云計算安全問題研究

萬瀚菜

摘要：云計算安全是指為保護云計算的數據，應用程序和相關基礎架構而部署的一系列廣泛的策略、技術和控制。它是計算機安全、網絡安全以及更廣泛的信息安全的一個子領域。文章主要研究了云計算安全的影響因素和云技術安全管理措施。

關鍵詞：云計算；數據；安全；防范

1 云計算特點

云計算是一種信息技術模式，可以隨時訪問共享的可配置系統資源池和更高級的服務，這些服務通?？梢酝ㄟ^互聯網以最少的管理工作快速供應。云計算依靠資源共享來實現規模的一致性和經濟性。 第三方云使組織能夠專注于其核心業務，而不是在計算機基礎設施和維護上耗費資源。云計算倡導者指出，云計算使公司可以避免或最大限度地減少前期IT基礎架構成本。支持者還聲稱，云計算使企業可以更快地運行應用程序并提高可管理性，減少維護，并使IT團隊能夠更快速地調整資源，以滿足波動和不可預測的業務需求。云提供商通常使用“即用即付”模式，如果管理員不熟悉云定價模式，可能會導致意外的運營開支。

自2006年推出亞馬遜EC2以來.高容量網絡、低成本計算機和存儲設備的可用性以及硬件虛擬化，面向服務的體系結構以及自主和效用計算的廣泛采用，促進了云計算技術的發展。

云計算的目標是讓用戶從所有這些技術中受益，而不需要每個人都有深入的了解或專業知識。云計劃旨在削減成本，幫助用戶專注于核心業務。云計算的主要支持技術是虛擬化。虛擬化軟件將物理計算設備分成一個或多個“虛擬”設備，其中的每一個都可以容易地使用和管理來執行計算任務。通過操作系統級虛擬化本質上創建了多個獨立計算設備的可擴展系統，可以更有效地分配和使用空閑計算資源。虛擬化提供了加速IT運營所需的靈活性，并通過提高基礎架構利用率來降低成本。自主計算使用戶可以根據需要調配資源的過程自動化。通過最大限度地減少用戶的參與，自動化加快了過程，降低了人力成本，并減少了人為錯誤的可能性。

云計算采用面向服務架構（S ervice - OrientedArchitecture，SOA）的概念，可以幫助用戶將這些問題分解為可以整合的服務，以提供解決方案。云計算將其所有資源作為服務提供，并利用在SOA領域獲得的完善標準和最佳實踐，以便以標準化的方式全球輕松訪問云服務。

云計算還利用效用計算的概念為所使用的服務提供度量標準。這些指標是公共云按次付費模式的核心。另外，測量的服務是自主計算反饋環路的重要組成部分，允許按需擴展服務并執行自動故障恢復。云計算是一種網格計算，它已經通過解決服務質量（Quality of Service，QoS）和可靠性問題而發展。與傳統的并行計算技術相比，云計算提供了以更實惠的價格構建數據/計算密集型并行應用程序的工具和技術[1]。

2 云計算安全影響因素

云計算和存儲為用戶提供了在第三方數據中心存儲和處理其數據的功能。組織在各種不同的服務模型（包括SaaS，PaaS和IaaS等縮略詞）以及部署模型（私有、公共、混合和社區）中使用云。與云計算相關的安全問題分為兩大類：云提供商（通過云提供軟件，平臺或基礎架構即服務的組織）面臨的安全問題以及客戶（公司或組織托管應用程序或將數據存儲在云上）。提供商必須確保其基礎設施安全，并保護其客戶的數據和應用程序，同時用戶必須采取措施加強其應用程序并使用強密碼和身份驗證措施。云計算系統組成如圖1所示。

當組織選擇在公共云上存儲數據或托管應用程序時，它將失去對托管其信息的服務器的物理訪問權限。因此，潛在的敏感數據面臨內部攻擊的風險。根據最近的云安全聯盟報告，內部攻擊是云計算中的第六大威脅。因此，云服務提供商必須確保對數據中心的服務器實際訪問的員工進行全面的背景調查。

為了節約資源，降低成本并保持效率，云服務提供商通常將多個客戶的數據存儲在同一臺服務器上。結果，一個用戶的私人數據有可能被其他用戶（甚至可能是競爭者）看到。為了處理這種敏感的情況，云服務提供商應該確保正確的數據隔離和邏輯存儲隔離。

在實施云基礎架構中廣泛使用虛擬化，為公共云服務的客戶或租戶帶來了獨特的安全問題。虛擬化改變了操作系統和底層硬件之間的關系，包括計算、存儲和網絡。這引入了一個額外的層——虛擬化—本身必須正確配置，管理和保護。具體問題包括可能會破壞虛擬化軟件或“管理程序”。雖然這些擔憂在很大程度上是理論上的，但確實存在。例如，使用虛擬化軟件的管理軟件在管理員工作站上的違規可能導致整個數據中心關閉，或者被重新配置為攻擊者的喜好[2]。

3云安全控制

云安全體系結構只有在正確的防御實施到位的情況下才有效。一個有效的云安全架構應該認識到安全管理將會出現的問題。安全管理通過安全控制來解決這些問題。這些控制措施已經到位，以保護系統中的弱點，并減少攻擊的影響。雖然云安全體系結構背后有許多類型的控制，但通?？梢苑譃橐韵骂悇e。

3.1威懾控制

這些控制旨在減少對云系統的攻擊。就像柵欄或財產上的警告標志一樣，威懾控制通常會通過通知潛在的攻擊者，如果他們繼續進行，會對他們造成不利后果，從而降低威脅等級。有些人認為這是預防性控制的一個子集。

3.2預防性控制

預防性控制加強了系統對事件的處理，通常是通過減少即使不是實際消除漏洞。例如，云用戶的強認證使未經授權的用戶訪問云系統的可能性降低，并且更有可能確定云用戶。

3.3偵探控制

偵查控制措施旨在對發生的任何事件進行適當的檢測和反應。在發生攻擊事件時，偵察控制將發出預防或糾正控制信號來解決問題。系統和網絡安全監控（包括入侵檢測和預防安排）通常用于檢測對云系統和支持通信基礎設施的攻擊。

3.4糾正控制

糾正性控制通常通過限制損害來減少事故的后果。它們在事件期間或之后生效?；謴拖到y備份以重建受損系統是糾正控制的一個例子。

4云安全的維度

通常建議根據風險比例選擇和實施信息安全控制措施，通常是評估威脅，脆弱性和影響。云安全問題可以以多種方式進行分組：Gartner命名為7，而云安全聯盟確定了14個關注領域。云訪問安全代理（Cloud Access Security Broker，CASB）是位于云服務用戶和云應用程序之間的軟件，用于監視所有活動并執行安全策略。

4.1安全和隱私

身份管理。每個企業都有自己的身份管理系統來控制對信息和計算資源的訪問。云提供商或者將客戶的身份管理系統整合到他們自己的基礎設施中，使用單點登錄（ SingleSign On，SSO）技術，或者基于生物識別的身份識別系統，或者提供自己的身份管理系統。例如，CloudID提供了隱私保護云和跨企業生物識別。它將用戶的機密信息鏈接到他們的生物識別信息并以加密方式存儲。利用可搜索的加密技術，在加密域中執行生物特征識別，以確保云提供者或潛在的攻擊者不能訪問任何敏感數據甚至個別查詢的內容。 物理安全。云服務提供商在物理上保護IT硬件（服務器、路由器、電纜等）免受未經授權的訪問、干擾，盜竊、火災、洪水等，并確保必要的電源（如電力）足夠強大，以最大限度地減少中斷的可能性。這通常是通過提供來自“世界級”（即專業指定、設計、構建、管理、監控和維護）數據中心的云應用程序來實現的。

人員安全。與云服務相關的IT和其他專業人士所擔心的各種信息安全問題通常通過預先安排，準時安排以及安置后安排，例如安全篩選潛在招聘人員，安全意識和培訓計劃，積極主動地處理。 隱私。提供商確保所有關鍵數據（例如信用卡號碼）都被屏蔽或加密，只有授權用戶才能訪問整個數據。而且，數字身份和證書必須像提供商收集或產生的有關云中客戶活動的數據一樣受到保護。

4.2數據安全

許多安全威脅與云數據服務有關，不僅包括網絡竊聽，非法入侵，拒絕服務攻擊等傳統安全威脅，還包括側通道攻擊、虛擬化漏洞、濫用等特定的云計算威脅的云服務。 數據保密性是數據內容不能提供或泄露給非法用戶的財產。外包數據存儲在云中，并且不受所有者直接控制。只有授權用戶可以訪問敏感數據，而其他用戶（包括加密服務提供程序（Cryptographic Service Provider， CSP））則不能獲得任何數據信息。同時，數據擁有者期望充分利用云數據服務，例如數據搜索.數據計算和數據共享，而不會將數據內容泄露給CSP或其他對手。

訪問可控性意味著數據所有者可以對外包給云的數據執行選擇性的訪問限制。所有者可以授權合法用戶訪問數據，而其他用戶則可以在沒有權限的情況下訪問數據。此外，希望對外包的數據執行細粒度的訪問控制，即不同的用戶應該被授予關于不同數據片段的不同的訪問權限。訪問授權必須僅由不受信任的云環境中的所有者控制。

數據完整性要求保持和確保數據的準確性和完整性。數據所有者總是期望云中的數據可以被正確和可信地存儲。這意味著數據不應該被非法篡改、不恰當地修改、故意刪除或惡意捏造。如果任何不良操作損壞或刪除數據，業主應該能夠檢測到腐敗或損失。而且，當外包數據的一部分被損壞或丟失時，數據用戶仍然可以檢索到[3]。

5結語

本文對云計算安全的相關概念進行了總結，并分析了影響云計算安全的因素，根據實際經驗提出了安全管理的方法。隨著云技術在生活中的應用日益廣泛，云計算安全也引起了人們更多的關注。只有做好云計算安全的預防和管理工作，才能使云技術真正發揮其價值，為社會的發展作出貢獻。

[參考文獻]

[1]劉思皖.云計算安全模型與管理[J]電子測試，2017 （22）：85-88.

[2]拱長青，肖蕓，李夢飛，等.云計算安全研究綜述[J].沈陽航空航天大學學報，2017 （4）：73-75

[3]李振東.云計算安全淺析[J]電信科學，2015 （12）：36-38