当前位置:首页 > 物联网 > 《物联网技术》杂志
[导读]摘 要:随着云计算技术的飞速发展,云安全方面的研究逐渐展开且越来越被关注。文章介绍了云计算的概念及特点, 重点对目前云计算安全所面临的主要问题以及研究所涉及到的主要技术及研究现状进行了系统性总结,分别从云计算不同应 用模式的角度分析了云安全问题及相应解决措施。最后,从云计算标准化方面说明了当前云安全研究的重点领域及其阶段性 成果。

引言

所谓云计算,是将大量计算机、服务器和交换机等网络 设备构成一个动态的资源池来统一进行管理,用户可根据自己 的需求从资源池中动态索取所需的服务;该资源池通过虚拟 化技术为用户提供服务,软件和业务数据都是在云中运行或存 储的,用户不需要拥有硬件基础设施。

随着信息化和物联网技术的快速发展,海量数据以爆炸 式趋势增长,而云计算使得高效、快速处理海量的信息成为可 能,但随之而来的安全问题不容忽视,并已逐渐成为云计算 面临的最大挑战,直接影响其后续的发展。本文首先对云计 算带来的安全问题及关键技术进行讨论,并阐述了在标准化 和产品应用中的安全趋势。

1云计算的特点与应用

云计算概念由Google于2006年首次提出,可认为是 并行计算(Parallel Computing,PC)等计算模式的进一步演 进;是多种技术混合演进的结果,成熟度较高;是分布式计 算模型的商业实现,具有大规模、多用户、虚拟化、高可靠性、 可伸缩性、按需服务、成本低廉七大特性。其中,可伸缩性和 按需服务是区别于传统IT服务的新特性。

目前,国内外云计算主要提供3种服务模型: IaaS(Infrastructure as a Service,基础设施即服务),PaaS(Platform as a Service,平台即服务)和 SaaS(Software as a service,软件及服务)。laaS是将云处理、存储、网络等基础 资源封装成服务以便用户使用;用户可以从供应商那里获取需 要的资源来装载相关计算或存储的应用,但必须考虑多台设 备协同工作的策略并为所租用的资源付费;laaS最具有代表 性的产品有:Amazon EC2、IBM Blue Cloud、Cisco UCS 和 Joyent。PaaS是供给用户应用程序的运行环境,主要面向开 发人员,提供在互联网上的自定义开发、测试、在线部署应用 程序等功能,是对资源更进一步的抽象层次;PaaS比较著名 的产品包括 Force.com、Google App Engine、Windows Azure platform和Heroku。SaaS是将应用软件封装成服务,用户 可直接使用无需安装;最具有代表性的产品是Google Apps、 Saleforce CRM、Office Web Apps 和 Zoho。

2云计算特有的安全问题

虽然云计算提供了新的计算模式和服务应用来区别于传 统的IT网络,但传统信息安全的各种威胁都适用于云计算平 台,而云计算本身的特性又带来一些新的安全问题国。它最 初的服务对象是企业内部,对其他人只有部分功能是开放的, 例如邮件服务器和网络服务器等,因此最初对云计算的设计 没有对其安全性做充分的考虑,只设计了防火墙、访问控制这 些简单的安全措施。但伴随着云计算的发展,有许多非法分 子利用云计算的漏洞进行一些非法操作,因此需要更快地发 展云计算安全技术;其次,数据存储在“云”端,要保障数 据的安全以及租户之间的数据隔离是关键;再次,用户升级 服务器时用的是远程执行,并未采取本地环境安装,这样每 次操作的同时就很可能带来一些安全隐患;还有,云计算大 量应用虚拟化技术,保障其安全也和传统的安全有很大区别。 相较法律法规都相对完整的传统安全技术,云计算缺少统一 的标准,法律法规也不健全,国家政策上的不同也对云计算 的发展有不利影响。

3云计算安全的关键技术

3.1数据安全

无论应用上述3种服务模型的任何一种,为确保数据不 丢失,数据安全[4]都非常重要。

3.1.1数据传输安全

数据传输安全即是在数据传输过程中避免被篡改、窃听、 监视,从而保证数据的完整性、可用性、保密性。在传输过程 中可采用VPN和数据加密等相关技术,实现从终端到云存储 的安全,维护人员也可以采用加密通道来保障信息的安全传输。 3.1.2数据隔离

由于云计算采用共享介质的数据存储技术,不同用户的 数据可能会被存储在同一物理存储单元上,因此为防止相邻用 户对数据的恶意窃取以及云服务提供商以管理员身份获取用户 数据,采取加密的存储设备是必要的手段。

3.1.3数据残留

数据残留有两种,一种是物理数据存储设备上的数据被 擦除后留有的痕迹,另一种是虚拟机迁移、回收和改变大小 等行为造成之前在此虚拟机上存储的数据的泄露,攻击者有 可能捕获这些痕迹恢复出原始数据,不论信息是存在内存中 还是硬盘中,所以在存储空间再次分配给其他租户之前要将上 一租户的数据彻底清除。

3.2应用安全

3.2.1终端用户安全

在终端上安装安全软件,比如杀毒软件、防火墙等来确 保计算机的安全性。目前用户获得云服务的主要接口就是浏览 器,所以浏览器的安全与否极为重要。要实现端到端的安全, 就必须采取一些措施来保护浏览器的安全。在多种系统同时 运行的情况下攻击者会由虚拟机上的漏洞为入口从而获取物理 机上的数据,所以应加强虚拟机的管理叫

SaaS应用安全

SaaS是提供给用户无视底层云基础设施的软件服务,在 这种服务模式下,云计算提供商维护管理所有应用,云计算 提供商必须保证应用程序和组件的安全性,用户只需负责最 高层面的安全问题,即用户自己的操作安全、个人密码等秘密 信息的保管。选择SaaS的提供商要特别慎重,因为会负担绝 大部分的安全责任,提供商要最大限度地确保提供给用户的 服务的安全性。目前对于提供商的评估方法是根据保密协议, 要求提供商提供相关的安全实践信息,该信息应当包括黑盒与 白盒安全测试记录。攻击者通常收集用户的信息,视图破解用 户的密码,云服务提供商应提供高强度密码并对密码进行定期 管理。在逻辑层,不同的数据根据用户唯一的标识符进行隔离, 但是在很多情况下,这种隔离可能会被软件因素打破,例如虚 拟机的重新分配等。因此,对于用户来说,应尽量了解云服务 提供商所提供的云服务的虚拟数据存储架构,对于云服务提 供商来说,应加强软件的安全性管理。

PaaS应用安全

在PaaS模式下,云计算提供商不提供基础设施,而是 提供基于基础设施的服务平台,用户可以在此平台上用相应的 编程语言、操作系统来进行应用开发并在该平台上运行应用。 PaaS应用安全由两个层次组成,包括PaaS自身安全还有客户 不属于PaaS上的应用安全。由于SSL是大部分云安全应用的 基础,很多黑客都在研究SSL,在以后SSL将成为病毒传播 的主要媒介。所以提供商应该针对当前的问题采取有效的办法 来解决此安全问题,从而避免不必要的损失。在PaaS模式下, 云计算提供商负责其提供的平台的安全性,如果平台中用到 了第三方的应用,则第三方对此应用的安全性负责,所以,用 户在使用应用、组件或Web服务时要知道所使用的是谁提供 的应用,若是第三方提供,则用户应对该第三方服务提供商 进行风险评估。目前,部分云服务提供商拒绝对其所提供平 台中涉及到的第三方应用信息进行公开,用户应该尽可能获悉 第三方信息从而进行风险评估,提高自己数据的安全性。在云 服务中,共享是比较重要的服务模式,因此,对于多用户共享 PaaS模式下,分离不同用户至关重要。PaaS提供商在多用户 模式下必须提供“沙盒”结构,保证PaaS中应用的安全性。

IaaS基础设施安全

IaaS云提供商将虚拟机租赁出去,云提供商完全不管理 用户的应用和运维,只是将用户部署在虚拟机上的应用当成一 个黑盒子而已,用户在虚拟机上的应用程序无论执行何种任务, 都由用户自己管理和支配,所以对于应用的安全,用户负全部 责任,而对于云提供商而言其在将设备租赁出之后便对客户 的应用安全不提供任何帮助。

3.3虚拟化安全

资源池通过虚拟化技术向客户提供服务,在应用虚拟化 技术的时候主要有两方面风险,虚拟化软件安全和虚拟服务 器安全叫

3.3.1虚拟化软件安全

软件具有创建、运行和销毁虚拟服务器的能力,它直接 安装在裸机上。有很多方法可用来实现不同级别的虚拟化,例 如操作系统级虚拟化、服务器级虚拟化、硬盘级虚拟化。在 IaaS云平台中,软件完全由云服务商来管理,用户不用访问此软件层。必须严格控制虚拟化软件层的访问权限,这样才能保 障计算机同时运行多个操作系统的安全性,对于云服务提供 商来说必须建立健全的访问控制策略来保障虚拟化层次的用 户数据安全

3.3.2虚拟服务器安全[8]

在兼顾虚拟服务器特点的前提下,物理服务器的安全原 理可以移植到虚拟服务器上应用,当虚拟服务器启动时TPM 安全模块会去检验用户密码,若此时输入的用户名和密码的 Hash序列不对则虚拟服务器终止启动。最好使用可支持虚拟 技术的多核处理器,这样可以做到CPU之间的物理隔离,这 样可以避免许多不必要的问题。

4云计算组织及标准

近来来,各国政府纷纷开展云计算标准化工作来促进云 计算技术的发展,从收集案例、场景以及分析标准化需求到 最后进行标准制定,其中涵盖了云计算基础标准、互操作和 可移植、数据中心和设备、云计算安全及服务等方面。下面 简要列举一下云计算的组织及标准[9]:

CSA (Cloud Security Alliance)

云计算安全联盟成立于2009年,致力于为云计算环 境提供最佳的安全方案,在2013年,CSA[10]确认了云计算 2013年9大核心安全问题,分别为:Data Breaches;Data Loss ;Account Hijacking ;Insecure APIs ;Denial of Service;Malicious Insiders;Abuse of Cloud Services;Insufficient Due Diligence ;Shared Technology Issues。CSA也发布了云安全矩阵,对云 计算环境的安全问题及解决方案提供了指导。

EU (EUROPEAN COMMISSION)

EU 于 2012 年发布了《Unleashing the Potential of Cloud Computing in Europe》对云计算核心技术、云计算安全问题 等方面进行了研究。对于云计算的应用及安全问题具有指导 性意义。

Open Cloud Manifesto (开放云计算宣言)

“开放云计算宣言”已经正式发布,阐述了是云计算的概 念和优势、云计算的安全问题以及共有云、私有云、开放云的 目标和原则等。

Distributed Management Task Force(分布式管理任务)

此组织的主要工作是提高共有云、私有云、混合云平台之 间的互操作性。另外,云计算的安全管理标准是ITIL、ISO/ IEC27001 和 ISO/IEC27002。

5结语

随着互联网的快速发展,云计算的发展前景无可限量, 它的规模很大,其中承载着用户的许多隐私文件,与此同时也 面临的严峻的安全技术问题,如何解决这些问题是云计算发 展的关键,因此需要完善云计算的技术,制定相应的法律法 规等手段来不断完善云计算的安全技术,为云计算今后的发 展营造健康的环境。

20211120_619891d166f5c__云计算及其安全技术

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭