云計算訪問控制技術的運用及論述

◎劉賽娥

云計算訪問控制技術的運用及論述

◎劉賽娥

云計算訪問控制技術在最近幾年的發展過程中成為了云計算安全領域所研究的熱點，這一訪問控制技術的運用在一定程度上保證了其資源部不被非法使用。本文對云計算訪問控制技術的運用予以了相關的論述。

云計算訪問控制技術的現狀

現階段，大部分云計算服務的提供商在云臺訪問控制技術上予以了大膽的嘗試以及大量的實踐。諸如，亞馬遜S3平臺所使用的訪問控制表以及存儲桶策略；微軟云平臺所使用運用密鑰來實現對身份的驗證；谷歌云平臺所使用的訪問控制表以及阿里云平臺所使用的訪問控制策略等等。我們所說的AWS云平臺指的就是采用編寫訪問這一方法達到訪問他人執行資源的操作權限，在這平臺運行中所依據的就是資源策略和用戶策略。在這里需要強調的是資源策略是指將訪問授權同資源實現有機的結合，從而構建出被授權者和授權者之間的對應關系。而用戶策略是指通過對IAM的管理來實現對Amazon S3資源的訪問，IAM在一定程度上采用附加訪問這一策略實現了對用戶安全憑證的分配，同時對其自身的權限予以管理，并授予其對AWS這一資源的訪問權限。

云計算訪問控制技術存在的問題

由于云計算自身具有不同的特性，同傳統的信息系統相比，其在訪問控制方面則要面臨著一些新的問題：第一，在云計算的模式下用戶對于自身的資源不能予以更好的控制，這在一定程度上也就導致從可信邊界所形成的安全領域不復存在，同時也使得云計算下訪問控制方面“多域”矛盾日益凸顯；第二，在云端運行的過程中其需要以服務的運行狀態來對自身的資源供給予以一定的調節，而資源訪問所呈現的狀態一直都是動態變化的，因此也就導致了訪問控制具有一定的困難性；第三，云計算中所涉及到的所有服務從一定程度上講都需要實現對多個安全領域予以跨越，從而實現對資源的訪問，但是在這一訪問過程中，如果不能對區域間身份管理和控制方法之間存在的差異予以消除，那么就會導致不兼容這一問題的出現；第四，在云計算中所要依據的基礎就是虛擬化，而虛擬資源和底層硬件之間所實行的完全隔離這一機制在一定程度上使得隱蔽這一通道不容易被發現，進而也就決定了云計算訪問控制要實現實體授權到虛擬資源的過渡。

云計算訪問控制技術的應用方法

通過權限屬性所具有的動態化特征實現對云計算訪問控制技術的應用。在當前的云計算環境中，特別是具有公有性質的云環境中，因有著巨大的云用戶量，所以也就不能夠確定云資源方面的需求，同時要根據其呈現出的應用狀態予以實時的動態調整，這在一定程度上也就要求了云用戶在權限方面的授予和取消呈現的是一種動態的變化。要想更好的適應這種變化，具需要做到以角色為基礎、以信任為基礎、以屬性為基礎等多種具有擴展性能的且具有相對較好的訪問控制模型，并對其予以適當的調整予以改進，使其能夠在調整權限的方面具有一定的動態性。

采用面向虛擬化以及多租戶的云計算訪問控制技術。我們所說的云計算主要是以虛擬化的技術來作為計算模式的基礎的，這種虛擬化的技術在一定程度上有著較強的隔離性能。除此之外，云計算所呈現的模式是一種多租戶的形式，這種形式主要是將多個租戶采用一定的虛擬技術將其發那個在一個物理宿主機上，其有著極大的可能性來實現攻擊行為。截至到目前，針對此方面的訪問控制的研究主要是運用hypervisor這一技術實現的。

面向多域的云計算訪問控制技術。在云計算的環境中，其立足于各個自治域，并以此為基礎構成虛擬組織，同時用戶和資源所處的自治域也大不相同。在自治域中往往都是采用具有獨立性質的訪問控制方法，并在同一時間段內域間也能夠實現對資源的相互訪問這一追求，因此這也就要求了能夠用對應的訪問控制模型來對不同的域間實現更好的協調以及管理。這種多域的云計算控制技術一般情況下都是在以信任為基礎和以屬性為基礎的訪問控制模型下演變過來的。

云計算自身所具有的復雜性在一定程度上為訪問控制技術帶來了難度，但是于此同時面向多域的云計算訪問控制技術在研究和設計模型方面還有很大的發展空間。所以立足于傳統訪問控制模型為基礎的改善后的云計算訪問控制技術更合理有效的解決了這一過程中所存在的問題。除此之外，要想更好的適應云計算的發展，還要予以動態授權方面、虛擬化方面更多的創新發展。

結語

云計算訪問控制技術問題在其安全領域是亟待解決的問題，因為云計算訪問控制技術從某種意義上講能夠更好地保護云計算資源不受侵害，在云計算的安全防護中也能夠得到更廣泛的應用。當前國內的一些對云計算訪問控制技術運用的研究還處于探索發展階段，因此在未來的發展過程中還需要對其予以更近一步的分析，對云計算訪問控制模型的設計方面以及訪問控制技術方面所具有的安全性能都能夠予以更為深刻的研究。

云南國土資源職業學院）