云監控服務下監控數據面臨的安全風險與對策分析

劉 偉 徐 雷 陶 冶

中國聯通研究院 北京 100176

引言

隨著云計算技術的不斷演進，云計算平臺規模不斷擴大，云系統的安全平穩運營問題日益凸顯，木馬、病毒、惡意代碼等安全問題日趨嚴峻，各種云平臺崩潰、用戶數據泄露事件層出不窮。2011～2012年，全球最大的公有云平臺亞馬遜AWS共發生4次因運維不當造成的大面積宕機事故，導致云平臺長時間無法恢復工作并且造成大量用戶數據丟失。2013年12月，我國電商領域爆發用戶泄露事件，支付寶用戶信息大量泄露，泄露用戶總量達2500萬，涉及京東、支付寶和當當網等電商企業。

針對云平臺安全運維問題，各國政府、國際組織均十分重視，并采取相應措施。國際方面，歐美國家相繼出臺云計算運營管理要求，著名國際組織ITU于2013年發布云計算端到端管理框架，對云平臺資源管理提出嚴格要求。

由于云平臺具有資源虛擬化、多租戶環境等特點，針對云平臺的安全運維管理相較于傳統IT系統難度大增。云計算平臺安全運維管理主要存在以下難題。

1)云平臺資源數量巨大。

虛擬化技術可大大提高資源使用效率與靈活度，但同時極大提升了云平臺運維管理難度。相比于傳統IT系統，云計算平臺的虛擬機、虛擬存儲等資源在數量上約為傳統物理服務器、存儲設備的10倍以上。據統計，亞馬遜云平臺AWS有超過200萬虛擬資源，國內最大的公有云平臺之一阿里云大約有數萬臺彈性云計算服務器。

2)云平臺資源種類眾多。

主流云計算平臺內包括虛擬機、分布式數據庫、對象存儲、文件存儲、應用托管平臺、虛擬網絡設備、虛擬安全設備等，每一類云計算資源均需要不同的監控技術，對其關鍵指標進行管理。另外，需要對重要資源采取漏洞掃描、合規性檢查等手段，保證云系統平穩運行、用戶數據安全存儲。

3)云平臺面向多租戶。

云系統面向眾多企業內外用戶與管理員，如何在對資源安全監控的同時，保障各級用戶的隱私數據安全，是云服務提供商在進行云安全運維時需解決的關鍵問題。

4)監控即服務、安全監控即服務正在成為熱點。

2014年，著名云監控企業New Relic上市，面向用戶提供應用級的監控云服務正在成為熱點。云監控平臺在提供服務的同時，用戶數據隱私與數據安全問題仍不規范。而針對這些問題，目前國內業界也尚無云安全運維管理相關安全標準，以規范云環境下數據庫的安全運維。

因此，為保障國內云計算平臺安全平穩運營，保障產業鏈企業成員、用戶數據安全，有必要對云計算平臺的運維現狀、特性開展安全調研，梳理主流云資源的安全監控與管理技術，歸納總結云監控服務下監控數據面臨的潛在安全挑戰和安全威脅，研究當數據面臨某種安全威脅或挑戰時，應建立的安全解決方案，提升數據的安全性。本文的研究成果對云計算平臺的安全運營具有重要的現實意義。

1 云監控技術概述

1.1 云監控技術

云監控服務是指針對云計算用戶的監控服務。通過與云計算平臺的整合，針對網絡、系統、應用等內容提供可用性、用戶體驗和安全性方面的監控服務[1]，保障云計算用戶的業務穩定安全運行。當服務器發送故障時，及時給網站管理人員發送郵件和短信報警，第一時間了解網站狀態，將故障時間降低到最小。同時也提供其他服務，例如追蹤用戶訪問網站的速度、協助用戶判斷故障原因等。如無特殊說明，本文內的云監控均指公有云環境下的監控。

云監控在整個云安全環節發揮著不可或缺的作用，它可以有效幫助云服務提供商盡快發現并解決問題。但是在云監控服務過程中，需要保存大量的云用戶資產運營數據及個人數據，這使得云監控服務也會涉及用戶數據隱私問題。因此，在提供監控服務的同時，研究監控數據本身面臨的安全威脅、風險以及解決策略對云計算的發展具有重要意義。

1.2 云監控服務類型

在云計算環境下，監控數據可分為必要性監控數據和可選性監控數據。必要性監控數據是指管理系統、物理資源、虛擬化資源和網絡的監控數據等，選擇性監控數據是指存儲資源、虛擬機、虛擬網絡和安全事件等的監控數據。

因此，云監控服務可分為必要性云監控服務和可選性云監控服務，如圖1所示。必要性云監控服務主要由云服務提供商使用，保障云平臺的穩定性、安全性。可選性云監控服務主要由云用戶使用，為用戶在云平臺的各類資源、服務以及部署在云平臺上的各類應用提供增值云監控服務。此外，云服務提供商也可以使用可選性監控數據來滿足自身服務水平協議(SLAs)[2]。例如，云服務提供商可以使用數據庫即服務(DBaas)[3]監控數據，來保障云數據庫資源和服務的安全、穩定性。

圖1 公有云監控服務類型

1.3 監控數據生命周期

監控數據全生命周期主要包括以下8個階段。

1)監控數據收集階段：主要是通過數據存儲服務器獲取數據的過程，大多數監控數據是由云用戶使用云服務創建的。此外，其他云監控服務活動也可以創建必要的監控數據。

2)監控數據存儲階段：創建監控數據集后，這些監控數據可以存儲在本地云用戶的云資源內，也可以存儲在云服務提供商的監控數據存儲服務器內。

3)監控數據使用階段：監控數據可通過云服務提供商用于維護云平臺和云服務的性能和安全性，還可用于維護云用戶的云資源性能和安全性。

4)監控數據遷移階段：如果云資源需要遷移時，監控數據可以與云資源一起遷移。

5)監控數據分析階段：云服務提供商和云用戶可以對監控數據進行分析，以了解云平臺資源的狀態，以便更好地管理和保護它們。

6)監控數據呈現階段：為了更好地管理SLA和云安全，監控數據收集后，建議將監控數據有效地展示出來，同時，由于云監控數據的數量可能非常大，因此建議云服務提供商或云用戶以可管理且易于理解的方式匯總這些數據。

7)監控數據銷毀階段：云服務提供商需要根據云用戶的要求對監控數據進行銷毀，同時，如果數據不再需要監控時，云服務提供商亦可自主選擇銷毀。

8)監控數據備份階段：監控數據的備份是十分必要的，它能夠防止系統出現操作失誤或系統故障導致數據丟失。

1.4 國內外研究現狀

云計算技術的發展在國外起步較早，云監控服務也是由國外最先關注。隨著云計算服務的日益成熟，各企業在使用云計算技術的同時，也開始關注、使用云監控服務，由此帶來了云監控市場的崛起。

目前國外有許多開源的監控產品，如Zabbix、Ganglia、Nagios等[4]。其中Zabbix是一個相對成熟的監控系統，可以進行主機的性能監控、網絡設備性能監控以及FTP等通用協議的監控，它支持將采集的數據持久化地存儲到數據庫中[5]。Ganglia一般用于監控大規模分布式系統的性能，如內存、CPU和磁盤的利用率、網絡流量等。Nagios則是一款面向服務和網絡狀態的監控工具。

國內的云監控目前主要分為兩種形式：針對自身云平臺提供的監控以及對外提供監控服務。針對自身云平臺監控的產品主要有騰訊云監控、阿里云監控等，對外提供監控服務的產品主要有360監控服務等。

通過上述研究可知，云監控產品經過近年來的發展，已經日趨成熟，云服務提供商在提供計算、存儲、網絡等資源外，也提供了云監控服務。但與此同時，在使用云監控服務時，監控數據面臨著很多潛在的安全挑戰和安全威脅，如監控數據濫用、泄露等。目前，監控數據的安全性問題還未得到應有的關注，相應的研究甚少。因此研究監控數據可能面臨的安全威脅或挑戰，以及應對的方案，是非常必要的。

2 云數據監控面臨的潛在信息安全風險分析

由于云數據既有傳統數據的通用特性，又有自己獨特的特點，因此，云數據除了包含自己特有的安全威脅和挑戰外，也會面臨和傳統數據一樣的安全威脅和挑戰，例如：內部威脅、司法沖突、自然災害、盜用知識產權、數據丟失和泄露以及服務不可用等。這些通用安全威脅與挑戰本文將不再重點介紹，將重點分析云數據在自己的生命周期不同階段內所面臨的安全挑戰和威脅。

2.1 數據收集階段的安全威脅與安全挑戰

1)未授權的數據采集：云服務提供商或其他攻擊者可以未經云用戶的許可或授權就私自采集其數據。

2)接口漏洞：如果平臺、系統等存在未知的接口漏洞，那么這些接口漏洞很有可能會被某些攻擊者利用，監控數據則面臨巨大的安全威脅。

3)欺騙：攻擊者可以偽裝成云監控服務的管理系統，或數據存儲服務器，從而對云用戶進行欺詐，采集其數據，這將導致嚴重的數據丟失和泄露。

4)未授權訪問：如果云服務提供商的監控數據收集系統或云用戶系統被未經授權的人訪問，則很可能導致監控數據的丟失。例如，攻擊者利用云用戶的系統漏洞獲取系統的未授權管理訪問權限，將監控收集目標IP地址修改為自己的IP地址，進而獲取到用戶的監控數據。

2.2 數據使用階段的安全威脅與安全挑戰

1)數據濫用：云服務提供商可以使用監控數據來維護SLA和云計算平臺、資源的運行，但是云服務提供商也可能未經用戶許可或授權，將用戶的監控數據用于其他目的，尤其可能用于其他商業目的，造成用戶數據的濫用。同時，云服務提供商或云用戶的內部員工也可能會濫用云用戶的監控數據。

2)竊聽：監控數據可能會被攻擊者竊聽，從而導致監控數據的泄露。

3)系統漏洞：系統漏洞很可能導致監控數據在使用階段丟失。

2.3 數據存儲階段的安全威脅與安全挑戰

1)數據丟失和泄露：由于在公有云服務環境下，通常是多租戶，因此數據的丟失或泄露對云用戶和云服務提供商都會造成嚴重的后果。造成數據丟失和泄露的原因有很多，例如加密密鑰丟失或泄露，驗證碼、訪問權限等加密信息的不適當管理，身份認證、授權和審計控制不足，加密、解密身份驗證時，使用的密鑰不一致，操作失敗，數據中心可靠性與災難恢復以及司法和政治問題等。

2)服務不可用：造成服務不可用的主要原因包括Dos攻擊或DDos攻擊，以及監控數據存儲服務器硬件損壞等問題。

2.4 數據遷移階段的安全威脅與安全挑戰

1)數據濫用：在實際環境中，監控數據很有可能需要在不同的物理位置之間進行遷移，這就涉及到監控數據被傳輸到不同的位置，因此，遷移階段不允許數據被濫用是極為重要的。

2)數據篡改和攔截：監控數據遷移階段，數據要被傳輸到其他不同的物理位置，因此，攻擊者可以使用中間人攻擊或其他網絡攻擊技術來篡改和攔截監控數據。

3)偽裝與欺騙：攻擊者可能會偽裝成云監控服務的管理系統或者監控數據存儲服務器，從而對云用戶或云服務提供商進行欺騙行為，盜取或濫用數據。

2.5 數據分析階段的安全威脅與安全挑戰

1)數據泄露：在數據分析階段，監控數據很有可能被泄露，從而導致云用戶的商業機密信息或個人隱私數據被泄露。

2)系統漏洞：攻擊者可以利用監控數據分析系統的漏洞進行攻擊。

3)Dos攻擊：由于監控數據分析階段具有更大的潛在價值，因此此階段也是攻擊者較為感興趣的階段，攻擊者很有可能對監控數據分析服務器進行Dos攻擊或DDos攻擊。

2.6 數據呈現階段的安全威脅與安全挑戰

1)數據誤用：在監控數據顯示期間，云服務提供商可能在沒有獲得云用戶的許可下，就呈現其數據，從而泄露云用戶的數據。

2)虛假呈現：監控數據呈現階段，為了數據的“美觀性”、“嚴重性”等商業目的，很有可能存在監控數據的虛假呈現問題。

3)外部接口漏洞：由于監控數據呈現階段一般都會使用某些外部接口，這就使得監控數據面臨的風險也隨之增加，并且由于外部接口具有不完全可控性，大多對外部互聯網開放，因此，外部接口漏洞幾乎是系統暴露在最外圍的部分。

2.7 數據銷毀階段的安全威脅與安全挑戰

1)偽裝與欺騙：攻擊者可能會偽裝成云監控服務的管理系統，欺騙用戶的用戶名、密碼等信息，在監控數據銷毀階段，攻擊者通過將監控數據傳輸至其他服務器等方式，從而欺詐用戶已經將所有監控數據銷毀。

2)操作系統漏洞：如果操作系統出現漏洞，那么在監控數據銷毀階段，很有可能存在部分數據無法徹底刪除，或被攻擊者利用，造成數據丟失。

2.8 數據備份階段的安全威脅與安全挑戰

云監控數據在備份階段，面臨的安全威脅和挑戰如下。

1)操作系統漏洞：如果在監控數據備份階段出現操作系統漏洞問題，那么很可能會造成備份的監控數據不可用、丟失等問題。而當監控數據出現問題需要使用備份的監控數據時，備份數據不能恢復出原始數據，則將造成嚴重的、不可挽回的后果。

2)非定期備份：監控數據需要根據數據重要程度設置合理的備份周期。如果監控數據沒有做到定期備份，那么很有可能在自然災害等災難時間發生后無法依靠技術進行恢復。

3 解決方案分析

3.1 監控數據加密、隔離存儲

加密是保護云監控數據安全性的關鍵，一般來說，云監控數據安全存儲的加密系統包括數據處理、數據驗證，令牌生成、憑證驗證等功能模塊[6]，數據處理模塊主要負責數據處理、數據驗證、輸入數據歸類存儲等，一般認為數據處理模塊是保障數據完整性的關鍵。令牌生成模塊主要負責數據分塊、加密和編碼等操作。由于數據在存儲之前進行了加密處理，但在一定程度上，數據加密存儲也增加了數據查詢的難度，因此，建議云用戶和云服務提供商使用支持查詢的云數據加密存儲技術來解決數據查詢的問題，既能夠實現通過關鍵字查詢數據，又提高了數據的安全性。

同時，由于監控數據的真實性和私密性，云服務提供商和云用戶必須要保證這些私有監控數據的隔離存儲安全[7]。提升監控數據的隔離存儲安全主要包括兩種方式，其一是監測和限制用戶之間的相互通信和資源共享，不斷提升和完善用戶認證技術，避免存在非法利用資源共享竊取信息的行為；其二是加強數據安全的管理，包括制定相關法律法規、相關標準等。

3.2 加強身份認證和訪問控制

在云監控服務中，為了應對復雜的云環境，云服務提供商和云用戶需要運用安全有效的訪問機制和身份認證、識別等技術來控制權限，保障不同類型數據信息內容的完整性和隔離性。云計算平臺需要建立一個統一的身份認證和權限管理系統，進行身份認證、統一授權訪問管理。目前，身份認證的方法依據身份標識的不同，大體上可以分為基于信息秘密的身份認證、基于信任物體的身份認證和基于生物特征的身份認證[8]。同時，建議加強賬號管理，例如要求同一賬號同一時段只能在一個終端上操作，以增強監控數據的可控性和安全性。

訪問控制是指確認身份后，要根據不同的身份類型設置不同的系統資源訪問權限，以實現不同身份合法用戶訪問指定的有限制的信息資源，防止未授權身份訪問信息資源。

3.3 提升數據銷毀和恢復技術

由于監控數據在銷毀階段也面臨著較多的安全威脅與挑戰，因此，云用戶和云服務提供商應提升自身的數據銷毀技術，例如，提升銷毀速度，避免監控數據在銷毀過程中由于不受保護而被非法竊取；再者加強數據銷毀處置的徹底性，目的是既要保障監控數據的安全性，又要為監控數據的存儲節約空間。

目前常用的數據銷毀策略包括：重復使用磁盤前先做覆蓋存儲資源處理，確保之前的數據不可復原；磁盤報廢時進行消磁處理，消磁過程建議全程視頻監控。

除了要提升數據銷毀技術，還要提升數據恢復技術，數據恢復技術在重要數據被非法竊取或篡改后將發揮重大作用，將丟失或遭到破壞的數據還原為正常數據，從而提高云監控數據的安全性。

3.4 監控數據容災備份

為應對突發的云計算平臺的系統性故障或災難事件，無論監控數據存放在何處，云服務提供商和云用戶都應該慎重考慮數據丟失風險，對數據進行備份，以備丟失時進行快速恢復。目前國內外常用的數據備份技術主要包括了基于HDFS分布式文件系統的冗余存儲技術[9]和異地備份機制兩個方案。基于HDFS分布式文件系統數據冗余的數據容災技術屬于典型的以物理空間換取安全性的做法，其技術實現難度和成本都不是很高。異地數據備份需要在異地搭建一個或多個數據備份中心，并通過廣域網通信等技術實現本地備份中心、異地數據備份中心和本地數據之間的實時更新和同步處理。

3.5 非法入侵檢測防范

由于監控數據在生命周期內的很多階段都有可能受到網絡攻擊，因此在云監控平臺中必須要采用一些應對網絡安全問題的解決方案，例如基于IDS入侵檢測技術等。IDS入侵檢測系統技術是指按照一定的安全策略，對網絡和系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或攻擊后果，以保障網絡系統資源的機密性、完整性和可用性。

同時，由于近年來針對云平臺的Dos或DDos攻擊事件增多，因此通常在采取IDS等網絡安全管理組件之外，還需要設置針對Dos或DDos攻擊的解決方案，例如設置冗余服務器、冗余鏈路或寬帶維持等技術。

3.6 提升監控數據安全傳輸能力

在監控數據收集、遷移等階段，數據的網絡傳輸是不可避免的，因此，提升監控數據的安全性是非常重要的，涉及的方案較多。例如，監控數據加密傳輸，加密可以選擇在鏈路層、網絡層、傳輸層等層面實現。而對于管理數據的加密傳輸，可采用SSH、SSL等方式為云監控平臺的內部維護管理提供安全通道。對于云用戶數據加密傳輸，則可以采用VPN等技術。

此外，還可以通過使用安全的數據接口、標準的網絡數據傳輸協議、日志和審計等方式來提升監控數據的安全傳輸能力。

4 總結

結合以上研究內容可知，監控數據生命周期的不同階段主要面臨的安全威脅與安全挑戰并不同，因此需要關注的重點方向、使用的安全技術亦不同，如表1所示。

表1 監控數據各階段與安全關注重點映射表

云監控作為云平臺日常重要維護管理手段，對保證云平臺的安全運行，保護云用戶的資產及數據安全具有重要意義。然而由于信息安全技術的滯后性，目前在云服務提供商提供監控服務的同時，用戶隱私數據或監控數據面臨著較多的安全風險和安全威脅。因此，在提供或使用云監控服務時，應在安全和效益之間做好權衡。同時隨著信息安全技術的發展，多種安全技術逐漸成熟，最終使得云監控服務下監控數據所面臨的安全風險達到可控。

隨著云監控服務市場的崛起，云監控將在云計算行業內發揮重要作用。未來云監控服務將進一步實現監控預警自動化、監控數據安全性保障等。