云計算安全體系研究

吳耀輝

[摘要]云計算是信息技術領域發生的重大變革，這種變革為信息安全領域帶來了巨大沖擊。本文對云計算的安全需求進行了比較詳細的總結和分析，指出云計算不僅在機密性、完整性、服務有效性等傳統安全基本需求上賦予了新的內涵，而且增加了可靠性、身份認證、可移植性、合規性、可追責性、虛擬機及終端安全等方面新的安全需求。最后在對安全需求分析的基礎上，提出了云計算的安全體系框架，為云計算的安全保障和研究提供了參考依據

[關鍵詞]云計算；機密性；數據完整性；身份認證；可靠性；可移植性；合規性；可追責性；體系結構

[中圖分類號]TP309 [文獻標識碼]A [文章編號]1672-5158（2013）05-0001-02

1 引言

云計算具有快速伸縮（Rapid elasticity）、按需自助服務（On-de mand self-service）、無所不在的網絡訪問（Broad network access）、資源池（Resource pooling）、服務可度量（Measured service）等獨特優勢，對于企業用戶而言可顯著降低計算和存儲的維護成本；對個人用戶而言通過將信息的存儲和計算放在云端，降低了自身存儲和計算資源有限所帶來的很多約束。云計算提供商以自己強大的經濟和技術實力，在法律法規的約束下保障云計算的高度可靠性。云計算高速發展，但安全問題卻日益突出。據有關調查，70%以上受訪企業認為近期不采用云計算的首要原因在于存在數據安全性與隱私n生的憂慮。文章對云計算安全面臨的挑戰進行研究，對安全需求進行深入探討，最后提出云計算的安全體系結構。

2 挑戰與風險

云計算是信息技術領域發生的重大變革，這種變革為信息安全領域帶來了巨大挑戰：（1）在云平臺中運行的各類云應用沒有固定不變的基礎設施，沒有固定不變的安全邊界，難以實現用戶數據安全與隱私保護；（2）云服務所涉及的資源由多個管理者所有，存在利益沖突，無法統一規劃部署安全防護措施；（3）云平臺中數據與計算高度集中，安全措施必須滿足海量信息處理的需求。

云安全聯盟與惠普公司共同在對29加企業、技術供應商和咨詢公司的調查結果進行研究分析后，共同列出了云計算面臨的數據丟失/遺漏、共享技術漏洞、供應商可靠n生不易評估、身份認證機制薄弱、不安全的應用程序接口、不正確的使用、對供應商的未知安全的安全七宗罪。國際著名IT咨詢研究機構Gartner早在2008年就在文中描述了云計算存在的7大安全風險；ENISA（歐洲網絡與信息安全局）在其發布的《云計算安全風險評估》中也提到了云計算安全所面臨的7大關鍵性問題；

3 云計算的安全需求

3.1可靠性

云計算通過整合分散的、甚至是閑置的資源來提供服務，這種分散的、閑置的資源可能不是穩定“在線”的，所以，要求云計算系統要具有較強的數據容錯和單個計算節點故障恢復措施來保障服務的高可用可靠性。云計算是以互聯網為基礎的，而互連網是脆弱和不可靠的。系統的高可靠性是云計算系統設計時的基本要求。Goog～電子郵件服務中斷、微軟云計算平臺window s A zu re運作中斷、亞馬遜的“簡單存儲服務”（simpleStorage Service，s3）中斷等問題都可歸結為是由于云計算系統可靠性設計的不足而發生的。除了對設備、資源云系統可靠性考慮外，對可靠性需求的另外一個方面是提供商在選用員工時對員工背景的調查，選用可靠的員工。

3.2保密性

用戶數據和應用程序都在第三方云提供商提供的基礎平臺中運行，云服務提供商可能隨意處置用戶的數據與代碼，容易造成用戶數據的泄露和丟失；服務提供商還可以通過數據挖掘及推理分析等技術發現用戶的使用習慣，用戶與其他用戶之間存在的交易關系等私密信息，造成用戶隱私泄露；在云端，應用程序要對處于加密狀態的數據進行處理，應用程序需要首先解密數據，然后再完成運算，但是加密的方式又帶來了運算上的開銷，提高性能要求需要服務器能夠在密文上面直接進行操作。在最理想的情況下，服務器在密文上的任何操作都能夠直接對應到明文上的相應操作，這種加密方法稱為完全同態加密。在完全同態加密不能高效實現的情況下，利用同態函數的特性保護隱私，研究基于密文的操作是云計算實現保密性的一個很重要的需求。

3.3數據完整性

完整性指系統內信息在存儲或傳輸過程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等以造成破環和丟失的特性。云計算安全完整性需求主要包括云用戶存儲在云中的靜態數據的存儲，在存取過程中需要完成的完整性檢測要求，以及應用程序在處理數據時，在從存儲介質中存取數據，在對數據流中數據包的完整性檢測校驗。

3.4服務有效性

在云計算中，可能由于各種原因導致的用戶在需要時不能得到云服務商提供的及時有效服務。如云虛擬機因漏洞或系統更新等而導致的進程崩潰、宕機；攻擊者破壞了用戶應用程序的完整性使得用戶程序部分或全部不能正常運行；由于虛擬機控制權丟失而致使用戶失去對主機/月艮務器的控制和使用權，云內部或用戶接人端受到黑客攻擊導致大面積的DDoS/DoS；如此等等，這些都要求云服務提供商要預備各種應急災備措施和設備保障，對數據，平時要為用戶做好災備考慮，要有足夠的實力，為用戶提供可供選擇的備用帶寬、存儲及計算資源。

3.5可控性

計算機既是解放的技術，又是控制的技術。云計算就猶如一臺更加龐大的和“泛在”的超級計算機，所以，在云計算中的控制也顯得更為重要，云計算改變了互聯網時代依靠防火墻在物理上保護一個“安全域”的安全防護的模式已不存在，對每個云用戶的應用程序進程、數據隱私的訪問及控制依賴用戶的身份，所以，要實現云計算的控制，首先做好用戶的身份管理，身份管理主要涉及身份的供應、注銷以及身份認證過程。在云環境下，實現身份聯合和單點登錄可以支持云中合作企業之間更加方便地共享用戶身份信息和認證服務。其次，云訪問控制服務的實現依賴于如何妥善地將傳統的訪問控制模型（女口基于角色的訪問控制、基于屬性的訪問控制模型以及強制/自主訪問控制模型等）和各種授權策略語言標準（如XACML，SAML等）擴展后移植入云環境。此外，鑒于云中各企業組織提供的資源服務兼容性和可組臺性的日益提高，組合授權問題也是云訪問控制服務安全框架需要考慮的重要問題。

3.6虛擬安全

虛擬化是云計算的重大技術特征。虛擬安全包括虛擬環境下，虛擬主機、虛擬通道、虛擬網絡連接設備的安全。虛擬安全主要包括虛擬機自身安全、虛擬機之間的安全、Hypervisor與虛擬機之間的安全、虛擬機鏡像安全、虛擬環境中的權限控制與認證安全、虛擬機遷移安全、桌面虛擬化安全等。云計算多個虛擬設備（主機或網絡互連構件）可能會別綁定到相同的物理資源上，可能導致信息泄露或數據的覆蓋。要防lkhypervisor被入侵從而控制虛擬機資源；虛擬機和Hypervisor通信時，要防止可能包含敏感信息如特權賬號的用戶名和口令被嗅探竊取；要防止應用程序繞過底層，利用宿主機進行某些攻擊或破壞活動。

3.7可移植性（portability）

數據“鎖入”（LOCK IN）是指在云計算中當一個云計算服務提供商因種種原因不能夠為用戶提供服務，用戶需要將其數據信息以及應用從一個云服務提供商遷移到另外的云服務提供商提供的云平臺上進行存儲、部署時，不同云平臺間沒有統一標準的配置、運行環境接口，而使云用戶遭受損失。可移植性是指將數據或應用程序從一個提供商搬移到另一個提供商，或將它全部搬移到本地的能力。目前還不能提供統一的工具、規程、標準數據格式或服務接口來保證數據、應用程序和服務的可移植性；原數據、數據的備份和日志、訪問記錄的冗余拷貝，以及其他任何可能因法律或合規性原因而導致的信息、數據能否被完整遷移。

3.8合規性

不同的國家對信息系統建設、管理的相關規定、立法不同，許多國家或地區都有嚴格的隱私法，禁止將某些數據存儲在本國或本地區外的物理機器上，對違反這些法律的機構通常將進行嚴厲處罰。云服務提供商要對用戶數據的存儲及應用的發布、運行范圍進行審查或限定，以滿足法律法規、處罰條例以及其他的法案的要求。同時，云計算大大提升了計算的效率和能力，也給非法行為帶來了便利，如利用云計算資源破譯口令和系統密碼；云平臺對資源的動態伸縮性管理和資源共享模式意味著云服務平臺擁有龐大的網絡資源、計算資源和用戶身份資源，如果這些資源被黑客或內部人員非法利用，用于組織類似DDoS、僵尸木馬類的大規模攻擊。所以，云計算在使用用途上，也必須嚴格審定其使用的正當合法性。

3.9可追責性

在云計算中，數據和應用程序屬于用戶，然而，數據的存儲和應用程序的運行場所并不屬其所有者用戶所管轄和控制的區域，但是當出現數據的保密性、完整性、有效性遭遇破壞或用戶隱私遭受到不法侵害，違反云用戶與云提供商事先的服務等級約定或其他法律法規時，在用戶和云計算提供商之間可進行相應的責任追查。在云計算這種新的電子空間環境下，這種可追責性需要一定的環境保障，這種環境保障主要表現在有法可依、可電子取證、可審計三個方面。

3.10終端安全

云平臺中數據與計算高度集中，用戶接人呈現時間，地點的不確定性和訪問終端類型多樣化的特點，終端是攻擊的起源和人口，所以，云計算要為云用戶所安全利用，就必須包括終端安全，終端安全需求具體包括接口適配需求、身份安全和終端運行環境安全需求等。

4 安全體系總體結構

依照以上云計算安全需求，參考云計算定義，本章提出了面向架構的云計算安全服務模型，在此基礎上，又給出了云計算安全體系。

3.1面向架構的云計算安全模型

圖1是云計算安全參考模型。可以看出，云計算安全模型是一種多層次的安全保障體系，安全服務是多方位和多層次的，我們把該模型作為云計算安全技術體系設計的基礎。

3.2面向服務的云計算安全體系

根據云計算安全參考模型設計的云計算安全體系結構如圖2。

（1）基礎設施安全服務

基礎設施安全服務為上層云應用提供安全的數據存儲、計算等資源服務，保護業務連續性和數據的隱私性是其主要安全目標。基礎設施層面主要考慮的安全要素包括：物理安全 物理防護、網絡可靠、備用設施等；存儲安全一存儲加密和完整性，數據備份、災難恢復等；虛擬化安全Hypervisor加固、鏡像加密、虛擬機隔離等；系統安全——則應涵蓋虛擬機的管理和安全；網絡安全——FW/IPS/IDS、拒絕服務攻擊、程序漏洞、網絡監控等。

（2）基礎平臺安全服務

基礎平臺云安全服務是支撐云應用、滿足用戶安全目標的重要手段，其中比較典型的幾類安全服務包括：云用戶身份管理服務，主要涉及用戶身份認證、管理，還包括云環境下的身份聯合管理、單點登錄等問題；云授權服務，研究適合云環境中的訪問控制模型和授權策略，提高各企業，組織資源管理的可靠性、兼容性和擴展性；云審計服務，滿足用戶安全管理與審計的需要，可信地提供包括操作系統，數據庫管理系統和網路設備等重要資源的日志和記錄；云密碼服務，除提供最典型的加、解密服務外，云密碼服務還包括秘鑰管理與分發，證書管理等安全服務。

（3）應用安全服務

云安全應用服務是根據用戶的需求，提供信息安全服務和應用安全服務。信息安全服務包括內容過濾與殺毒應用、內容安全云服務，應用安全服務包括DDOS攻擊防護云服務、安全事件監控與預警云服務、接人安全、終端安全等服務。

（4）云計算安全管理服務

云提供商需要提供透明的安全管理服務，建立信任度。云計算在很大程度上取決于它的許多組件的安全，包括通用的計算組件，如部署的應用程序、虛擬機監視器、客戶虛擬機、數據存儲和次要的中間件之外，也包括了一些管理功能組件，如用于自行配置資源、資源計量、限額管理、數據備份和恢復等管理組件。因此，對一個安全的云計算解決方案的操作和維護，強大的管理措施是必不可少的。對用于建立和維護信息系統資源的保密性、完整性、可用性的安全策略的管理、對主機和網絡的配置及關鍵文件的管理和監控、對系統中有關安全的所有活動的記錄和審查、防止惡意用戶攻擊的漏洞和補丁管理等管理措施都是必不可少的。

（5）云計算安全基礎設施服務

為了彌補網絡控制的丟失以及加強風險保障，云提供商將提供安全基礎設施服務。主要包括證書、密鑰的管理、身份管理、訪問控制管理等。

5 結束語

云計算這一信息技術的新模式，目前已經在廣泛應用，但還沒有進入到關鍵應用的實質性大規模運用階段，究其原因，正在于它的安全性問題。目前工業界云計算產品已經使用的安全策略只能針對現有的安全攻擊技術進行保護，而對云計算中新產生的安全問題還能沒有更多考慮。我們對云安全的需求做以總結和歸納，提出云計算安全的總體結構，旨在為云計算安全方面的研究做一個好的鋪墊和幫助。云計算作為一個新興的產業發展非常迅速，我們期待著其中的安全問題能夠早日被完善解決并在實際產品中得以應用。

參考文獻

[1] NIST.The NIST Definition of Cloud Computing.Special Publication 800-1 45.2011

[2]劉鵬.云計算（第二版）.北京：電子工業出版社，2011

[5]周洪波.云計算——技術、應用、標準和商業模式.北京：電子工業出版社，2011

[4]馮登國等.云計算安全研究.軟件學報2011，22（1）：71—83