云計算應用安全研究

汪來富，沈 軍，金華敏

（中國電信股份有限公司廣東研究院 廣州 510630）

1 引言

云計算的出現是傳統IT領域和通信領域技術進步、需求推動和商業模式變化共同促進的結果，具有以網絡為中心、以服務為提供方式、高擴展性和高可靠性以及資源使用透明化等重要特征。業界認為云計算是繼PC、互聯網之后信息產業的第三次變革，將對社會信息化發展產生深遠影響。

隨著云計算技術及理念的深入應用，云安全越來越成為安全業界關注的重點，一方面云計算應用的無邊界性、流動性等特點引發了很多新的安全問題；另一方面云計算技術及理念也對傳統安全技術及應用產生了深遠的影響。從完整意義上來說，云安全包括2種含義，一種是云計算應用自身的安全；另一種是云計算技術在安全領域的具體應用。前者是云計算各類應用健康、可持續發展的基礎，后者則是當前安全領域最為關注的技術熱點。為便于區分，本文將前者定義為云計算應用安全，將后者定義為安全云。

本文將重點闡述云計算應用安全，安全云在本文則不作探討。

2 云計算應用安全威脅分析

根據IDC在2009年年底發布的一項調查報告顯示，云計算服務面臨的前三大市場挑戰分別為服務安全性、穩定性和性能表現。該三大挑戰排名同IDC于2008年進行的云計算服務調查結論完全一致。2009年11月，Forrester Research公司的調查結果顯示，有51%的中小型企業認為安全性和隱私問題是他們尚未使用云服務的最主要原因。由此可見，安全性是客戶選擇云計算應用時的首要考慮因素。

云計算應用由于其用戶、信息資源的高度集中，帶來的安全事件后果與風險也較傳統應用高出很多。如在2009 年，Google、Microsoft、Amazon 等公司的云計算服務均出現了重大故障，導致成千上萬客戶的信息服務受到影響，進一步加劇了業界對云計算應用安全的擔憂。

總體來說，云計算應用主要面臨如下安全威脅。

（1）服務可用性威脅

用戶的數據和業務應用處于云計算系統中，其業務流程將依賴于云計算服務提供商所提供的服務，這對服務商的云平臺服務連續性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰。另外當發生系統故障時，如何保證用戶數據的快速恢復也成為一個重要問題。

（2）云計算用戶信息濫用與泄露風險

用戶的資料存儲、處理、網絡傳輸等都與云計算系統有關。如果發生關鍵或私隱信息丟失、竊取，對用戶來說無疑是致命的。如何保證云服務提供商內部的安全管理和訪問控制機制符合客戶的安全需求；如何實施有效的安全審計，對數據操作進行安全監控；如何避免云計算環境中多用戶共存帶來的潛在風險都成為云計算環境下所面臨的安全挑戰。

（3）拒絕服務攻擊威脅

云計算應用由于其用戶、信息資源的高度集中，容易成為黑客攻擊的目標，同時由于拒絕服務攻擊造成的后果和破壞性將會明顯超過傳統的企業網應用環境。

（4）法律風險

云計算應用地域性弱、信息流動性大，信息服務或用戶數據可能分布在不同地區甚至國家，在政府信息安全監管等方面可能存在法律差異與糾紛；同時由于虛擬化等技術引起的用戶間物理界限模糊而可能導致的司法取證問題也不容忽視。

3 云計算應用安全研究

云計算應用作為一項信息服務模式，其安全與ASP（應用托管服務）等傳統IT信息服務并無本質上的區別。只是由于云計算的應用模式及底層架構的特性，使得在具體安全技術及防護策略實現上會有所不同。

從安全的角度看，云計算帶來的機遇和挑戰并存。一方面，若能合理運用云計算技術，則可以解決目前存在的一些安全問題。如采用瘦終端的方式，將企業數據統一存儲在云計算服務器網絡中，通過加強對核心數據的集中管理，可大大降低由終端造成的信息泄露的安全風險。另一方面，云計算為系統安全引入新的潛在威脅問題，由于云計算的服務模式以及基于虛擬化、分布式計算的底層架構特性，使得安全邊界比較模糊，傳統的安全域劃分、網絡邊界防護等安全機制難以保障云計算應用的安全需求。

3.1 業界研究現狀

云計算應用安全研究目前還處于起步階段，業界尚未形成相關標準，目前主要的研究組織主要包括CSA（cloud security alliance，云 安全聯盟）、CAM （common assurance metric-beyond the cloud）等相關論壇。

為推動云計算應用安全的研究交流與協作發展，業界多家公司在2008年12月聯合成立了CSA，該組織是一個非贏利組織，旨在推廣云計算應用安全的最佳實踐，并為用戶提供云計算方面的安全指引。CSA在2009年12月17日發布的《云計算安全指南》，著重總結了云計算的技術架構模型、安全控制模型以及相關合規模型之間的映射關系，從云計算用戶角度闡述了可能存在的商業隱患、安全威脅以及推薦采取的安全措施。目前已經有越來越多的IT企業、安全廠商和電信運營商加入到該組織。

另外，歐洲網絡信息安全局（ENISA）和CSA聯合發起了CAM項目。CAM項目的研發目標是開發一個客觀、可量化的測量標準，供客戶評估和比較云計算服務提供商安全運行的水平，CAM計劃于2010年底提出內容架構，并推向全球。

許多云服務提供商，如Amazon、IBM、Microsoft等紛紛提出并部署了相應的云計算安全解決方案，主要通過采用身份認證、安全審查、數據加密、系統冗余等技術及管理手段來提高云計算業務平臺的魯棒性、服務連續性和用戶數據的安全性。

3.2 云計算應用安全剖析

為有效保障云計算應用的安全，需結合云計算應用特點，在采取IT系統基本安全防護技術的基礎上，進一步集成數據加密、VPN、身份認證、安全存儲等綜合安全技術手段，構建面向云計算應用的縱深安全防御體系，并重點解決如下安全問題。

（1）構建安全的邏輯邊界

在典型云計算應用環境下，物理的安全邊界逐步消失，取而代之的是邏輯的安全邊界，應通過采用VPN和數據加密等技術，實現從用戶終端到云計算數據中心傳輸通道的安全；在云計算數據中心內部，采用VLAN以及分布式虛擬交換機等技術實現用戶系統、用戶網絡的安全隔離。

（2）數據加密與安全存儲

采用數據加密技術實現用戶信息在云計算共享環境下的安全存儲與安全隔離；采用基于身份認證的權限控制方式，進行實時的身份監控、權限認證和證書檢查，防止用戶間的非法越權訪問。同時應做好剩余信息保護措施，存儲資源重分配給新用戶（如虛擬機等）之前，需要進行完整的數據擦除，防止被非法恢復。

（3）虛擬化技術等安全漏洞風險防范

通過采用虛擬防火墻、防惡意軟件和虛擬設備管理軟件對虛擬機環境實施安全策略，確保構建的虛擬網絡與構建的物理網絡一樣可靠、安全；采用版本和補丁管理控制機制防范虛擬化等安全漏洞引起的潛在安全隱患。

同時，云計算應用安全也是云計算服務提供商和云計算用戶之間共同的責任。基礎設施即服務（IaaS）、平臺即服務（PaaS）、軟件即服務（SaaS）等三種云計算應用模式，由于其自身特點，以及云計算用戶對云計算資源的控制能力不同，使得云服務提供商和云計算用戶各自承擔的安全責任與職責也有所不同。

IaaS云服務提供商主要負責為用戶提供基礎架構服務，如提供包括服務器、存儲、網絡和管理工具在內的虛擬數據中心，云計算基礎設施的可靠性、物理安全、網絡安全、信息存儲安全、系統安全是其基本職責范疇，如虛擬機的入侵檢測、完整性保護等；而云計算用戶則需要負責基礎設施架構以上層面的所有安全問題，如自身操作系統、應用程序的安全。

PaaS云服務提供商主要負責為用戶提供簡化的分布式軟件開發、測試和部署環境，云服務提供商除了負責底層基礎設施安全外，還需解決應用接口安全、數據與計算可用性等；而云計算用戶則需要負責操作系統或應用環境之上的安全問題。

SaaS云服務提供商需保障其所提供的SaaS服務從基礎設施到應用層的整體安全，云計算用戶則需維護與自身相關的信息安全，如身份認證賬號、密碼、終端安全等。

3.3 云計算應用安全策略與實施建議

按照服務對象的不同，云計算可分為私有云（private cloud）、公共云（public cloud）和混合云（hybrid cloud）。對于私有云而言，通常部署在企業內部，安全實現相對比較容易，企業內部使用的傳統IT安全措施也可直接應用到私有云的保護上去。公共云和混合云則涉及到云服務提供商和云計算用戶，安全性要求相對私有云復雜很多，需要云計算服務提供商和云計算用戶協同配合，共同提高云計算服務的應用安全水平。

3.3.1 云計算服務提供商

要提供面向公眾的商業化云計算服務，服務質量保證、數據安全性和計算環境的安全隔離都是必要的保證，因此對于云計算服務提供商而言，如何在最大程度上降低云計算系統安全威脅、提高服務連續性、保障用戶信息安全是其業務能否取得成功的關鍵，結合云計算應用面臨的主要安全威脅，建議采取的安全策略如下。

（1）建立云計算系統的縱深安全防御機制，提高云計算系統的安全性、健壯性，保障服務提供連續性和穩定性

·控制蠕蟲/病毒/木馬在云計算平臺內外部網絡內的傳播，及時隔離和修復；

·對進出云計算系統的數據流量和云計算系統運行狀態進行實時監控，及時發現修復網絡和系統異常；

·部署網絡攻擊防御系統或購買相關攻擊防護服務，防范黑客攻擊造成的系統癱瘓或服務中斷；

·完善云計算平臺的容災備份機制，包括重要系統、數據的異地容災備份；

·建立完善的應急響應機制，提高對異常情況和突發事件的應急響應能力。

（2）保護用戶信息的可用性、隱私性和完整性

·對用戶系統和數據進行安全隔離和保護，確保用戶信息的存儲安全以及用戶間邏輯邊界的安全防護；

·通過采用數據加密、VPN等技術保障用戶數據的網絡傳輸安全；

·完善用戶信息的數據加密與密鑰管理與分發機制，實現對用戶信息的高效安全管理與維護；

·完善數據備份、安全恢復機制，在發生異常時為用戶進行及時的數據恢復。

（3）身份認證與安全接入控制

建立嚴格的云計算AAA機制，實施嚴格的身份管理、安全認證與訪問權限控制，提供用戶訪問記錄，訪問可溯源。

（4）加強云計算數據中心的安全管理，完善安全審計機制

·加強云計算數據中心的安全管理，完善安全事件應急響應機制及處理流程；

·加強對操作、維護等各類日志的審計管理，提高對違規溯源的事后審查能力。

3.3.2 云計算用戶

對于廣大用戶而言，在選擇云計算服務或將現有IT系統向私有云或公共云服務遷移之前，首先應對云計算安全有一個正確的認識，這對用戶決定將什么樣的業務放在云里，以節本增效、增強安全性，有著重要意義；同時也應結合本企業實際情況，做好周詳的準備工作，在最大程度上降低在向云計算服務遷移后可能出現的安全威脅。

（1）向私有云遷移

私有云一般部署在企業網內部，所面臨的安全風險相對較小，但依然會面臨法規遵從、軟件許可、應用可靠性、SLA等問題。用戶在向私有云遷移時，需要采用成熟的技術方案，解決私有云的系統建設及運營管理安全工作，具體可參見上文。同時，應做好系統容災、數據備份以及業務回退機制，以提高應對各類突發安全事件的處理能力。

（2）向公共云遷移

在向公共云遷移時，應采取如下舉措以規避遷移風險：

·盡量選擇安全可信度高、信譽好的大型云服務提供商，降低云服務提供商出現破產導致的業務受損或相關負面結果的風險；

·確定哪些業務可以使用云計算服務，有選擇性地向云計算服務遷移，如對于企業最至關重要的涉及核心知識產權的或非常敏感的信息，在做好各項測試驗證前，應審慎遷移；

·繼續做好數據遷移后的安全管理和監控，一方面應通過技術手段和合規審計來驗證云服務提供商的安全舉措，確保自身數據安全及完整性；另一方面，也應繼續做好自身應用系統的安全管理與運行監控工作，包括關鍵應用信息的備份，以應對云計算系統故障等突發安全風險；

·詳細了解協議內容，確保了解SLA服務協議、服務提供商的隱私協議等，通過協議條款要求云計算服務提供商更新其保護系統，以實現與業內最佳實施策略相一致；

·明確云服務提供商存儲用戶數據的地點，在可能的情況下，控制數據的存放地點，以應對不同地區、國家的法律差異而可能引起的法律糾紛。

另外，由于云計算服務可能涉及到諸多個人、企業乃至整個國家的重要敏感信息安全，因此在某種程度上需要政府相關監管部門的介入，通過制定、完善相應的法律法規，對云計算服務提供商、云計算服務進行規范、監督、審計，保障云計算應用服務及信息安全。

4 結束語

安全是廣大用戶權衡是否使用云計算服務的重要指標之一，是云計算健康可持續發展的基礎。只有為用戶提供可靠、可信、高性價比的云計算服務，企業才有可能在云計算領域取得成功。本文在總結、分析云計算應用面臨的技術層面安全威脅和法律合規風險的基礎上，對云計算應用安全進行了系統分析與研究，并分別從云計算服務提供商和用戶角度提出云計算應用安全策略與建議。相信隨著整個云計算產業鏈的不懈努力，以及政府監管部門相關法律法規的不斷完善，云計算應用及服務將朝著可靠、安全、可信的方向健康發展。

1 Cloud Security Alliance.Security guidance for critical areas of focus in cloud computing v2.1,http://www.cloudsecurityalliance.org/csaguide.pdf

2 IBM.藍云解決方案.http://www-900.ibm.com/ibm/ideasfromibm/cn/cloud/solutions/index.shtml

3 王鵬.走近云計算.北京:人民郵電出版社，2009