李瑋

（中國移動通信集團設計院有限公司，北京 100080）

云計算是繼計算機、互聯(lián)網(wǎng)出現(xiàn)之后的又一次信息領域革新。雖然在理論方面的研究還略顯單薄，但是其彈性供給、集約化和專業(yè)化的優(yōu)勢卻引起了廣泛關注和投資熱情。亞馬遜、谷歌、微軟等老牌互聯(lián)網(wǎng)或者軟件公司更開始以云計算服務提供商的新面貌示人。云計算及其相關應用連續(xù)5年平均22%的強勁增長，也給相關行業(yè)甚至整個社會帶來了巨大震動。在我國，無論是3家傳統(tǒng)的電信運營商、還是希望利用現(xiàn)有外圍需求拓寬業(yè)務領域的電子商務公司，都紛紛力爭搶占云計算服務的制高點，為新老客戶提供云計算、云存儲等基礎設施服務以及其它增值服務。

雖然各界都一致認為云計算有著巨大的增長空間，但在推廣中依然面臨著用戶認可度不高、運營經(jīng)驗不足、產(chǎn)業(yè)鏈不完善等諸多問題。除了相關法律和規(guī)范不健全、用戶的理念接受需要過程之外，商務流程的重新設計、原有程序的平滑遷移也是影響云計算推廣的原因。在諸多不利因素中，云計算的安全性問題一直排在首位。因此，有必要在研究云計算技術架構和面向社會服務模式的同時，也要從企業(yè)數(shù)據(jù)、社會信息安全的角度，深入研究和探討云計算時代所面臨安全威脅、安全風險和應對措施。

1 云計算安全概述

云計算應用中，其信息安全的基本屬性和安全需求不變，信息保障的安全觀也沒有變化，依然是要保護信息系統(tǒng)或信息網(wǎng)絡中的信息資源免受各種類型的威脅、干擾和破壞。但之所以把安全問題放在首位，主要是傳統(tǒng)互聯(lián)網(wǎng)時代的一些成熟安全解決方案已經(jīng)不再適用于云計算應用環(huán)境，主要表現(xiàn)在：

（1）雖然云計算以虛擬化技術為主，但是也綜合了并行計算、分布計算、網(wǎng)格計算等，整個體系架構異常復雜。加之各主流提供商在云計算的服務模型、部署方式、物理位置、計費管理上各不相同，在理論方面沒有突破的情況下，安全防護工作變得更加艱難；

（2）云計算中心部署的集中化和安全防護的專業(yè)化、集中化優(yōu)勢，被云計算的大規(guī)模、開放性以及技術不成熟等特點所削弱，在某些極端的情況下，甚至被逆轉為劣勢。

從現(xiàn)有的技術資料和已經(jīng)曝光的安全事件來看，互聯(lián)網(wǎng)時代中傳統(tǒng)的安全威脅在云計算服務中同樣存在，而且伴隨著云計算特有的巨大規(guī)模和前所未有的開放性與復雜性，還出現(xiàn)了一些新的安全挑戰(zhàn)；而從用戶自身角度而言，其安全風險不是減少而是增大了。例如2009年3月，Google Docs系統(tǒng)出現(xiàn)了錯誤，導致他人可以訪問用戶的私密文件。受該事件影響，美國電子隱私信息中心(EPIC)向聯(lián)邦貿(mào)易委員會強烈建議，由于Google對于安全威脅防范不足，因此在拿出切實可行的安全保護方案前須終止提供該項服務。2009年2月和7月，亞馬遜的“簡單存儲服務(簡稱S3)”兩次中斷導致依賴于網(wǎng)絡單一存儲服務的網(wǎng)站被迫癱瘓等。這些安全事件又進一步加劇了人們、尤其是重要企業(yè)客戶對云計算安全風險的看法。國際知名咨詢調研公司IDC給出的調研統(tǒng)計結果表明，云計算面臨的最大挑戰(zhàn)和用戶最關注的問題依然是安全問題，高達74.6%，遠遠高出對于性能和可用性等其它指標的關注。埃森哲公司對這一問題的調查也得出了同樣的結論：其中中國企業(yè)對云計算安全性的關注度為59% ，而其他國家也達到41%。

2 云計算應用中存在的安全問題

前面已經(jīng)提到，互聯(lián)網(wǎng)時代中傳統(tǒng)的安全威脅在云計算服務中同樣存在。2009年，云安全聯(lián)盟CSA（Cloud Security Alliance）發(fā)布《云計算關鍵領域安全指南》并更新到版本2.1。該指南主要從攻擊者角度總結出云計算環(huán)境可能面臨的12個關鍵安全域。之后CSA又發(fā)布了一份云計算安全風險簡明報告，將安全指南濃縮為7個最常見、危害程度最大的安全威脅。下面，按照從低到高、由內及外等層次一一列出：

（1）基礎設施共享問題:攻擊者獲取laaS供應商的非隔離共享基礎設施的不受控制訪問權；

（2）未知的風險:未知的安全漏洞、軟件版本、安全實踐、代碼更新等；

（3）不安全的接口和API:接口質量和安全沒有得到保障以及第三方插件的安全；

（4）賬戶或服務劫持:攻擊者獲得云服務用戶的憑據(jù)，導致云服務客戶端問題；

（5）數(shù)據(jù)丟失或泄漏:云中不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風險；

（6）不懷好意的內部人員:從組織內部發(fā)起攻擊，如果公司使用了云服務，威脅將會進一步放大；

（7）濫用和惡意使用云計算:利用云服務發(fā)送垃圾郵件或傳播惡意代碼等惡意活動。

較早時間，美國信息技術研究和咨詢公司Gartner也發(fā)布了《云計算安全風險評估》報告。該報告主要從云服務提供商的安全能力角度及其潛在情況或事件下受威脅程度提出云計算環(huán)境下的安全風險，主要包括：

（1）特權用戶接入:供應商的管理員處理敏感信息的風險；

（2）可審查性:供應商拒絕外部審計和安全認證的風險；

（3）數(shù)據(jù)位置:數(shù)據(jù)存儲位置未知的隱私風險；

（4）數(shù)據(jù)隔離:共享資源的多租戶數(shù)據(jù)隔離；

（5）數(shù)據(jù)恢復:供應商的數(shù)據(jù)備份和恢復能力；

（6）調查支持:供應商對不恰當或非法行為難以提供取證支持；

（7）長期生存性:服務穩(wěn)定性、持續(xù)性及其遷移。

如果僅從字面上簡單理解云計算的安全威脅和安全風險，上面列出的條目在互聯(lián)網(wǎng)時代的IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）就都已經(jīng)出現(xiàn)，并且傳統(tǒng)的安全模型和防御體系也有較為完善的理論指導和實踐方案，在物理層面、系統(tǒng)層面、網(wǎng)絡層面、甚至Web應用層面已經(jīng)有了比較成熟的安全產(chǎn)品。那么是否可以完全照搬這些互聯(lián)網(wǎng)安全解決方案而直接運用到云計算體系中嗎？答案是否定的。下面，我們從云計算安全模型和關鍵技術等方面進行說明。

3 云計算安全模型介紹

由于當前正處于從傳統(tǒng)互聯(lián)網(wǎng)或者IT應用環(huán)境向云計算應用發(fā)展的關鍵時期，統(tǒng)一規(guī)劃和整體考慮云計算安全離不開云計算安全模型的指導。所謂云計算安全模型，就是從安全管控的角度建立的云計算模型，用以描述不同屬性組合的云服務架構，并實現(xiàn)云服務架構到安全架構之間的映射，為風險識別、安全控制和技術實現(xiàn)提供依據(jù)。

信息安全領域已經(jīng)開始著手從不同角度建立云計算安全模型，雖然存在爭議，也缺乏大規(guī)模實踐的驗證，但在學術界和產(chǎn)業(yè)界的共同推動下，這些來自各方的云計算安全模型正在為云計算應用安全做著有益的探索。

3.1 CSA模型

當前，美國國家標準與技術研究所（NIST，National Institute of Standards and Technology）給出的3種服務模型已經(jīng)被廣泛接受并成為業(yè)內的事實規(guī)范。這3種服務模式包括：基礎設施即服務IaaS(Infrastructure as a Service)模式、平臺即服務PaaS（Platform as a Service）模式和軟件即服務SaaS（Software as a Service）模式。例如亞馬遜公司提供的以亞馬遜網(wǎng)絡服務（AWS）為框架的服務器、存儲、帶寬、數(shù)據(jù)庫，以及信息接口的資源服務模式，就是比較典型的IaaS模式；而微軟公司的Azure服務平臺提供一系列可供開發(fā)的操作系統(tǒng)，也看作是一種PaaS服務模式。

根據(jù)其所屬層次的不同，針對上述3類服務模式，CSA提出了基于基本云服務的層次性及其依賴關系的安全參考模型，如圖1所示。該模型主要反映了從云服務模型到安全控制模型的映射。該安全模型的突出特點是提供商所在的等級越低，云計算用戶所要自行承擔的安全能力和管理職責就越多。進而言之，CSA模型是可以允許用戶有條件獲取所需安全配置信息以及運行狀態(tài)信息的，也允許用戶部署實施自有專用安全管理軟件來保證自己數(shù)據(jù)的安全。

3.2 企業(yè)界模型

在國內，一些大型的IT設備制造企業(yè)也不約而同推出云計算整體解決方案以及相關云計算安全服務模型。與CSA模型不同的是，這些云計算安全模型更加偏重于具體的產(chǎn)品解決方案，而沒有上升到理論層面。雖然在具體工程中已經(jīng)有實踐應用，但是基本上還是采用傳統(tǒng)網(wǎng)絡安全技術作為主要的防御力量，在針對云計算應用的響應速度、系統(tǒng)規(guī)模等方面的安全要求依舊沒有本質上的突破。圖1描述了一個簡約的、面向工程的云計算安全模型。

3.3 其它模型

我國的一些科研機構也發(fā)布了相關的云計算的安全模型。在中科院軟件提出的模型中，整個云計算安全技術模型被分為3個部分：云計算用戶端安全對象、云計算安全服務體系和云安全標準體系。另外，還有Jericho Forum提出的安全協(xié)同模型。它從數(shù)據(jù)的物理位置、云計算技術和服務的所有關系狀態(tài)、應用資源和服務時的邊界狀態(tài)、云服務的運行和管理者4個影響安全協(xié)同的維度上分類16種可能的云計算形態(tài)。

圖1 CSA云計算安全模型

當然，還有很多云計算安全模型都在探索和驗證當中，但是這些模型都把技術關注點更多地放在用戶數(shù)據(jù)安全與隱私保護；各層次資源的提供者、管理者、使用者的安全防護措施的統(tǒng)一；云計算安全監(jiān)管體系的建立等方面，這也從另外角度說明了采用傳統(tǒng)專一嚴格為原則搭建的安全模型已經(jīng)不合時宜了。

圖2 國內IT企業(yè)云計算安全模型

4 云計算中的關鍵安全技術

由于在云計算應用場景中，傳統(tǒng)的安全威脅，如網(wǎng)絡病毒、漏洞入侵、內部泄漏、網(wǎng)絡攻擊等依舊存在，因此這些安全威脅仍需要使用防病毒軟件、入侵檢測、4A、抗DDoS等技術或者安全設備去實現(xiàn)對云的保護。而與此同時，云計算的逐步應用正直接或者間接影響信息安全領域的進程，一些新興的安全技術也在慢慢興起。下面，我們簡單列舉一些云計算安全中使用到的一些關鍵技術。

4.1 主機虛擬化安全

從現(xiàn)在產(chǎn)業(yè)趨勢來看，由于IaaS服務模式技術相對成熟，因此從IaaS入手整合計算、存儲、網(wǎng)絡資源，再逐步發(fā)展PaaS、SaaS等其它各種云服務能力已經(jīng)是云計算服務建設的主流思路。而基于虛擬化技術的彈性計算，正是IaaS的基礎，因此主機虛擬化安全是IaaS建設方案中需要重點考慮的問題。

在主機虛擬化中，Hypervisor和虛擬機這兩個最主要的部分的安全性是最為重要的。

虛擬機管理器Hypervisor是用來運行虛擬機的內核，代替?zhèn)鹘y(tǒng)操作系統(tǒng)管理著底層物理硬件，是服務器虛擬化的核心環(huán)節(jié)，其安全性直接關系到上層的虛擬機安全。如果虛擬機管理器的安全機制不健全，被某個惡意虛擬機其漏洞或者某個協(xié)議端口獲取了高級別的運行等級，就可以比操作系統(tǒng)更高的硬件調配權限，從而給其他客戶帶來極大的安全隱患。

在IaaS中，一臺物理機器往往被劃分為多臺虛擬機器進行使用。由于同一物理服務器的虛擬機之間可以相互訪問，而不需要經(jīng)過之外的防火墻與交換機等設備，因此虛擬機之間的攻擊變得更加容易。如何保證同一物理機上不同虛擬機之間的資源隔離，包括CPU調度、內存虛擬化、VLAN、I/O設備虛擬化之間，是當前IaaS服務模式下首要解決的安全技術問題。

4.2 海量用戶的身份認證

在互聯(lián)網(wǎng)時代的大型數(shù)據(jù)業(yè)務系統(tǒng)中，大量用戶的身份認證和接入管理往往采用強制認證方式，例如指紋認證、USB Key認證、動態(tài)密碼認證等。但是在這種身份認證和管理主要是基于系統(tǒng)自身對于用戶身份的不信任作為主要思想而設計的。在云計算時代，因為用戶更加關心的云計算提供商是否按照SLA實施雙方約定好的訪問控制策略，所以在云計算模式下，研究者開始關注如何通過身份認證來保證用戶自身資源或者信息數(shù)據(jù)等不會被提供商或者他人濫用。當前比較可行的解決方案就是引入第三方CA中心，由后者提供為雙方所接受的私鑰。

4.3 隱私保護與數(shù)據(jù)安全

用戶隱私保護和數(shù)據(jù)安全主要包括各類信息的物理隔離或者虛擬化環(huán)境下的隔離；基于身份的物理或者虛擬安全邊界訪問控制；數(shù)據(jù)的異地容災與備份以及數(shù)據(jù)恢復；數(shù)據(jù)的加密傳輸和加密存貯；剩余信息保護等。在云計算應用中，數(shù)據(jù)量規(guī)模之巨已經(jīng)遠遠超出傳統(tǒng)大型IDC數(shù)據(jù)規(guī)模，同時不同用戶對于隱私和數(shù)據(jù)安全的敏感度也各不相同。這里，我們主要講一下用戶最常面臨和關心的加密傳輸和加密存儲。

在云計算應用環(huán)境下，數(shù)據(jù)傳輸加密可以選擇在鏈路層、網(wǎng)絡層、傳輸層、甚至應用層等層面實現(xiàn)。主要的技術措施包括IPSec VPN、SSL等VPN技術，保證用戶數(shù)據(jù)在網(wǎng)絡傳輸中機密性、完整性和可用性。對于云存儲類服務，一般的提供商都支持對數(shù)據(jù)進行加密存儲，防止數(shù)據(jù)被他人非法窺探。一般會采用效能較高的對稱加密算法，如AES、3DES等國際通用算法，或我國國有商密算法SCB2等。

在云計算中，如網(wǎng)盤等虛擬存儲的應用也是非常常見的。在這種情況下，如果只是對退租用戶VM磁盤中文件做簡單的刪除，而下一次將磁盤空間（邏輯卷）重新分配給其他租戶時，就可能會被惡意租戶使用數(shù)據(jù)恢復軟件讀出磁盤數(shù)據(jù)，而導致先前租戶的數(shù)據(jù)泄漏。因此在進行存儲資源回收時，需要使用軟件技術對邏輯卷的每一個物理Bit位進行清“零”覆寫，保證磁盤空間重新分配給其他租戶時不能通過軟件方式恢復其原有數(shù)據(jù)。

4.4 其它一些安全技術措施

當然，在云計算應用環(huán)境中，還有其它一些安全技術。例如PaaS服務商提供的開發(fā)平臺以API方式提供各種編程環(huán)境，就可能由于API接口質量和安全沒有得到保障而帶來平臺的平臺可靠性、平臺可用性、平臺完整性等一系列安全問題。目前的技術解決方案有平臺升級和Parley—X保護等。再例如SaaS服務模式主要面臨安全問題就是軟件漏洞，因此主要的解決技術仍然是軟件補丁、版本升級等。

科研人員也在不斷研究以用戶為中心的、而非以云計算提供商為中心的信任模型。一些安全公司也在研發(fā)基于客戶端的隱私或者用戶數(shù)據(jù)管理工具，幫助用戶控制自己的敏感信息在云端的存儲和使用。

5 未來與展望

云計算環(huán)境的復雜性和高度動態(tài)變化性使得云計算安全管理更為復雜。當前，大多數(shù)業(yè)內專家都贊同傳統(tǒng)的信息安全管理標準如ITIL、ISO/IEC 20000、ISO/IEC 27001/27002等仍可以輔助云計算安全管理和云安全控制框架的建立。當然，如何建立以安全目標驗證、安全服務等級測評為中心的云計算安全服務標準及其測評體系；如何建立可控的云計算安全監(jiān)管體系也是需要進一步深入研究的。

現(xiàn)有云計算解決方案呈現(xiàn)封閉化、私有化、定制化的特征，但隨著云計算技術無序和爆炸式地發(fā)展，云計算安全領域還將面臨更多問題。從現(xiàn)有的技術水平分析，既然無法依靠傳統(tǒng)立體防御、深度防御的中心思想解決云計算時代的信息安全保障問題，那么依靠云計算自身所特有的規(guī)?；討B(tài)化、彈性化、快速部署計算來解決可能才是最終的解決方案。換句話說，把傳統(tǒng)“頂盔摜甲”、借助外部力量進行防御向“強身健體”、挖掘自身潛力進行防御的思想轉換是解決云計算安全問題的一條可行之路。

[1]馮登國，張敏，張妍，徐震.云計算安全研究[J].軟件學報,2011,22(1).

[2]陳龍，肖敏.云計算安全：挑戰(zhàn)與策略[J].數(shù)字通信，2010,(6).

[3]CSA．Security guidance for critical areas of focus in cloud computing V2．1[EB／OL]．[2010-05—10]．http://www．Cloud security alliance.org／guidance.