大數據背景下云計算安全服務的構建模式研究

郭 鵬

（安徽電子信息職業技術學院 安徽 蚌埠 233030）

0.引言

信息技術的飛速發展，傳統計算機技術和互聯網技術的融合也變得越來越深入，這也使云計算成為其重要的融合產物。 云計算是近年來一種新興的計算模型，目前國際上對于云計算還尚未進行統一的定義， 雖然各個機構及專家學者都對云計算的定義進行了相關闡釋，但其核心思想卻是將若干個計算實體進行整合，從而使其成為具有強大計算能力的計算機系統。 云計算平臺具有多種服務模式，如Saas、laaS等，通過這些服務模式的切換，能夠充分發揮其強大的存儲與計算能力，進而為用戶提供靈活、便捷的服務內容。 不過，由于計算機網絡具有開放性特點，這也使越來越多的人們開始關注云計算的安全服務問題。因此，如何構建一個合理的云計算安全服務模式，也已成為諸多專家與學者致力研究的熱門課題。

1.云計算安全服務中面臨的安全威脅

當前，云計算安全服務過程中面臨著許多安全威脅，這些安全威脅主要體現在以下方面：其一是數據泄漏，由于云計算安全服務為分布式結構，其所具有的開放性特點增加了數據泄漏的安全風險，當多個用戶利用云計算進行資源共享時，用戶是不能對數據在計算和存儲時存在的風險進行有效控制的，而云平臺也很難為用戶提供相應的資源安全保障，因此，做好云服務商的內部安全管理工作，加強安全審計， 以此防止多用戶在云計算環境下進行資源共享時潛在風險的發生，也已成為云計算使用用戶迫切需要解決的問題；其二，數據丟失也是一大安全威脅，造成數據丟失的原因有很多，如黑客攻擊、服務器發生損壞等，都可能會造成數據丟失，從而給用戶造成不可估量的損失；其三是數據劫持，數據劫持是近年來新出現的一種安全威脅，黑客會通過劫持賬號或服務流量來進行竊聽、詐騙等不法活動，為了避免數據劫持的發生，用戶就必須要重視賬號登陸信息的保護，并由云計算服務商采取安全性更高的技術手段；其四是不安全接口，黑客可通過接口來攻擊云計算網絡；其五是拒絕服務攻擊，這種安全威脅能夠剝奪用戶對云計算中資源的訪問權限， 增加延遲， 或利用網絡漏洞對Web 服務器及云資源發起攻擊；其六是云服務濫用，部分非法人士會通過某些特殊手段對云計算中的資源進行非法獲取及攻擊，面對這種安全威脅， 云服務提供商必須要做好云計算服務的規范管理工作；其七是審查缺失，由于云服務提供商疏于管理，會造成審查缺失，而審查缺失又會引發一系列的安全風險。

2.云計算安全服務的構建模式分析

對于云計算安全服務來說，必須要采用多種有效的安全防護技術來防范上述安全威脅， 以此構建一個高效的云計算安全服務模式，這樣才能滿足云計算用戶、服務商及運營商等的安全需求，有效抵御各種安全風險的發生。

2.1 Eucalyptus 云計算安全服務模式

Eucalyptus 云計算安全服務模式是由美國加州大學進行研發的，該安全服務模式作為一種開源云平臺， 在模式構建上是以業務維、環境維、數據維以及用戶維四個維度作為出發點的，環境維主要包括網絡安全、設備安全以及運行安全三個方面，該維度是從整個云計算的環境出發，通過上述三個方面來確保云計算的所處環境安全。 而在環境維中又包括用戶維、數據維與業務維，用戶維包括訪問控制、信任管理以及單點登陸，用戶維是將用戶的使用安全作為目標來實現安全管理的。而數據維則包括數據備份、數據加密以及數據遷移，在云計算平臺中，會產生各種各樣的數據，只有確保數據安全，才能有效防范各種安全風險的發生。而業務維則包括負載均衡、日志管理、任務控制以及資源監控，業務維是將云計算平臺所提供的業務服務作為安全保障目標的。

2.2 SOA 云計算安全服務通用模式

SOA 云計算安全服務模式是一種面向服務的通用型模式，該服務模式將若干個具有不同功能的應用程序，利用相應的接口與協議來建立聯系，從而使云計算平臺能夠通過調用這些應用程序向用戶提供不同的服務功能。用戶也可通過對所需服務進行定制來實現云計算安全功能模塊的有效整合， 進而更好的滿足云計算用戶的安全使用要求。在SOA 云計算安全服務模式中， 共包括三種子模式， 分別是SaaS、Paas 以及laaS，其中，SaaS 是將應用軟件作為服務，根據用戶需要來頒發許可證， 該模式采取基礎設施即服務的方式來構建安全組件。 而PaaS 則是對中間件服務-應用服務器、Web 服務器以及數據庫服務器進行優化，該模式采取平臺即服務的方式來構建安全組件。 IaaS 則是指虛擬化服務器、存儲與網絡，其采取軟件即服務的方式來構建安全組件。SOA 云計算安全服務模式是根據這三種子服務模式來對安全組件進行構建的，用戶可根據自身所需來對相應的安全服務組件進行選擇，從而構建獨立的安全服務模式。

2.3 云計算安全服務

云計算安全服務是由我國教授馮國登所提出的一種參考模式，該安全服務模式主要包括技術、服務與支撐服務三個方面，這三個方面彼此之間存在著相互影響、相互關聯的關系。其中，技術方面是將隱私保護服務以及數據安全服務作為目的的，以此分析上文中三種子服務模式的技術層次需求。 對于云計算安全服務體系來說，其包括大量的云安全服務，依據這些云安全服務的所屬層次進行劃分，可將其分為云計算安全應用服務、云計算基礎設施服務以及云計算安全基礎服務三類。云計算安全支撐服務則包括云服務安全質量、目標及評測、云安全服務功能評測以及云安全服務等級劃分與評測三個方面的內容，其能夠為云計算安全服務提供可靠的支撐技術。

3.云計算通用安全服務模式的構建

現階段，國際尚未統一云計算的安全服務模式框架，這也使不同機構在對云計算安全服務模式進行構建時，都是從不同角度來進行開展的。 本文結合上文中所提到的安全服務模式，構建了一種新型的輕量級、強通用的云計算安全服務模式。 該云計算安全服務模式構建兩個層面的域，分別是云服務域與云用戶域，這兩個域分別針對云計算安全服務提供商與云計算用戶。在云服務域中，需要從業務層級、適用層級兩個角度來深入剖析所有應用到的關鍵安全技術，對于能夠在不同層次中進行通用的安全策略，可將其稱之為通用安全，如果不能在各層次中進行通用的安全策略，則將其稱之為個性化安全。 對于個性化安全來說，在細化個性化安全的層次上，需要按照上文中所提及的三種子模式來進行， 即SaaS 應用安全、PaaS 平臺安全以及InnS 基礎設施安全，SaaS 應用安全是為了確保多租戶安全與應用程序安全。 在應用程序安全中，還包括身份鑒別、訪問控制、剩余信息保護以及安全審計等，多租戶安全則包括物理隔離與數據隔離等。而PaaS 平臺安全則是為了確保分布式數據的利用安全、接口的使用安全以及數據庫的使用安全。 其中，分布式數據的利用安全主要涉及到分布式數據是否經過備份、數據是否完整性、數據是否具有數字簽名以及是否經過安全認證等。 InnS 基礎設施安全是針對網絡的使用安全、主機的使用安全、接口的使用安全、物理層面安全以及虛擬化層面的安全。物理安全涉及到云計算安全服務的物理位置、 云計算硬件設備的溫濕度控制、物理硬件設備的電磁防護措施、設備電力供應是否穩定等。 網絡的使用安全涉及到網絡結構是否安全，是否對網絡的訪問進行控制，網絡邊界是否完整、網絡入侵檢測功能、用戶身份鑒別、惡意代碼攻擊防范等。 主機的使用安全則涉及到主機在受到入侵時是否具備防護功能、主機是否進行安全審計、主機資源是否進行合理控制等。 虛擬化層面安全則涉及到服務器虛擬化是否安全、軟件的虛擬化是否安全以及服務器的虛擬化是否安全。 此外，SaaS 應用安全、PaaS 平臺安全以及InnS 基礎設施安全都需要進行加密與密鑰管理、 身份識別與訪問控制、災備與業務連續性、數據隔離、安全審查以及政策法規等。 而云用戶域則是為了確保終端設備與用戶身份的安全性進行劃分的，用戶可自行制定關于該層面的安全策略。

4.結語

總而言之，隨著云計算在各個領域中的普及與應用，云計算在服務過程中的安全問題也日益受到人們的關注，通過構建一個合理的云計算通用安全服務模式，能夠有效防范各種安全風險的發生，從而確保云計算平臺各項服務功能的順利開展。