探究云計算之安全問題

鄧宇珊

摘 要：云計算是社會發展、科技進步的產物，是IT領域變革的結果。云計算從提出開始就是IT領域較為令人關注的話題，引發了新的技術變革和IT服務模式。其大規模、通用性、用戶無需維護和關心基礎設施等特點給用戶帶來了極大的便利。與此同時，云計算也因其特點，凸顯出了諸多的安全隱患需要著手解決。論文旨在對云計算存在的安全隱患進行分析，并簡單的探討可實行的安全保障措施。

關鍵詞：云計算；云安全；云計算安全。

中圖分類號：TP15 文獻標識碼：D

Abstract： Cloud computing is the product of social development and technological progress， and is the result of the change in the field of IT. Cloud computing has been a hot topic in the field of IT since it was put forward， which has triggered new technological changes and IT service patterns. Its large-scale， versatility， users do not need to maintain and care about infrastructure and other features to the user has brought great convenience. At the same time， because of its characteristics， cloud computing has highlighted many security risks that need to be solved. The purpose of this paper is to analyze the security risks of cloud computing， and simply explore the security measures that can be implemented.

Key words： cloud computing； cloud security； cloud computing security

1 引言

云計算是分布式計算、并行計算、效用計算、網絡存儲、虛擬化、負載均衡、熱備份冗余等傳統計算機和網絡技術發展融合的產物。同時，云計算也是一項技術、一系列技術、一種運營模式、一種商業模式。其主要特點有超大規模、虛擬化、高可靠性、通用性、高擴展性、按需分配、極其廉價等。

因此，云計算帶來的優點也顯而易見。云計算提供了可靠、安全的數據存儲中心，用戶不用再擔心數據丟失、病毒入侵等麻煩；云計算對用戶端設備的兼容性高，使用起來也最方便；增強的計算能力，接入到云計算的系統，可獲取和支配整個云中共享的CPU、內存、計算能力等，并不再局限于單臺計算機所能做的事情，利用成千上萬臺計算機和服務器的能力，能執行更多的任務；擁有“無限”的存儲容量，用戶可不用考慮存儲的上限。

云計算目前有三個層次的服務模式，即IaaS基礎設施即服務、PaaS平臺及服務、SaaS軟件及服務，用戶可根據不同的需求選擇不同的服務模式。

2 云計算面臨的威脅

云計算具有流動性、無邊界、虛擬化等特性，這就使得其傳統的防護體系受到了極大的沖擊，其面臨的安全威脅越來越多。

2.1 濫用、惡用、拒絕服務攻擊

云計算提供服務依托于寬帶網絡和Web方式，所以其拒絕服務攻擊會嚴重影響其可用性。網絡和服務器資源為云計算提供了支撐，而且云計算的特性要求其具備靈活性，這樣才能滿足業務開通和服務變更等需求。這也增加了云計算被濫用惡用的風險，通過云計算服務破解密碼、搭建僵尸網絡等風險就比較普遍。此時云計算就面臨著新的風險——數據泄露，這是公共云最擔憂的一個問題，因為云計算中高密度聚合了關鍵數據，這就容易引發潛在的攻擊，使得云中數據丟失泄露的風險增加。

在云計算環境中，如果攻擊者直接獲取了用戶的賬號信息，用戶的活動交易信就會被竊取，攻擊者就會通過操縱數據、捏造信息、劫持賬號來發動新的攻擊等方式來損害用戶的網絡信譽。

2.2 不安全的接口和API

目前，云計算業界的安全實踐中網絡接口和API的安全測試不成熟，出現了額外的安全入侵入口。因為客戶進行業務整合、發展伙伴和提供業務，都需要通過云計算服務商來獲取大量的網絡接口和API，額外的安全入侵使得其業務風險增加。

2.3 資源共享引發的風險

云計算的一個重要特征就是可以進行資源共享，在多用戶間共享云計算中的計算能力、存儲與網絡資源，其隔離性就被打破，一個租戶的惡意行為就會對同一環境下其它租戶的聲譽產生影響。云計算的虛擬化技術為黑客入侵到宿主機或同一宿主機上的其它虛擬機提供了便利，這都是因為虛擬機管理系統自身的漏洞。目前，云計算環境中集中存儲了重要的私密數據，其相互傳輸過程中也會出現信息泄露的情形，包括客戶資源、財務數據、關鍵業務記錄等。

因此，在不可靠的介質上存儲數據，并沒有進行備份，就對數據進行刪除修改，一旦丟失了密鑰數據就難以解密，容易帶來嚴重的數據丟失事故。與傳統的基礎設施相比，云計算的分布式架構的數據傳輸更多，在不同機器上同步的鏡像為其提供了云間的信息交換。如果其加密強度不夠，嗅探、中間人攻擊、重放攻擊等都可以被攻擊者用來竊取和篡改數據。

2.4 虛擬化安全問題

云計算還存在虛擬化安全問題，一旦其物理主機被破壞，因為與物理主機之間存在交流，其管理的虛擬服務器也有被攻克的可能，但是如果使得物理主機和虛擬機不交流，又會出現虛擬機逃逸的現象。在破壞了物理主機的虛擬網絡后，其虛擬機也會受到損害。

2.5 其他未知的風險場景

云計算具有應用地域弱、信息流動性大的特點，所以不同地區、不同國家都有其信息服務或用戶數據的分布，這也就增加了其法律風險。因為不同國家地區的政府信息安全監管等存在法律差異，如果用戶間物理界限模糊其因為虛擬化等技術，也會增加司法取證的難度。由此可見，云計算面臨的威脅比較多，但是用戶不可能對云中所有的細節都了解，而云計算服務商因為商業機密等也并可能分享關鍵信息，所以雙方的信息不對稱現象難以避免，未知安全風險也難以禁止。

3 解決方案

信息技術在不斷向前發展，因此引發的安全問題也是在不斷演進，傳統國家安全標準與安全技術已經不能滿足與適應新技術發展帶來的安全威脅，這就需要采取有效的解決措施來提高云計算的安全性。

3.1 加強數據保護

在云計算平臺存儲系統中存在著大量數據，包括文檔、視頻、圖片、電子郵件等。不同類型的數據、不同用戶的數據、不同級別的數據其安全性和重要性都有極大的區別。因此，要做好數據保護，提高信息的安全性，比如可以發揮安全資源池化、敏感信息識別與防護、DDoS防護等作用進行安全保護。

3.1.1 安全資源池化

資源池主要有高性能、資源分配合理等優勢。因此，在云計算環境中，為了提高安全設備的性能與靈活性，可將云計算安全資源如虛擬防火墻、虛擬入侵防御系統、虛擬防病毒、虛擬Web應用防火墻等設備按照類型進行資源池化，便于對安全設備的按需分配、集中管理。

3.1.2 敏感信息識別與防護

敏感信息的識別與防護可在數據的整個生命周期中分別進行。

在數據的產生環節，制定敏感數據的標準與分類；在數據傳輸環節，通過數據加密或VPN技術實現數據的加密傳輸。

在數據存儲環節，采用加密技術或者其他保護措施實現數據的存儲保密性；在數據遷移環節，進行數據遷移前的安全評估，保證數據遷移前后的安全。

在數據銷毀環節，制定相應的銷毀準則，保證數據被徹底銷毀清除；在備份與恢復環節，提供完善的數據備份與恢復功能，保證數據的可靠性。

3.1.3 DDoS防護

云計算環境中，用戶數據、帶寬、網絡設備等資源較為集中，如若云平臺沒有做相應的防護或者防護措施不足，任一節點遭受拒絕服務攻擊時，可能導致毀滅性的破壞。因此，云計算的DDoS防護尤為重要。

3.2 抗拒絕服務攻擊

云計算中心的可用性受到其業務的影響，所以云計算服務提供商必須要做好其拒絕服務攻擊的調查工作，采取有效的保護措施。因此，服務提供商自身必須要有強大的網絡和服務器資源，這樣才能滿足云計算快速彈性的需求，實現云計算的靈活性。

云計算中也要對網絡入侵進行檢測，對于攻擊成功的安全事件要通過入侵檢測系統的攻擊結果對其功能進行判定。而且云計算中心要對低風險或不可能成功的攻擊行為進行過濾，通過特定的安全規則設定安全策略，減少管理員的日常工作量，保證可以重點關注重要攻擊行為。

3.3 加強信息安全流通

對于信息共享中出現的風險，要對網絡的安全監控進行強化，通過高強度的劃分和隔離機制來管理訪問和操作，這樣在一個用戶訪問另一個用戶時，就會定期掃描和配置審計其活動的和殘留的數據。同時也會開展集中化的身份認證，分級管理和記錄數據訪問情況，運用HTTPS或SSL的VPN高強度加密傳輸的數據使用。

4 結束語

云計算為互聯網的發展提供了技術推力，為用戶提供了可靠的數據存儲、便捷的接入以及跨設備的數據應用與共享等便利。但在云計算發展的同時，還需要將其面臨的安全問題與不斷提升的技術進行同步建設與防護。

因此，要做好云計算安全問題的管理，注重其數據保護、抗拒絕服務攻擊和信息共享，保證信息傳遞存儲的安全性。同時，云計算服務商也要加強對其安全性監管，這樣才能共同營造良好的、安全的網絡環境，有效預防更多的未知風險。

參考文獻

[1] Cloud Security Alliance.Top Threats Working Group The Treacherous 12 Cloud Computing Top Threats in 2016[Z].February 2016.

[2] 賈英來，熊玉蘭.電信運營商在云計算環境下如何保護敏感信息[J].世界電信，2015（7）：42-47.

[3] 李金金.云計算的數據安全和隱私保護[Z].國研網，2015，11（19）.