陳平++雙鍇++皇甫大鵬

摘 要：教育領(lǐng)域云計算平臺是教育行業(yè)對云計算技術(shù)的應(yīng)用，為教育行業(yè)提供IT，存儲，應(yīng)用等服務(wù)，在行業(yè)內(nèi)部日常工作中占據(jù)重要地位。隨著教育云的廣泛應(yīng)用，其安全性的問題也越來越突出。安全風(fēng)險分析是教育云安全研究的重要的環(huán)節(jié)。通過對云平臺各部分進(jìn)行全面的風(fēng)險分析和挖掘，可以對教育云安全體系的設(shè)計提供重要的數(shù)據(jù)支撐和安全策略。本文通過構(gòu)建STRIDE安全威脅模型，對系統(tǒng)可能受到的風(fēng)險通過分類、識別、量化等過程對系統(tǒng)威脅風(fēng)險進(jìn)行評價。本文基于風(fēng)險分析結(jié)果，結(jié)合云計算安全技術(shù)的發(fā)展趨勢，提出了教育云系統(tǒng)安全防護(hù)架構(gòu)，為教育云計算安全問題提供數(shù)據(jù)支撐和安全策略的參考。

關(guān)鍵詞：STRIDE威脅模型；教育云計算；云安全

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-8454（2017）05-0015-05

一、引言

云計算主要是通過網(wǎng)絡(luò)將IT服務(wù)、平臺服務(wù)及應(yīng)用服務(wù)交付給用戶。一般云計算平臺包含三個層次：基礎(chǔ)實(shí)施即服務(wù)（IaaS），平臺即服務(wù)（PaaS），應(yīng)用即服務(wù)（SaaS）。[1]基礎(chǔ)設(shè)施即服務(wù)主要通過虛擬化技術(shù)將包括服務(wù)器，存儲設(shè)備，網(wǎng)絡(luò)設(shè)備等物理資源抽象成虛擬主機(jī)和虛擬設(shè)備，并對外提供服務(wù)接口。平臺即服務(wù)包括了操作系統(tǒng)，開發(fā)平臺，數(shù)據(jù)庫及可供應(yīng)用開發(fā)的實(shí)驗(yàn)環(huán)境。應(yīng)用即服務(wù)主要包括一系列應(yīng)用軟件及交互平臺，通過網(wǎng)絡(luò)的方式面相用戶。

云計算平臺是特殊的信息系統(tǒng)，相比傳統(tǒng)信息系統(tǒng)有著相同的安全需求，面臨著相同的安全風(fēng)險。信息安全領(lǐng)域的發(fā)展已經(jīng)多次證明，信息技術(shù)的重大變革將直接影響安全領(lǐng)域的發(fā)展進(jìn)程。[2]隨著云計算技術(shù)的發(fā)展，云計算平臺不斷引入新的技術(shù)，如軟件定義網(wǎng)絡(luò)（SDN），網(wǎng)絡(luò)功能虛擬化（NFV）等新技術(shù)，這必將推動云計算技術(shù)更加普及和完善。同時隨著新技術(shù)的引入，云計算也會面臨著不同于傳統(tǒng)信息系統(tǒng)新的安全風(fēng)險和挑戰(zhàn)。根據(jù)云安全聯(lián)盟發(fā)布的統(tǒng)計數(shù)據(jù)，云計算面臨的幾大安全威脅分別是數(shù)據(jù)破壞、數(shù)據(jù)丟失、資源共享風(fēng)險[3]、賬戶或業(yè)務(wù)流量被劫持、不安全的接口和API，拒絕服務(wù)、惡意的內(nèi)部人員、云服務(wù)的濫用等。

教育云平臺是對典型云計算平臺的繼承和發(fā)展。出于大規(guī)模教育管理和教育教學(xué)的要求，教育云具有規(guī)模大、并發(fā)性高、可靠性高等特點(diǎn)。同時由于各級各類教育機(jī)構(gòu)龐大，分布廣[4]，這也使得教育云系統(tǒng)的種類和結(jié)構(gòu)復(fù)雜[5]。教育行業(yè)同時又是作為國家重要的基礎(chǔ)，信息系統(tǒng)的安全問題的重要性不言而喻，教育云平臺面臨的挑戰(zhàn)也日益嚴(yán)峻。

二、教育云平臺結(jié)構(gòu)分析和數(shù)據(jù)流分析

本章將對教育云平臺的體系結(jié)構(gòu)進(jìn)行介紹和分析，并歸納云平臺主要過程的數(shù)據(jù)流。

1.教育云平臺的體系結(jié)構(gòu)（如圖1所示）

一般在教育領(lǐng)域，云平臺云端由云基礎(chǔ)設(shè)施、云平臺組件組成。云基礎(chǔ)設(shè)施包括基礎(chǔ)硬件、虛擬化平臺、云操作系統(tǒng)和負(fù)載均衡控制，主要提供計算、存儲和網(wǎng)絡(luò)通信能力以及對各種資源的封裝和抽象，同時提供數(shù)據(jù)中心間的負(fù)載均衡，提高業(yè)務(wù)系統(tǒng)災(zāi)備能力。云平臺組件提供計算服務(wù)，存儲服務(wù)，鏡像服務(wù)，和認(rèn)證服務(wù)。其中計算服務(wù)是整個平臺組件的計算控制器，用于完成云實(shí)例生命周期的各種動作。存儲服務(wù)提供一種分布式對象存儲，同時具備歸檔能力，可處理大數(shù)據(jù)集。鏡像服務(wù)主要提供虛擬機(jī)鏡像注冊，檢索，存儲系統(tǒng)。認(rèn)證服務(wù)是對云平臺用戶進(jìn)行驗(yàn)證鑒權(quán)等操作。

2.教育云平臺的數(shù)據(jù)流分析

由于云計算平臺是相對很復(fù)雜的信息系統(tǒng)，為了方便之后的威脅分析，我們著重分析幾個主要的數(shù)據(jù)流。

（1）認(rèn)證

認(rèn)證是用戶訪問云平臺必須經(jīng)歷的過程，用戶通過命令行或UI界面等客戶端API登錄云平臺，會經(jīng)過賬戶口令驗(yàn)證。登錄云平臺后在操作云平臺組件或設(shè)備之前還要經(jīng)過身份認(rèn)證，鑒權(quán)等過程。

（2）存儲服務(wù)

存儲服務(wù)是提供給用戶將文件對象存儲在云端的一種存儲容器。存儲服務(wù)過程包括一部分認(rèn)證的過程，經(jīng)過認(rèn)證后用戶會對計算中心發(fā)送存儲服務(wù)的請求，計算中心會發(fā)送請求消息給存儲節(jié)點(diǎn)，最后返回用戶請求的信息。這一部分?jǐn)?shù)據(jù)流涉及到云端外和云端內(nèi)的數(shù)據(jù)交互，收到安全的威脅更大。另外，用戶信息安全也是云計算安全的重要研究問題。存儲服務(wù)過程如圖3所示。

（3）鏡像服務(wù)

鏡像安全涉及到系統(tǒng)安全，虛擬機(jī)鏡像容易遭到惡意攻擊者的篡改或非法獲取。鏡像過程包括用戶鑒權(quán)，之后通過計算中心獲取相應(yīng)的鏡像文件。

（4）創(chuàng)建虛擬機(jī)實(shí)例

啟動一個實(shí)例時操作云平臺過程中最常發(fā)生的動作。雖然它包含之前的一些過程，不是原子操作，但在很多應(yīng)用中都是頻繁出現(xiàn)。首先是用戶身份驗(yàn)證，鑒權(quán)。經(jīng)過驗(yàn)證后，用戶就可以與計算節(jié)點(diǎn)API和數(shù)據(jù)庫建立通信，通過計算節(jié)點(diǎn)API請求創(chuàng)建虛擬資源消息，請求消息進(jìn)入消息隊(duì)列，之后消息進(jìn)入鑒權(quán)，查找相應(yīng)服務(wù)，檢查合法性并請求鏡像。之后查找相應(yīng)鏡像的位置信息，到存儲節(jié)點(diǎn)查找鏡像文件。訪問存儲容器之前同樣要經(jīng)過鑒權(quán)。獲取鏡像文件后，就可以返回給計算節(jié)點(diǎn)，計算節(jié)點(diǎn)分配用戶要求的虛擬資源，并加載鏡像。至此，啟動實(shí)例的過程基本結(jié)束。這一過程數(shù)據(jù)從云端外流入，經(jīng)過云端內(nèi)大部分組件，同樣受到大量的安全威脅。

（5）虛擬機(jī)之間的數(shù)據(jù)流

一般情況底層虛擬機(jī)之間的數(shù)據(jù)流是不可見的，但虛擬機(jī)安全同樣是云平臺安全的重要部分，這里加以討論。

這種情況主要涉及虛擬機(jī)對其他虛擬機(jī)的監(jiān)控問題。虛擬機(jī)可通過交換機(jī)或虛擬網(wǎng)絡(luò)訪問其他物理機(jī)上的虛擬機(jī)。入侵者攻破虛擬機(jī)后能夠使用一些攻擊技術(shù)來嗅探其它虛擬機(jī)，從而向其發(fā)送和接受數(shù)據(jù)包，進(jìn)而監(jiān)控甚至控制其它虛擬機(jī)。

一般情況下，一個虛擬機(jī)不能直接訪問同一物理機(jī)上的其它虛擬機(jī)。同一物理機(jī)上的虛擬機(jī)互訪安全問題主要是通過hypervisor。通過hypervisor漏洞訪問其它虛擬機(jī)。同時還需防止非法登陸hypervisor后進(jìn)入虛擬機(jī)。因此要考慮hypervisor和物理機(jī)的配置管理，操作和物理安全。同時還要考慮虛擬機(jī)后門，虛擬機(jī)和宿主機(jī)的因通道能夠讓入侵者執(zhí)行潛在的危險操作。另一種情況，在虛擬機(jī)從一個物理機(jī)遷移至另一個物理機(jī)后，殘留數(shù)據(jù)的安全問題，存儲磁盤回收和再分配，數(shù)據(jù)擦洗等。