云计算及其安全技术
扫描二维码
随时随地手机看文章
引言
所谓云计算,是将大量计算机、服务器和交换机等网络 设备构成一个动态的资源池来统一进行管理,用户可根据自己 的需求从资源池中动态索取所需的服务;该资源池通过虚拟 化技术为用户提供服务,软件和业务数据都是在云中运行或存 储的,用户不需要拥有硬件基础设施。
随着信息化和物联网技术的快速发展,海量数据以爆炸 式趋势增长,而云计算使得高效、快速处理海量的信息成为可 能,但随之而来的安全问题不容忽视,并已逐渐成为云计算 面临的最大挑战,直接影响其后续的发展。本文首先对云计 算带来的安全问题及关键技术进行讨论,并阐述了在标准化 和产品应用中的安全趋势。
1云计算的特点与应用
云计算概念由Google于2006年首次提出,可认为是 并行计算(Parallel Computing,PC)等计算模式的进一步演 进;是多种技术混合演进的结果,成熟度较高;是分布式计 算模型的商业实现,具有大规模、多用户、虚拟化、高可靠性、 可伸缩性、按需服务、成本低廉七大特性。其中,可伸缩性和 按需服务是区别于传统IT服务的新特性。
目前,国内外云计算主要提供3种服务模型: IaaS(Infrastructure as a Service,基础设施即服务),PaaS(Platform as a Service,平台即服务)和 SaaS(Software as a service,软件及服务)。laaS是将云处理、存储、网络等基础 资源封装成服务以便用户使用;用户可以从供应商那里获取需 要的资源来装载相关计算或存储的应用,但必须考虑多台设 备协同工作的策略并为所租用的资源付费;laaS最具有代表 性的产品有:Amazon EC2、IBM Blue Cloud、Cisco UCS 和 Joyent。PaaS是供给用户应用程序的运行环境,主要面向开 发人员,提供在互联网上的自定义开发、测试、在线部署应用 程序等功能,是对资源更进一步的抽象层次;PaaS比较著名 的产品包括 Force.com、Google App Engine、Windows Azure platform和Heroku。SaaS是将应用软件封装成服务,用户 可直接使用无需安装;最具有代表性的产品是Google Apps、 Saleforce CRM、Office Web Apps 和 Zoho。
2云计算特有的安全问题
虽然云计算提供了新的计算模式和服务应用来区别于传 统的IT网络,但传统信息安全的各种威胁都适用于云计算平 台,而云计算本身的特性又带来一些新的安全问题国。它最 初的服务对象是企业内部,对其他人只有部分功能是开放的, 例如邮件服务器和网络服务器等,因此最初对云计算的设计 没有对其安全性做充分的考虑,只设计了防火墙、访问控制这 些简单的安全措施。但伴随着云计算的发展,有许多非法分 子利用云计算的漏洞进行一些非法操作,因此需要更快地发 展云计算安全技术;其次,数据存储在“云”端,要保障数 据的安全以及租户之间的数据隔离是关键;再次,用户升级 服务器时用的是远程执行,并未采取本地环境安装,这样每 次操作的同时就很可能带来一些安全隐患;还有,云计算大 量应用虚拟化技术,保障其安全也和传统的安全有很大区别。 相较法律法规都相对完整的传统安全技术,云计算缺少统一 的标准,法律法规也不健全,国家政策上的不同也对云计算 的发展有不利影响。
3云计算安全的关键技术
3.1数据安全
无论应用上述3种服务模型的任何一种,为确保数据不 丢失,数据安全[4]都非常重要。
3.1.1数据传输安全
数据传输安全即是在数据传输过程中避免被篡改、窃听、 监视,从而保证数据的完整性、可用性、保密性。在传输过程 中可采用VPN和数据加密等相关技术,实现从终端到云存储 的安全,维护人员也可以采用加密通道来保障信息的安全传输。 3.1.2数据隔离
由于云计算采用共享介质的数据存储技术,不同用户的 数据可能会被存储在同一物理存储单元上,因此为防止相邻用 户对数据的恶意窃取以及云服务提供商以管理员身份获取用户 数据,采取加密的存储设备是必要的手段。
3.1.3数据残留
数据残留有两种,一种是物理数据存储设备上的数据被 擦除后留有的痕迹,另一种是虚拟机迁移、回收和改变大小 等行为造成之前在此虚拟机上存储的数据的泄露,攻击者有 可能捕获这些痕迹恢复出原始数据,不论信息是存在内存中 还是硬盘中,所以在存储空间再次分配给其他租户之前要将上 一租户的数据彻底清除。
3.2应用安全
3.2.1终端用户安全
在终端上安装安全软件,比如杀毒软件、防火墙等来确 保计算机的安全性。目前用户获得云服务的主要接口就是浏览 器,所以浏览器的安全与否极为重要。要实现端到端的安全, 就必须采取一些措施来保护浏览器的安全。在多种系统同时 运行的情况下攻击者会由虚拟机上的漏洞为入口从而获取物理 机上的数据,所以应加强虚拟机的管理叫
SaaS应用安全
SaaS是提供给用户无视底层云基础设施的软件服务,在 这种服务模式下,云计算提供商维护管理所有应用,云计算 提供商必须保证应用程序和组件的安全性,用户只需负责最 高层面的安全问题,即用户自己的操作安全、个人密码等秘密 信息的保管。选择SaaS的提供商要特别慎重,因为会负担绝 大部分的安全责任,提供商要最大限度地确保提供给用户的 服务的安全性。目前对于提供商的评估方法是根据保密协议, 要求提供商提供相关的安全实践信息,该信息应当包括黑盒与 白盒安全测试记录。攻击者通常收集用户的信息,视图破解用 户的密码,云服务提供商应提供高强度密码并对密码进行定期 管理。在逻辑层,不同的数据根据用户唯一的标识符进行隔离, 但是在很多情况下,这种隔离可能会被软件因素打破,例如虚 拟机的重新分配等。因此,对于用户来说,应尽量了解云服务 提供商所提供的云服务的虚拟数据存储架构,对于云服务提 供商来说,应加强软件的安全性管理。
PaaS应用安全
在PaaS模式下,云计算提供商不提供基础设施,而是 提供基于基础设施的服务平台,用户可以在此平台上用相应的 编程语言、操作系统来进行应用开发并在该平台上运行应用。 PaaS应用安全由两个层次组成,包括PaaS自身安全还有客户 不属于PaaS上的应用安全。由于SSL是大部分云安全应用的 基础,很多黑客都在研究SSL,在以后SSL将成为病毒传播 的主要媒介。所以提供商应该针对当前的问题采取有效的办法 来解决此安全问题,从而避免不必要的损失。在PaaS模式下, 云计算提供商负责其提供的平台的安全性,如果平台中用到 了第三方的应用,则第三方对此应用的安全性负责,所以,用 户在使用应用、组件或Web服务时要知道所使用的是谁提供 的应用,若是第三方提供,则用户应对该第三方服务提供商 进行风险评估。目前,部分云服务提供商拒绝对其所提供平 台中涉及到的第三方应用信息进行公开,用户应该尽可能获悉 第三方信息从而进行风险评估,提高自己数据的安全性。在云 服务中,共享是比较重要的服务模式,因此,对于多用户共享 PaaS模式下,分离不同用户至关重要。PaaS提供商在多用户 模式下必须提供“沙盒”结构,保证PaaS中应用的安全性。
IaaS基础设施安全
IaaS云提供商将虚拟机租赁出去,云提供商完全不管理 用户的应用和运维,只是将用户部署在虚拟机上的应用当成一 个黑盒子而已,用户在虚拟机上的应用程序无论执行何种任务, 都由用户自己管理和支配,所以对于应用的安全,用户负全部 责任,而对于云提供商而言其在将设备租赁出之后便对客户 的应用安全不提供任何帮助。
3.3虚拟化安全
资源池通过虚拟化技术向客户提供服务,在应用虚拟化 技术的时候主要有两方面风险,虚拟化软件安全和虚拟服务 器安全叫
3.3.1虚拟化软件安全
软件具有创建、运行和销毁虚拟服务器的能力,它直接 安装在裸机上。有很多方法可用来实现不同级别的虚拟化,例 如操作系统级虚拟化、服务器级虚拟化、硬盘级虚拟化。在 IaaS云平台中,软件完全由云服务商来管理,用户不用访问此软件层。必须严格控制虚拟化软件层的访问权限,这样才能保 障计算机同时运行多个操作系统的安全性,对于云服务提供 商来说必须建立健全的访问控制策略来保障虚拟化层次的用 户数据安全。
3.3.2虚拟服务器安全[8]
在兼顾虚拟服务器特点的前提下,物理服务器的安全原 理可以移植到虚拟服务器上应用,当虚拟服务器启动时TPM 安全模块会去检验用户密码,若此时输入的用户名和密码的 Hash序列不对则虚拟服务器终止启动。最好使用可支持虚拟 技术的多核处理器,这样可以做到CPU之间的物理隔离,这 样可以避免许多不必要的问题。
4云计算组织及标准
近来来,各国政府纷纷开展云计算标准化工作来促进云 计算技术的发展,从收集案例、场景以及分析标准化需求到 最后进行标准制定,其中涵盖了云计算基础标准、互操作和 可移植、数据中心和设备、云计算安全及服务等方面。下面 简要列举一下云计算的组织及标准[9]:
CSA (Cloud Security Alliance)
云计算安全联盟成立于2009年,致力于为云计算环 境提供最佳的安全方案,在2013年,CSA[10]确认了云计算 2013年9大核心安全问题,分别为:Data Breaches;Data Loss ;Account Hijacking ;Insecure APIs ;Denial of Service;Malicious Insiders;Abuse of Cloud Services;Insufficient Due Diligence ;Shared Technology Issues。CSA也发布了云安全矩阵,对云 计算环境的安全问题及解决方案提供了指导。
EU (EUROPEAN COMMISSION)
EU 于 2012 年发布了《Unleashing the Potential of Cloud Computing in Europe》对云计算核心技术、云计算安全问题 等方面进行了研究。对于云计算的应用及安全问题具有指导 性意义。
Open Cloud Manifesto (开放云计算宣言)
“开放云计算宣言”已经正式发布,阐述了是云计算的概 念和优势、云计算的安全问题以及共有云、私有云、开放云的 目标和原则等。
Distributed Management Task Force(分布式管理任务)
此组织的主要工作是提高共有云、私有云、混合云平台之 间的互操作性。另外,云计算的安全管理标准是ITIL、ISO/ IEC27001 和 ISO/IEC27002。
5结语
随着互联网的快速发展,云计算的发展前景无可限量, 它的规模很大,其中承载着用户的许多隐私文件,与此同时也 面临的严峻的安全技术问题,如何解决这些问题是云计算发 展的关键,因此需要完善云计算的技术,制定相应的法律法 规等手段来不断完善云计算的安全技术,为云计算今后的发 展营造健康的环境。
20211120_619891d166f5c__云计算及其安全技术