云安全審計及相關文獻述評

陳希暉（副教授/博士） 侯良格（南京審計大學政府審計學院 江蘇南京 211815）

一、引言

審計人員與信息安全人員對“云審計”的看法各有不同，審計人員將云審計理解為借助云計算、大數據等技術提高審計取證的效率與質量，信息安全人員則認為云審計是指對“云”中利益相關者交互關系的審計。從技術上看，將“審計技術”搭載在云端的模式早已能夠實現，但困擾云審計發展的還是安全問題。云審計不僅僅是利用“云”進行審計工作，更需要將“審計思維”——監督機制，運用在云計算安全問題上，實現對云數據存儲、隱私安全、操作過程及基礎設施合規性的審計驗證。

云存儲作為云計算不可或缺的一部分，以多租戶的服務模式為個人和組織提供大規模、分布式的存儲服務。公有云存儲憑借規模效應、彈性可擴展、經濟高效的優勢吸引著云用戶將數據外包給云供應商管理。但當我們只關注數據安全性時不難發現，數據外包雖然減輕了數據所有者（云用戶）本地存儲和維護的負擔，但同時也弱化了云用戶對數據的物理控制。由于數據異地存儲的特性，云服務器上的數據時刻面臨著內部和外部的攻擊，數據的完整性、機密性、可用性可能遭受嚴重的損害，傳統的本地數據安全保護措施已不可直接使用。

云安全審計模式分為私有審計和第三方審計。兩種審計模式的區別在于，私有審計是云用戶自己檢驗數據的完整性，只涉及云服務用戶和云服務供應商兩類實體。第三方審計主要涉及云用戶、云服務供應商以及可信的第三方審計機構（TPA）三類實體。由于私有審計對用戶端計算能力要求極高且通信開銷十分巨大，現實可行性較低；第三方審計則憑借獨立客觀、高效專業、經濟便捷的優勢廣受青睞。TPA是受云用戶和云供應商信任的第三方機構，面對海量數據擁有用戶所不具備的計算能力，云用戶將數據完整性審計需求委托給TPA，TPA接受審計委托后，代表云用戶對云數據、云供應商進行審計驗證。第三方審計過程可以大致描述為，云用戶預處理數據并生成數據標簽后上傳數據到云端服務器中，TPA獲取用戶授權后從云服務器獲取待測數據并對該數據進行完整性檢驗，最后將檢驗結果發送給云用戶。

國內外學者就如何審計云存儲安全問題進行了大量的研究。本文將從數據、云用戶、云供應商三方面對現有云安全審計方案進行歸納分析，并以審計對事件的干預進程為視角，對云安全審計的未來研究進行展望。

二、云安全風險及審計需求分析

（一）云安全事故。Cybersecurity Insiders發布的全球《2020年云安全報告》稱，隨著公有云業務的不斷擴大，云服務的安全性是企業或個人采用云存儲的首要考慮因素，然而由于相關安全措施的滯后，導致云安全事故頻發，大多數（69%）組織和用戶對云安全狀況完全沒有信心或僅有中度信心。表1為2020年云安全聯盟CSA發布的《云計算的11類頂級威脅》 （中文版）提出的11類云安全主要威脅。表2列舉了近年云供應商安全事故。

表1 云安全聯盟列舉的11類云計算安全威脅

表2 云供應商安全事故

（二）云安全風險及審計需求分析。云安全主要是指數據存儲、加密、傳輸、訪問安全，即保證數據的完整性、機密性、可用性。第三方審計機構開展云安全審計時，必須依據風險導向審計的原理，從這三個方面認真分析云安全風險，明確審計需求并制定相應的審計方案。

首先，對云數據的安全審計需重點關注完整性與機密性。云存儲服務中數據所有權和管理權分離，使得云端數據安全面臨極大的威脅。一方面，軟件硬件故障、外來黑客侵入、內部人員篡改、刪除數據等破壞行為會嚴重損害數據的完整性；另一方面，用戶加密意識薄弱，云供應商可能為求牟利出賣用戶隱私信息，嚴重損害云用戶信息的機密性。

其次，對云用戶的安全審計需重點關注機密性。云存儲采用多租戶技術（多個租戶共用同一塊存儲介質），盡管云供應商會提供一些數據隔離技術（如身份授權訪問控制）來防止不同用戶間非授權交互訪問，但非授權的訪問仍可能利用系統漏洞實現。因此，為保證機密性還需對用戶實施身份訪問控制、日志審計和身份追溯性審計。

再次，對云供應商的審計主要目標需重點關注可用性、機密性和隱私性。由于云用戶和云供應商之間存在信任博弈，審計人員需對云供應商進行安全評估及合規性審計，評價云供應商的服務是否達到安全標準，能夠保證信息資產的持續可用性，以證實云供應商聲稱的安全措施是否可靠。另外，需關注客戶機密信息（含個人信息）的收集、使用、保留、披露和銷毀是否受到所承諾或預設的系統保護，并符合隱私聲明中的承諾以及相關行業組織（如AICPA/CICA）發布的通用隱私原則中規定的標準。

三、云安全審計研究現狀

根據風險導向審計的原則，第三方審計機構需針對云的關鍵風險領域開展云安全審計。完整性審計主要以數據為研究對象，機密性審計需兼顧數據安全和用戶身份隔離，因此以數據和用戶為研究對象；可用性審計則以供應商為主要研究對象。因此本文選取數據、云用戶、云供應商作為研究對象，對現有云安全審計研究進行述評。

（一）數據安全審計。云審計最早的研究是對云數據的完整性進行遠程檢驗，審計人員或用戶通過某種協議或算法驗證服務器中的數據完整性，即數據是否被篡改、刪除或丟失。特別地，由于網絡傳輸的成本十分昂貴，將云中所有數據下載并審計驗證并不是經濟可行的審計方案。理想的第三方審計方案應具有以下功能特性：

1.數據批處理。數據批處理是指支持同一時間處理多個審計請求。Wang（2010）［1］［2］提出了支持數據批處理的完整性審計方案。該方案的優點在于無需獲取數據本身、利用雙線性聚合簽名技術支持批量審計，但卻沒有較好地解決云用戶隱私保護問題。Wang（2011）［3］基于哈希樹提出支持動態數據更新、數據批處理的完整性審計方案，但只適合存儲中小型文件，文件越大，該方案的審計開銷越大。在此基礎上，秦志光（2015）［4］通過引入分層索引結構優化哈希樹，成功節省了審計人員的通信開銷。

2.數據動態更新。對于數據動態更新的支持方面，秦志光（2015）［4］發現通過降低哈希樹的高度，可以實現多粒度的動態操作。但隨著數據增多，哈希樹結構越趨復雜，審計效率也隨之降低。周堅等（2019）［5］認為，由多審計實體組成的區塊鏈審計網絡能夠解決單點失效和計算瓶頸問題。采用變色龍哈希算法和嵌套MHT結構，能實現云數據標簽在區塊鏈上的動態操作，并支持追溯錯誤數據。Li等（2020）［6］提出一種支持數據動態的安全可審計的云存儲方案，輕量級的信息加密操作使得數據外包速度提升了一個數量級并且在檢查數據完整性方面快了兩倍，彌補了傳統云存儲審計方案只審計數據完整性但不支持數據動態功能的缺陷。

3.數據機密性與隱私保護。數據機密性與用戶隱私安全涉及到加密技術、用戶身份授權與驗證，加密技術包括加密算法和密鑰兩大元素。Li（2016）［7］設計了兩個云安全審計系統，即SecureCloud和SecureCloud+。SecureCloud側重審計云數據的完整性，SecureCloud+則更關注保護數據的機密性和隱私數據。Anbuchelian等（2019）［8］對文件加密方法進行創新，使用改進的RSA加密算法（稱為MRSAC算法）生成密鑰。云用戶上傳數據后，將獲得一個私鑰和公鑰以便于安全地檢索數據文件。TPA采用多級哈希樹算法對云數據信息的完整性進行審計驗證。考慮到公有云存儲審計過程中如果TPA是惡意或假裝的，可能在未經許可的情況下威脅數據的隱私安全，Shen（2017）［9］提出了一種新型云存儲審計方案，引入第三方媒介（TPM）替代TPA角色，TPM為用戶生成身份驗證器并代表用戶驗證數據完整性。考慮到數據隱私保護的需求，在數據上傳和數據審計階段使用簡單的操作將敏感信息進行盲化。如此一來只需要確保使用的TPM在有效期內且獲得用戶授權，即可在保證隱私性的前提下進行數據的完整性審計，既可以解決云用戶隱私問題，又可以規避耗時且計算復雜的加密、解密操作。

綜上所述，現有的云安全審計方案及工具在性能上均未能實現理想的輕量級狀態；功能實現方面各有側重，例如有些審計方案支持數據動態更新但不支持批量處理，支持批量處理后又無法節約計算開銷等；從應用角度看，復雜場景的綜合云審計尚有研究空間，如跨云審計、分布式協同審計等。

（二）云用戶安全審計。云計算提供的是租賃共享式的數據集中存儲服務，“共享”特性體現在云用戶是以一個組的形式共享數據塊，作為組內成員，云用戶可以訪問、修改這些共享數據。因此必須實施云用戶之間的安全隔離，即除所有者和授權用戶外的任何人不能訪問、修改數據。保證云用戶間的安全隔離，最基礎的方法包括訪問控制和身份認證機制，例如云中的單點登錄（SSO）、基于角色的訪問控制（RBAC）、基于屬性的訪問控制（ABAC）。Majumdar（2018）［10］利用OpenStack中的攔截檢查方法，審計各種身份驗證和授權插件的正確部署。除了訪問控制、身份授權等事中保護措施之外，對云用戶實施事后審計也很重要。TPA主要從以下兩方面對云用戶實施事后審計：

1.日志審計。云日志記錄了云用戶所有操作活動的過程，是安全事件追溯、取證和責任界定的重要依據。Shetty（2014）［11］等提出了一種審計惡意云租戶的技術，通過IP定位和路由器IP分析技術，根據網絡度量和社會特征等因素確定云租戶真實地理位置，但該方案也忽視了對租戶關鍵隱私信息的保護。趙春曄等（2017）［12］基于用戶行為提出日志分析的審計解決方案，利用改進后的關聯規則挖掘算法實現了云安全審計中隱私數據泄露的追蹤與取證。郭濤敏（2019）［13］進一步利用關聯規則Apriori算法對比挖掘安全日志和用戶行為異常信息，結合典型惡意入侵行為建立預測模型，以高水平的置信策略有效識別云安全事故類型。上述日志審計方法都能夠較為有效地幫助審計人員追蹤或預測惡意租戶信息流的傳播過程。總的來說，日志審計就是集數據采集與存儲為一體，便于審計人員根據日志記錄監控云上的異常行為，及時進行安全分析、行為預測、資源跟蹤、身份追溯等工作。

2.身份追溯性審計。為保護云用戶的隱私安全，目前云存儲共享數據的審計方案都很好地隱藏了組成員的身份，但身份的匿名性也造成同一組的云用戶能夠惡意篡改共享數據而不被發現。一旦數據被篡改，那么能否實現“竊取者”身份追溯就成為審計的關鍵。Wang（2012）［14］提出靈活的分布式存儲完整性審計機制，采用糾刪碼和冗余存儲技術保證數據的正確性和可恢復性。該審計機制適用于有大量數據和任何需要容錯的云存儲系統，驗證數據存儲正確性的同時也能快速追溯錯誤數據塊的具體位置。但該審計機制的不足在于：計算量大、通信成本高；審計次數有限且需預設。金瑜等（2017）［15］提出支持用戶追溯的審計方案，該方案的優點是利用安全中介者代替用戶簽名，支持共享數據塊身份的可追溯，并利用新的數據塊致盲技術，減少用戶端計算量。Tian（2018）［16］提出了不同的解決方案，將數據塊上的身份簽名轉換為組管理員的簽名；采用了隨機屏蔽技術將用戶身份信息適當盲化，保護云用戶的隱私；設計了一個修改記錄表來記錄操作信息，支持身份的可追溯性；擴展動態哈希表以支持數據動態操作，并提出了一種批處理審計策略。該方案集成了數據動態更新、批處理、身份可追溯、隱私保護等多項功能更具實用性。

綜上所述，根據審計方案對事件的干預進程，對云用戶開展的審計主要以事中審計（訪問控制、身份驗證）和事后審計（日志審計、身份追溯）為主。

（三）云供應商安全審計。越來越多的個人和企業正考慮使用云計算服務降低成本提高效率，但由于雙方信息不對稱，不僅云用戶難以確定云供應商提供的服務是否安全合規，而且云服務供應商得不到權威的審計和認證也會流失大量潛在的客戶。因此可信的第三方審計機構能夠代表云用戶對云供應商實施安全合規審計，驗證云服務的可用性以增強預期使用者對云的信任。

1.事后審計。Ismail（2020）［17］提出了一個基于證據的云安全審計框架，利用審計工具自動收集證據并評估云供應商的服務是否符合預先設定的標準，支持識別缺陷、收集證據、糾正措施的跟蹤等一套全面的審計流程以確保云服務的透明度（信息的可訪問性）。由于云計算運營模式不成熟，當前云租戶和云供應商之間的責任界定不清晰，雙方權限沖突時就面臨責任認定和問責問題。Mei（2014）［18］將可信的計算技術與可信的第三方審計結合，既支持事后審計對云服務提供商的問責，又能保護云用戶的利益。

2.事前審計。（1）合規審計。Shetty（2014）［19］提出云審計的兩種關鍵技術——云數據地理定位技術和云網絡風險評估技術，第三方審計機構對云數據中心內部和外部的安全級別進行評估，以幫助用戶了解云數據與云網絡的安全性能。Rizvi等（2015）［20］開發了一種審計工具，并將云計算安全的影響因素及其子因素量化成安全指數，審計人員能據此安全指數來驗證云供應商的安全狀態。Ismail等（2016）［21］用一種基于博弈論的審計方法來驗證云供應商對數據備份的合規性。Rizvi（2018）［22］提出一種用于云安全審計的安全評估框架，能夠根據云服務用戶的安全偏好評估云服務供應商的安全強度。（2）主動安全審計。Majumdar（2020）［23］提出一個基于學習的主動云安全審計系統（LeaPS），引入預測模型將安全審計工具（無論原始性質如何，例如事后審計和事中審計）轉化為主動審計解決方案，該模型可以從云日志中自動學習云事件之間的依賴關系并有助于預測未來事件。從對事件的干預進程看，LeaPS屬于事前審計，但與傳統事前審計側重合規性不同，LeaPS預先為關鍵事件（即可能違反安全屬性的事件）做好準備并在事件發生時強制攔截。LeaPS的優點在于審計結果更具客觀性，即不完全依賴云供應商提供的數據進行審計，而是主動參與目標協議來驗證安全屬性。LeaPS也存在兩大局限性，一是不適用對非結構化數據的審計，二是依賴人工提取事件之間的依賴關系。

綜上所述，根據審計方案對事件的干預進程，對云供應商開展的審計大致分為事后審計與事前審計。現有關于云供應商的審計研究大多以事前審計（對云供應商安全狀態的檢驗與評估）與事后審計（取證問責云供應商）為主，事中審計研究相對較少。區別于傳統事前審計，LeaPS更像是“預警儀”+“過濾器”，在關鍵事件發生前就做好應對準備，極大地節省了審計響應時間，有助于及時阻止惡性事件的擴大與傳播。

四、研究總結與展望

云安全事故頻發，如何利用審計保證云服務的安全是云計算面臨的難題。本文首先列舉了云服務面臨的主要威脅，具體分析云安全風險及審計需求。其次，根據風險導向審計原則，將云數據存儲、云用戶、云供應商作為審計對象，對現有的云安全審計研究歸類總結。最后，按照審計方案（工具）對事件的干預進程，可將云安全審計分為事后審計、事中審計、事前審計。

具體而言，云安全事后審計旨在界定責任、實施問責，比如審計人員通過調取云日志對云用戶、云供應商操作過程的合規性進行審計追蹤與取證，而事后審計的局限性也恰恰在于審計工作不能阻止關鍵事件的發生。云安全事中審計旨在驗證事件的同時保證關鍵事件被阻止，例如云用戶企圖訪問他人數據時，驗證訪問者身份以及是否獲得授權，但以攔截檢查審計為代表的事中審計存在嚴重的延遲現象。區別于事后審計和事中審計，云安全事前審計的理論與實踐近年來都得到了長足的發展。近十年，傳統的云安全事前審計都是以合規性審計為基礎，評估云供應商的安全狀態。合規性審計雖然穩定性極強但主動性不足。2020年以來云安全事前審計有了新發展，以LeaPS為代表的主動云安全審計方案能夠從日志中捕獲異常行為，建立關聯模型提取概率依賴關系，通過學習關聯模型預先為關鍵事件做好準備，以防止安全違規事件的發生。綜上所述，以LeaPS為代表的主動安全審計能夠克服事后審計、事中審計的局限，是更加具有前瞻性的研究領域。

當然，上述研究還存在若干問題值得進一步研究：首先，云計算任務和環境是多變的，這就要求云安全審計方案更加靈活，兼顧數據批處理、數據塊追溯、數據動態更新等多種需求。其次，復雜的云環境存在多個層次的審計需求，如基礎設施服務（IaaS）、平臺服務（PaaS）和軟件服務（SaaS），單一的審計解決方案并不能滿足云用戶的實際需求，能夠集成多個層次的審計解決方案將成為未來主要研究方向。最后，實踐中云安全審計可能面臨在多個云管理平臺調取數據、跨云審計、分布式協同審計等需求，因此還需考慮云安全審計方案的兼容性和可擴展性，能夠在諸如OpenStack，Google GCP，Amazon EC2和 Microsoft Azure等主流云管理平臺上運行。