肖衡 龍草芳 周雪

摘 要:隨著云計(jì)算這種全新計(jì)算方式的迅猛發(fā)展,大量關(guān)于云計(jì)算的軟件和方案都被熱議,但來自安全領(lǐng)域方面的威脅和技術(shù)的不成熟,使得云計(jì)算處處存在各種風(fēng)險(xiǎn),其架構(gòu)也有著不可避免的脆弱性,這讓許多企業(yè)不敢舉步。要解決云計(jì)算中的各種安全問題,使云計(jì)算能經(jīng)受住時(shí)間和空間的考驗(yàn),云安全的研究與完善成為發(fā)展云計(jì)算的首要問題。本文主要從云計(jì)算發(fā)展帶來的安全問題入手,分析三個(gè)層次所遇到的安全問題,指出當(dāng)前云安全現(xiàn)狀及一些應(yīng)用技術(shù),并對未來云安全的發(fā)展進(jìn)行了展望。

關(guān)鍵詞:云計(jì)算云字全數(shù)據(jù)加密數(shù)據(jù)安全

中圖分類號:TP313 文獻(xiàn)標(biāo)識碼:A 文章編號1672-3791(2012)06(b)-0022-02

在云計(jì)算提出的初期,引發(fā)了世界范圍的熱烈爭議,但是這個(gè)最新技術(shù)趨勢的代名詞,還是憑著它的優(yōu)勢逐漸滲入到人們的工作生活及科研等各方面中?！霸啤笔翘峁┵Y源的網(wǎng)絡(luò),云計(jì)算,是一種基于互聯(lián)網(wǎng)的高效、經(jīng)濟(jì)的信息和應(yīng)用服務(wù),其目標(biāo)是將通過高效的管理資源,以網(wǎng)絡(luò)為界,為用戶提供各種資源和服務(wù)。被認(rèn)為是繼個(gè)人計(jì)算機(jī)、互聯(lián)網(wǎng)之后的第三次IT風(fēng)云。

1 云計(jì)算的發(fā)展

云計(jì)算的到來,宣告了以設(shè)備為中心計(jì)算時(shí)代的終結(jié),取而代之的是以應(yīng)用互聯(lián)為中心的計(jì)算模式。同時(shí)將改變現(xiàn)有的工作方式和商業(yè)信息服務(wù)模式。這對各企業(yè)來說,意味著巨大的商機(jī),各大企業(yè)紛紛高調(diào)宣布“入云”、“建云”行動(dòng)。2006年,亞馬遜提出了簡單存儲(chǔ)服務(wù)和彈性計(jì)算云,標(biāo)志著云計(jì)算服務(wù)開始走向成熟。2008年IBM推出“藍(lán)云計(jì)劃”,并提出了“共有云”、“私有云”的概念,次年又發(fā)布了基于云端的協(xié)作平臺,2011在基于Power7指揮系統(tǒng)上Waston Box、Cloud Box、Mason Box三個(gè)寶盒構(gòu)建云基礎(chǔ)架構(gòu)。德國2010建立了目前歐洲最大的云計(jì)算中心。我國也緊跟國際云計(jì)算發(fā)展的步伐,現(xiàn)已啟動(dòng)“商用云計(jì)算中心”、“中國云谷”、“祥云工程程”等。

2 云計(jì)算的安全問題

云計(jì)算引發(fā)熱議的焦點(diǎn)在于它的安全問題。云計(jì)算是一種共享基礎(chǔ)架構(gòu)、將大量計(jì)算機(jī)鏈接成資源池,將計(jì)算任務(wù)分布其上,使各種應(yīng)用系統(tǒng)能按需獲取計(jì)算能力。作為資源池的“云”就必須具備自行維護(hù)和管理能力,并能為用戶提供各種IT服務(wù),通常由云服務(wù)提供商提供。

云服務(wù)提供商提供的服務(wù)類型分三個(gè)層次:SaaS(軟件即服務(wù)),PaaS(平臺即服務(wù)),IaaS(基礎(chǔ)設(shè)施即服務(wù))。這三層都存在著各自不同的安全問題。

最高層SaaS服務(wù)模式是一類基于WEB客戶端的服務(wù),許多安全問題都是不可知不可控,完全依賴于提供商。SaaS面臨的主要是服務(wù)器端、客戶端以及數(shù)據(jù)傳輸這三大安全問題。物理安全上,云計(jì)算通過虛擬技術(shù),將資源高度集中化,允許單個(gè)服務(wù)器承載很多虛擬機(jī)器以及多個(gè)客戶的數(shù)據(jù)。一旦服務(wù)器崩潰,災(zāi)難將是不可想象的,故硬件的安全是最基本的需要。數(shù)據(jù)存儲(chǔ)方面,采用什么樣的存儲(chǔ)保護(hù)模型、備份復(fù)制策略。當(dāng)服務(wù)器遭到攻擊,數(shù)據(jù)如何恢復(fù),是否存在業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障策略,成為最為關(guān)注的問題。在傳輸方面,網(wǎng)絡(luò)是黑客攻擊和病毒破壞最強(qiáng)的環(huán)節(jié),如何對數(shù)據(jù)進(jìn)行加密,保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全問題,成為一大難題。

中間層PaaS針對的是開發(fā)者,是由服務(wù)商為用戶提供云計(jì)算基礎(chǔ)架構(gòu),如防火墻、服務(wù)器、操作系統(tǒng)。PaaS中的安全威脅來自于系統(tǒng)本身和系統(tǒng)管理,主要表現(xiàn)在應(yīng)用配置、保密插口層協(xié)議SSL、數(shù)據(jù)不安全許可三方面。在云基礎(chǔ)架構(gòu)中的默認(rèn)配置下,安全運(yùn)行應(yīng)用的概率為0,且不同的操作系統(tǒng)中,需進(jìn)行不同的配置,如Ｗindows,需要具備確保IIS、SQL和.net安全的能力。Linux、ApacheMySQL、PHP環(huán)境使用通用配置LAMP。SSL是大多數(shù)云安全應(yīng)用的基礎(chǔ),這也使之成為當(dāng)前黑客研究攻擊的重點(diǎn)目標(biāo),必須采用可行的方法來緩解SSL攻擊。云中的數(shù)據(jù)可能遭遇非訪問,如何確保用戶的真實(shí)可靠及訪問決策是否授權(quán)成為解決重點(diǎn)。

IaaS利用服務(wù)器和自動(dòng)化,由服務(wù)商為用戶提供計(jì)算、存儲(chǔ)和帶寬資源。用戶可以自由構(gòu)建計(jì)算環(huán)境,自行管理計(jì)算系統(tǒng)層次架構(gòu)(除最底層硬件),自己處理在云計(jì)算服務(wù)中遇到的安全問題。常遇風(fēng)險(xiǎn)有:數(shù)據(jù)泄露,遠(yuǎn)程認(rèn)證,服務(wù)中斷,端到端的加密。

云計(jì)算越來越普及,其安全性也越來越受重視,只有謹(jǐn)慎對待每一個(gè)安全問題,才能讓云計(jì)算走得更遠(yuǎn)。

3 云安全的應(yīng)用及現(xiàn)狀

阻礙云計(jì)算進(jìn)一步發(fā)展的最大障礙是“云安全”,云安全的實(shí)現(xiàn)措施可從服務(wù)端和客戶端兩個(gè)方面來說。服務(wù)端的安全主要由服務(wù)提供商來實(shí)現(xiàn),目前確保云中信息安全的方法主要有建可信云,數(shù)據(jù)加密,安全認(rèn)證,法律和協(xié)議。

構(gòu)建可信賴的云計(jì)算平臺,保證云平臺的開放性、可擴(kuò)展性,支持無縫升級,使服務(wù)內(nèi)容能夠不斷擴(kuò)展延伸。如Google SaaS提供的云服務(wù)就具備比較專業(yè)規(guī)范的安全保障。

數(shù)據(jù)加密:“保障數(shù)據(jù)安全,是實(shí)現(xiàn)云計(jì)算環(huán)境的根本”,數(shù)據(jù)的安全性和數(shù)據(jù)控制權(quán)是企業(yè)最關(guān)心的問題,使用強(qiáng)加密和密鑰管理是云計(jì)算系統(tǒng)保護(hù)數(shù)據(jù)的一種核心機(jī)制。目前云中的機(jī)密數(shù)據(jù)必須通過訪問控制組、合同責(zé)任和加密措施等進(jìn)行保護(hù)。加密數(shù)據(jù)包括加密網(wǎng)絡(luò)傳輸中的數(shù)據(jù)、靜止數(shù)據(jù)、備份數(shù)據(jù)以及動(dòng)態(tài)數(shù)據(jù)。密鑰管理可細(xì)分為保護(hù)密鑰存儲(chǔ)、訪問密鑰存儲(chǔ)、密鑰備份與恢復(fù)。當(dāng)前有許多標(biāo)準(zhǔn)和指導(dǎo)方針對云中的密鑰管理適用,如OASIS密鑰管理協(xié)同協(xié)議(KMP),IEEE1619.3標(biāo)準(zhǔn)。

安全認(rèn)證:身份證和訪問管理(IAM)是云計(jì)算中主要的挑戰(zhàn)之一。通過在企業(yè)應(yīng)用程序中加入單點(diǎn)登錄SSO認(rèn)證功能,采用強(qiáng)制用戶認(rèn)證,代理、協(xié)同認(rèn)證,資源認(rèn)證,不同安全域之間的認(rèn)證或者不同認(rèn)證方式相結(jié)合的方式。

客戶端的安全主要體現(xiàn)在網(wǎng)絡(luò)安全和用戶操作方面。云計(jì)算客戶端的網(wǎng)絡(luò)安全最直觀的體現(xiàn)是是WEB應(yīng)用。WEB瀏覽器因開放性和自身漏洞的原因,遭遇攻擊的頻率居高不下,成為計(jì)算中非常脆弱的環(huán)節(jié)。要保護(hù)客戶的證書和認(rèn)證密碼遭遇木馬盜竊,就必然要為其提供量身定做的深層次的防御技術(shù)。如趨勢科技推出主動(dòng)式服務(wù)TMHD,目前正培育的WEB應(yīng)用防火墻。

作為云用戶,操作應(yīng)用云服務(wù)時(shí),應(yīng)支持云安全技術(shù)的安全產(chǎn)品,這樣才能在端點(diǎn)安全、基礎(chǔ)設(shè)施防御、服務(wù)器和桌面取證與防御等方面,確保實(shí)時(shí)、可靠的安全簽名升級與技術(shù)支持服務(wù)。如保護(hù)云API密鑰的安全,要求提供商提供多把密鑰,分開存儲(chǔ)數(shù)據(jù),備份數(shù)據(jù)。增強(qiáng)端點(diǎn)可靠性,端點(diǎn)設(shè)備上盡量少放數(shù)據(jù),防止數(shù)據(jù)丟失或不能訪問,并確保備份數(shù)據(jù)在存儲(chǔ)和轉(zhuǎn)移時(shí)受到嚴(yán)密保護(hù)。

4 云安全展望

“混合云”將推動(dòng)云計(jì)算的進(jìn)一步發(fā)展。如今云計(jì)算已逐漸推廣,眾多企業(yè)數(shù)據(jù)中心將應(yīng)用虛擬化和自動(dòng)化,私有云和公共云的過渡與兼容成為一種趨勢。創(chuàng)建可信的可靠的“混合云”,提高安全性,追求高效率,力求獲得1+1〉2的放大效應(yīng)。未來私有云將成為公共云服務(wù)的基石,加強(qiáng)IT數(shù)據(jù)中心和混合環(huán)境的控制,會(huì)成為“混合云”占領(lǐng)市場主導(dǎo)地位的動(dòng)力。

推出深入的云安全防御。黑客對公共云基礎(chǔ)設(shè)施和公共云防御措施的理解熟悉必將為其攻擊公共云提供技術(shù)支持,能有效防止被云驅(qū)逐?？v深云安全防御措施推出將是勢在必行的,將通向公共云的眾多大門注入新的防御措施以便能及時(shí)發(fā)現(xiàn)所有可能發(fā)生的安全事件。

關(guān)注云中數(shù)據(jù)安全性。云計(jì)算以迅猛之勢爆發(fā),必然引發(fā)云部署模型從單一走向綜合的優(yōu)化,各種公共云服務(wù)綜合,又必然引發(fā)云中龐大數(shù)據(jù)管理與分析的技術(shù)更新,保護(hù)企業(yè)復(fù)合數(shù)據(jù)源的安全性和完整性仍是一大挑戰(zhàn)。同時(shí)注重隱私的精妙程序設(shè)置和云安全法則的制定出臺是云服務(wù)迫切期盼的

云中應(yīng)用程序的開發(fā)。隨著Cloud Foundry被提名為最佳開發(fā)臺,標(biāo)志著在云中開發(fā)應(yīng)用軟件成為一種新趨勢。對軟件產(chǎn)業(yè)來說,云計(jì)算真正為研發(fā)業(yè)務(wù)和研發(fā)管理提供了統(tǒng)一的、面向服務(wù)的、動(dòng)態(tài)規(guī)劃的平臺,并從根本上消除了開發(fā)的很多局限。

5 結(jié)語

“如果安全性無法滿足,那么邁入云端就沒有任何意義”。正確認(rèn)識云安全,做好部署過渡到云計(jì)算環(huán)境的準(zhǔn)備,決定什么業(yè)務(wù)加入云端,提高效率和安全性。而今,一些信息安全行業(yè)正積極向云計(jì)算進(jìn)軍,云安全的市場在金融和互聯(lián)網(wǎng)等領(lǐng)域已打開缺口。相信,當(dāng)大規(guī)模的云化網(wǎng)絡(luò)實(shí)現(xiàn)后,云計(jì)算將成為信息服務(wù)業(yè)發(fā)展最重要的方向,為IT服務(wù)產(chǎn)業(yè)開拓全新的商業(yè)模式和建設(shè)思路。

參考文獻(xiàn)

[1] 牛繼賓．云安全發(fā)展現(xiàn)狀以及解決方案概述[Z]．10-20.

[2] PhilCox．主流云計(jì)算服務(wù)模式安全攻略[Z]．

[3] Ammon．云計(jì)算簡介[Z]．

[4] 吳珍．漫步云端——探秘云安全[J]．信息安全與通信保密,2008(11).