基于云存储的数据安全策略分析与研究
扫描二维码
随时随地手机看文章
引言
随着网络技术的高速发展,云计算成为近年来IT业研究 和应用的热点,受到人们越来越多的关注。云计算的出现改变 了传统的计算模式,它不再将数据集中在本地进行存储和处 理,而是将数据从个人计算机转移到互联网上的大型网络数 据中心进行管理,并且按用户的需求分配计算资源,以达到 超级计算的目标。但是云计算的这一特点在为人们提供便捷的 同时,也给数据安全带来了许多的隐患,因此,如何高效、安 全的存储和传输来自云端的数据成为新的研究热点。
1云存储基础
1.1云存储的基本概念
云计算是分布式计算、效用计算、网格存储和虚拟化等 传统计算模式和网络技术发展相结合的产物,是一种新型的 网络服务模式。在云环境下可将繁重的计算程序通过网络自 动拆分成多个子程序,再交给由多个服务器组成的运算系统 进行搜索、计算分析后再传给用户。通过这种模式可以将共享 的软硬件资源和信息资源按需提供给计算机,充分发挥了其 高分布、高通用和低成本的优势。云存储是基于云计算的一 种数据访问服务,可以通俗的理解为配置了超大存储空间的云 计算系统,它将网络中大量不同类型的存储设备通过相应软 件集合起来协同工作,共同为用户提供数据存储和访问业务, 它的核心便是数据存储和管理。随着云存储服务的发展,越 来越多的企业和个人享受到了其高效、快捷、低成本的服务,但是它的安全问题也值得人们的关注。
1.2云存储系统结构
对于使用云存储的终端用户来说,云存储不仅是一个硬 件,而且是由存储设备、网络设备、应用软件、服务器、终端 客户等组成的庞大系统。图1所示是云存储的系统结构图。 般来说,云存储系统一般由4层组成。
存储层:云存储的最基础部分,它可以包含多种类 型的设备,这些设备分布在不同的区域,通过网络连接在一起, 能实现对海量数据的集中管理和状态监控;
基础管理层:云存储的最核心、最复杂部分,采用 分布式存储技术和集成管理技术,不仅实现多设备之间的协 同工作,提供高效的数据访问性能,而且承担了数据加密、容灾、 备份等任务,保证了云存储自身的稳定和安全;
应用接口层:云存储中最灵活的部分,不同的云存 储供应商根据业务需求,开发不同的服务接口,给终端用户提 供多样化服务,例如视频监控应用平台,网络硬盘应用平台等;
访问层:任何一个合法的用户都可以通过标准的应 用接口登陆到云服务平台,共享云存储提供的服务。
2云存储的发展现状
2.1云存储的优势
具体来说,云存储具有如下优势:
(1)使用模式灵活,成本降低:对于业务数据量不大的 中小企业或者个人来说,构建私有数据中心耗资较大,但是 选择租用公用云存储,可以根据租用的空间按需付费,有效 降低了购买设备的成本。而且云存储供应商能够提供更专业的 存储方案,优化存储性能,使用户可以集中精力做好自己的核 心业务:
(2)支持同步升级,有效管理数据:构建私有的数据中 心不仅要购买设备和管理软件,而且要进行系统的升级和维 护,这个过程存在一定的风险,同时为了防止发生意外丢失数 据,必须要高效的做好数据备份和归档,这也存在一定的风险。 借助云存储服务,可以将这些问题交由专业的云服务提供商来 完成,这样不仅可以实现存储服务的升级,也可将风险降到最 低限度;
(3)存储空间灵活控制:为确保给用户提供的服务质量, 云存储数据中心的处理能力非常重要,面对数据量突然增大 的情况,私有数据中心难以应付,但是云存储服务可以借助其 服务器群集技术和虚拟化技术,对计算机的存储资源临时调 用,并适当分配服务器和子存储模块,以此来解决问题。
2.2云存储的安全威胁
云存储给我们带来了一个全新的存储模式,用户要想享 受云存储服务,必然要在云环境下进行数据传输,这些数据 可能是个人、公司的机密,也可能是需要重要保护的信息。因此, 云存储的安全性尤为重要。云存储的安全威胁主要来自以下几 个方面:
(1)数据机密性:用户在使用云存储时,首先会将数据 信息上传到云存储服务中心,当需要时再从服务器中下载,在 这个传输过程中,甚至数据存储在服务器上的时候,都面临 着数据泄露、被恶意窃取、篡改等的威胁,使用户数据的机 密性受到严重破坏;
(2)数据的完整性:在云存储环境下,用户若对数据进 行修改,服务器端也要保证相应的更新。此外,网络故障、 设备故障、病毒感染等都会使用户数据面临完整性被破坏的 威胁;
(3)数据隔离:传统的网络有物理的隔离和防护边界, 而云环境下,存储空间以虚拟的技术将同一物理资源分化为几 份同时租给用户,所以,对于不同的云用户来说,云存储系统 是一个相同的物理系统,因此,如何保证用户在这个虚拟化的 系统中不越界处理数据信息也是云存储提供商要解决的问题;
(4)访问控制:用户通过访问层接口向服务器发出请求时, 云存储供应商会先鉴别用户身份的合法性,然后再验证用户 访问和操作数据信息的权限,以防止非法用户的侵害。
3云存储的安全策略
3.1数据加密
为防止云客户端的数据信息被盗取,或者被内部人员非 法泄露,一般都会对数据的访问采用加密技术。当前比较成 熟的加密技术一般分为对称加密算法(DES)和非对称加密算 法(RSA)两类[3]。其中对称加密是对数据进行加密和解密 时使用相同的密钥加密算法,这种加密方式安全性不高,但 是加密方式访问速度快,一般在发送方需要加密海量数据时 使用。非对称加密算法中加密和解密时使用不同的密钥,加 密时使用公钥(公开加密密钥),而解密时则使用私钥(保密 解密公钥)。数据传输的双方都可以利用公钥加密信息,但是 只有使用相应的私钥才能解密由该公钥加密的信息,这种加密 方式安全性较高,但是加密和解密的时间长,速度慢,适合 于对少量数据进行加密。
结合两种加密方式的优缺点,我们可以用两者相结合的 方式来保证云用户数据的安全性。当用户向云服务器发出请求 时,服务器首先生成一个RSA公钥/私钥对,然后把公钥发 送给用户。此时,用户端已生成自己的DES密钥,并使用服 务器端发送的RSA公钥加密自己的DES密钥,并把加密后的 DES密钥发送给服务器端,然后服务器端再用RSA私钥来解 密用户端发送的DES密钥。这样,数据在传输过程中即使被 截取,没有DES密钥便无法获取原始数据;假若DES密钥 泄露,经过RSA公钥加密,而解密私钥仍保存在服务器端, 截取者仍无法获取原始数据,这样的双重加密大大提高了数 据的安全性。
3.2身份认证及访问策略
随着云客户的不断增加,云端存储的数据信息量也不断 增大,如果用户身份被假冒,很可能造成数据信息被泄露或被 恶意篡改、删除等后果。因此,用户在使用云存储服务时,不 仅要通过云服务供应商的身份认证,还要遵循一定的访问控 制策略。传统的以用户名和口令作为单一凭证的身份认证已经 不能满足云客户的安全需求,许多云供应商开始采用基于多种 安全凭证的联合身份认证。用户可以先提供姓名和口令,然后 再提供由云服务供应商提供的动态验证码,确保用户身份的 合法性。此外,用户使用多个云服务商提供的服务,会产生很 多的口令,而使用联合身份认证只需认证一次,避免了数据频 繁穿梭云间带来的不必要阻碍。在安全访问策略方面,我们 要灵活区分和支持不同客户的动态安全需求,首先要保证云端 不同客户之间数据的强隔离性,使得一个用户不得越权访问其 他用户的数据;其次,还要保障云客户自己内部收据的适当隔离,例如,企业客户可以根据自己的安全需求灵活制定访问控 制策略,隔离内部不同部门和区域的数据;同时也可以引入虚 拟组织,实现不同用户之间的数据共享或限制冲突用户之间的 数据共享电
3.3虚拟机安全策略
云服务的出租单位是虚拟机,因此虚拟化安全也是云存 储安全的重要部分。虚拟化安全的目标是确保数据的隔离性, 包括每个物理机上的不同云服务商之间的数据隔离,以及虚 拟数据和物理设备之间的隔离间。为保证隔离效果我们可从 虚拟化软件安全和虚拟服务器安全两方面入手。虚拟化软件 一般直接部署在裸机上,它的主要作用是保障客户的虚拟机 在多用户的情况下对重要数据进行相互隔离,因此,要对所 有授权用户访问虚拟软件层时进行严格限制。在安装虚拟服务 器时,为从逻辑上隔离各虚拟服务器,可为每台虚拟服务器 分配单独的硬盘分区。同时,尽量使用多核处理器,并划分高 速缓存,以此来隔离CPU和缓存。其次,为保障传输过程的 安全,需要建立互相通信的虚拟机的网络连接方式选择VPN 方式。除了物理隔离方式,选用自动监控策略也是虚拟机安全 的一个必要环节,监控程序不仅要尽量避开用户的隐私数据, 还要在虚拟机出现问题时发出警报或进行纠错。
3.4动态防火墙策略
云防火墙不仅操作简单,而且具有强大的抗攻击能力, 可抵抗200 Gb以上的流量工具,同时它自身还带有过滤和清 洗功能,提高了数据传输的安全性。为了抵御外部和内部的攻 击,我们可以采用动态防火墙技术,即根据数据信息的传输 的状态进行主动和实时检测,然后对这些数据进行分析,发 现其中的非法行为。动态的防火墙技术安全性能更高,不仅能 发现外部的入侵行为,而且对来自内部的非法和恶意破坏也有 防范作用。
3.5云平台安全策略
为确保云存储服务的高效性和安全性,云平台的安全也 非常重要。首先要确保云平台物理设备的安全,避免水灾、火 灾等自然灾害以及人为破坏,同时还要做好备份和恢复工作, 一旦发生意外情况,能及时处理数据,保证数据的安全。其次, 还要定期为云平台的服务器进行漏洞检查,系统升级,加强 监测较薄弱的端口。
4结语
云计算带来的云存储服务,为用户带来了新的数据存储 方式和资源共享模式,方便了人们的生活和工作,但云环境面 临的挑战还很多,如何确保云存储的安全,将随着学术界的 研究和商界的应用逐步得到解决。
下载文档
