶來的不安全因素（包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等）、操作系統(tǒng)及數(shù)據(jù)庫(kù)的安全配置問題、病毒對(duì)操作系統(tǒng)及數(shù)據(jù)庫(kù)的威脅等。要保證系統(tǒng)安全，云計(jì)算提供商應(yīng)該做好身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼控制、資源控制等，主要采取的措施和技術(shù)手段包括身份認(rèn)證、安全審計(jì)、入侵保護(hù)、防病毒系統(tǒng)等。

“云”中的應(yīng)用安全主要是Web應(yīng)用安全，它主要包括兩方面：一是Web應(yīng)用漏洞，即Web應(yīng)用層的各種漏洞，包括Web應(yīng)用主流的安全漏洞、網(wǎng)頁(yè)掛馬、惡意代碼利用的漏洞等；二是Web代碼漏洞，即Web應(yīng)用系統(tǒng)在開發(fā)階段遺留下來的代碼漏洞，包括SQL注入漏洞、跨站腳本漏洞、CGI漏洞和無效鏈接等。對(duì)于“云”中的Web應(yīng)用而言，其防護(hù)主要包括應(yīng)對(duì)網(wǎng)頁(yè)篡改、DDoS攻擊、導(dǎo)致系統(tǒng)可用性問題的其他類型黑客攻擊等各種措施。采取的措施和技術(shù)手段有訪問控制、配置加固、部署應(yīng)用層防火墻等。

在管理方面，應(yīng)該做好對(duì)“云”中安全信息和安全事件的集中管理，建立組織架構(gòu)，建成專業(yè)隊(duì)伍，并制定系列安全防護(hù)制度、規(guī)定以及流程（如安全規(guī)劃與建設(shè)流程、安全設(shè)備運(yùn)維流程、安全考核工作流程、安全事件處理流程等）。

對(duì)于由網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用虛擬化帶來的“云”新增安全，云計(jì)算提供商應(yīng)采取的措施如下。

第一，應(yīng)能在通過合同等方式保證無權(quán)訪問任何客戶數(shù)據(jù)作為基本原則的基礎(chǔ)上，進(jìn)一步做到引導(dǎo)客戶決定誰應(yīng)該獲得權(quán)限和特權(quán)訪問數(shù)據(jù)以及在何種條件下可以訪問數(shù)據(jù)，并建議客戶保持一個(gè)策略：默認(rèn)狀態(tài)下，所有組織中的雇員和云計(jì)算提供商沒有任何訪問權(quán)限。

第二，在系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)、管理、部署和人員等方面全面部署隔離手段。如在系統(tǒng)、網(wǎng)絡(luò)層，給出整個(gè)IT架構(gòu)和抽象層的信任邊界，確保給客戶提供云計(jì)算服務(wù)的云中各子系統(tǒng)只有在需要時(shí)才能跨越安全邊界，并配合適當(dāng)?shù)谋Ｕ洗胧?，以防止授?quán)；加固虛擬操作系統(tǒng)，在虛擬機(jī)內(nèi)部采用系列安全控制措施（如內(nèi)置管理程序），在虛擬機(jī)外部部署安全控制手段 （如對(duì)開放給用戶的管理接口的保護(hù)控制）；使用嵌入管理程序（API）的虛擬機(jī)定制安全機(jī)制對(duì)虛擬機(jī)背板上的流量進(jìn)行細(xì)粒度的監(jiān)測(cè)；根據(jù)使用類別、服務(wù)器、存儲(chǔ)等不同物理硬件上的數(shù)據(jù)敏感度生成不同的安全域；在隔離破壞時(shí)產(chǎn)生報(bào)警等。

第三，增強(qiáng)安全管理管理，特別是用戶、訪問認(rèn)證、安全審計(jì)等方面的管理，實(shí)現(xiàn)強(qiáng)勁和良好維護(hù)的安全信息和事件管理流程。

這樣，當(dāng)云計(jì)算提供商向客戶提供云環(huán)境時(shí)，才可以將客戶數(shù)據(jù)上“云”后面臨的安全挑戰(zhàn)降低，使客戶信任“云”，使用“云”。

4 結(jié)束語(yǔ)

隨著云計(jì)算部署和實(shí)施規(guī)模的日益擴(kuò)大，對(duì)云安全解決方案進(jìn)行深入研究，并建立完整的、行之有效的云安全防護(hù)體系是“云”發(fā)展的重要議題，這個(gè)議題的輸出成果將在最大程度上降低云計(jì)算系統(tǒng)的安全威脅，提高云服務(wù)的連續(xù)性，在保障云計(jì)算應(yīng)用的健康、可持續(xù)發(fā)展方面發(fā)揮重要作用。

1 CSA.Security guidance for critical areas of focus in cloud computing v2.1.http://www.cloudsecurityalliance.org/csaguide.pdf

2 CSA.Top threats to cloud computing v1.0. http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

3 Biggest cloud challenge:secuity.http://cloudsecurity.org/blog/2008/10/14/biggest-cloud-challenge-security.html