云計算安全問題研究與探討

李瑋

（中國移動通信集團設(shè)計院有限公司，北京 100080）

云計算是繼計算機、互聯(lián)網(wǎng)出現(xiàn)之后的又一次信息領(lǐng)域革新。雖然在理論方面的研究還略顯單薄，但是其彈性供給、集約化和專業(yè)化的優(yōu)勢卻引起了廣泛關(guān)注和投資熱情。亞馬遜、谷歌、微軟等老牌互聯(lián)網(wǎng)或者軟件公司更開始以云計算服務(wù)提供商的新面貌示人。云計算及其相關(guān)應(yīng)用連續(xù)5年平均22%的強勁增長，也給相關(guān)行業(yè)甚至整個社會帶來了巨大震動。在我國，無論是3家傳統(tǒng)的電信運營商、還是希望利用現(xiàn)有外圍需求拓寬業(yè)務(wù)領(lǐng)域的電子商務(wù)公司，都紛紛力爭搶占云計算服務(wù)的制高點，為新老客戶提供云計算、云存儲等基礎(chǔ)設(shè)施服務(wù)以及其它增值服務(wù)。

雖然各界都一致認為云計算有著巨大的增長空間，但在推廣中依然面臨著用戶認可度不高、運營經(jīng)驗不足、產(chǎn)業(yè)鏈不完善等諸多問題。除了相關(guān)法律和規(guī)范不健全、用戶的理念接受需要過程之外，商務(wù)流程的重新設(shè)計、原有程序的平滑遷移也是影響云計算推廣的原因。在諸多不利因素中，云計算的安全性問題一直排在首位。因此，有必要在研究云計算技術(shù)架構(gòu)和面向社會服務(wù)模式的同時，也要從企業(yè)數(shù)據(jù)、社會信息安全的角度，深入研究和探討云計算時代所面臨安全威脅、安全風險和應(yīng)對措施。

1 云計算安全概述

云計算應(yīng)用中，其信息安全的基本屬性和安全需求不變，信息保障的安全觀也沒有變化，依然是要保護信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞。但之所以把安全問題放在首位，主要是傳統(tǒng)互聯(lián)網(wǎng)時代的一些成熟安全解決方案已經(jīng)不再適用于云計算應(yīng)用環(huán)境，主要表現(xiàn)在：

（1）雖然云計算以虛擬化技術(shù)為主，但是也綜合了并行計算、分布計算、網(wǎng)格計算等，整個體系架構(gòu)異常復(fù)雜。加之各主流提供商在云計算的服務(wù)模型、部署方式、物理位置、計費管理上各不相同，在理論方面沒有突破的情況下，安全防護工作變得更加艱難；

（2）云計算中心部署的集中化和安全防護的專業(yè)化、集中化優(yōu)勢，被云計算的大規(guī)模、開放性以及技術(shù)不成熟等特點所削弱，在某些極端的情況下，甚至被逆轉(zhuǎn)為劣勢。

從現(xiàn)有的技術(shù)資料和已經(jīng)曝光的安全事件來看，互聯(lián)網(wǎng)時代中傳統(tǒng)的安全威脅在云計算服務(wù)中同樣存在，而且伴隨著云計算特有的巨大規(guī)模和前所未有的開放性與復(fù)雜性，還出現(xiàn)了一些新的安全挑戰(zhàn)；而從用戶自身角度而言，其安全風險不是減少而是增大了。例如2009年3月，Google Docs系統(tǒng)出現(xiàn)了錯誤，導(dǎo)致他人可以訪問用戶的私密文件。受該事件影響，美國電子隱私信息中心(EPIC)向聯(lián)邦貿(mào)易委員會強烈建議，由于Google對于安全威脅防范不足，因此在拿出切實可行的安全保護方案前須終止提供該項服務(wù)。2009年2月和7月，亞馬遜的“簡單存儲服務(wù)(簡稱S3)”兩次中斷導(dǎo)致依賴于網(wǎng)絡(luò)單一存儲服務(wù)的網(wǎng)站被迫癱瘓等。這些安全事件又進一步加劇了人們、尤其是重要企業(yè)客戶對云計算安全風險的看法。國際知名咨詢調(diào)研公司IDC給出的調(diào)研統(tǒng)計結(jié)果表明，云計算面臨的最大挑戰(zhàn)和用戶最關(guān)注的問題依然是安全問題，高達74.6%，遠遠高出對于性能和可用性等其它指標的關(guān)注。埃森哲公司對這一問題的調(diào)查也得出了同樣的結(jié)論：其中中國企業(yè)對云計算安全性的關(guān)注度為59% ，而其他國家也達到41%。

2 云計算應(yīng)用中存在的安全問題

前面已經(jīng)提到，互聯(lián)網(wǎng)時代中傳統(tǒng)的安全威脅在云計算服務(wù)中同樣存在。2009年，云安全聯(lián)盟CSA（Cloud Security Alliance）發(fā)布《云計算關(guān)鍵領(lǐng)域安全指南》并更新到版本2.1。該指南主要從攻擊者角度總結(jié)出云計算環(huán)境可能面臨的12個關(guān)鍵安全域。之后CSA又發(fā)布了一份云計算安全風險簡明報告，將安全指南濃縮為7個最常見、危害程度最大的安全威脅。下面，按照從低到高、由內(nèi)及外等層次一一列出：

（1）基礎(chǔ)設(shè)施共享問題:攻擊者獲取laaS供應(yīng)商的非隔離共享基礎(chǔ)設(shè)施的不受控制訪問權(quán)；

（2）未知的風險:未知的安全漏洞、軟件版本、安全實踐、代碼更新等；

（3）不安全的接口和API:接口質(zhì)量和安全沒有得到保障以及第三方插件的安全；

（4）賬戶或服務(wù)劫持:攻擊者獲得云服務(wù)用戶的憑據(jù)，導(dǎo)致云服務(wù)客戶端問題；

（5）數(shù)據(jù)丟失或泄漏:云中不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風險；

（6）不懷好意的內(nèi)部人員:從組織內(nèi)部發(fā)起攻擊，如果公司使用了云服務(wù)，威脅將會進一步放大；

（7）濫用和惡意使用云計算:利用云服務(wù)發(fā)送垃圾郵件或傳播惡意代碼等惡意活動。

較早時間，美國信息技術(shù)研究和咨詢公司Gartner也發(fā)布了《云計算安全風險評估》報告。該報告主要從云服務(wù)提供商的安全能力角度及其潛在情況或事件下受威脅程度提出云計算環(huán)境下的安全風險，主要包括：

（1）特權(quán)用戶接入:供應(yīng)商的管理員處理敏感信息的風險；

（2）可審查性:供應(yīng)商拒絕外部審計和安全認證的風險；

（3）數(shù)據(jù)位置:數(shù)據(jù)存儲位置未知的隱私風險；

（4）數(shù)據(jù)隔離:共享資源的多租戶數(shù)據(jù)隔離；

（5）數(shù)據(jù)恢復(fù):供應(yīng)商的數(shù)據(jù)備份和恢復(fù)能力；

（6）調(diào)查支持:供應(yīng)商對不恰當或非法行為難以提供取證支持；

（7）長期生存性:服務(wù)穩(wěn)定性、持續(xù)性及其遷移。

如果僅從字面上簡單理解云計算的安全威脅和安全風險，上面列出的條目在互聯(lián)網(wǎng)時代的IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）就都已經(jīng)出現(xiàn)，并且傳統(tǒng)的安全模型和防御體系也有較為完善的理論指導(dǎo)和實踐方案，在物理層面、系統(tǒng)層面、網(wǎng)絡(luò)層面、甚至Web應(yīng)用層面已經(jīng)有了比較成熟的安全產(chǎn)品。那么是否可以完全照搬這些互聯(lián)網(wǎng)安全解決方案而直接運用到云計算體系中嗎？答案是否定的。下面，我們從云計算安全模型和關(guān)鍵技術(shù)等方面進行說明。

3 云計算安全模型介紹

由于當前正處于從傳統(tǒng)互聯(lián)網(wǎng)或者IT應(yīng)用環(huán)境向云計算應(yīng)用發(fā)展的關(guān)鍵時期，統(tǒng)一規(guī)劃和整體考慮云計算安全離不開云計算安全模型的指導(dǎo)。所謂云計算安全模型，就是從安全管控的角度建立的云計算模型，用以描述不同屬性組合的云服務(wù)架構(gòu)，并實現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)之間的映射，為風險識別、安全控制和技術(shù)實現(xiàn)提供依據(jù)。

信息安全領(lǐng)域已經(jīng)開始著手從不同角度建立云計算安全模型，雖然存在爭議，也缺乏大規(guī)模實踐的驗證，但在學(xué)術(shù)界和產(chǎn)業(yè)界的共同推動下，這些來自各方的云計算安全模型正在為云計算應(yīng)用安全做著有益的探索。

3.1 CSA模型

當前，美國國家標準與技術(shù)研究所（NIST，National Institute of Standards and Technology）給出的3種服務(wù)模型已經(jīng)被廣泛接受并成為業(yè)內(nèi)的事實規(guī)范。這3種服務(wù)模式包括：基礎(chǔ)設(shè)施即服務(wù)IaaS(Infrastructure as a Service)模式、平臺即服務(wù)PaaS（Platform as a Service）模式和軟件即服務(wù)SaaS（Software as a Service）模式。例如亞馬遜公司提供的以亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）為框架的服務(wù)器、存儲、帶寬、數(shù)據(jù)庫，以及信息接口的資源服務(wù)模式，就是比較典型的IaaS模式；而微軟公司的Azure服務(wù)平臺提供一系列可供開發(fā)的操作系統(tǒng)，也看作是一種PaaS服務(wù)模式。

根據(jù)其所屬層次的不同，針對上述3類服務(wù)模式，CSA提出了基于基本云服務(wù)的層次性及其依賴關(guān)系的安全參考模型，如圖1所示。該模型主要反映了從云服務(wù)模型到安全控制模型的映射。該安全模型的突出特點是提供商所在的等級越低，云計算用戶所要自行承擔的安全能力和管理職責就越多。進而言之，CSA模型是可以允許用戶有條件獲取所需安全配置信息以及運行狀態(tài)信息的，也允許用戶部署實施自有專用安全管理軟件來保證自己數(shù)據(jù)的安全。

3.2 企業(yè)界模型

在國內(nèi)，一些大型的IT設(shè)備制造企業(yè)也不約而同推出云計算整體解決方案以及相關(guān)云計算安全服務(wù)模型。與CSA模型不同的是，這些云計算安全模型更加偏重于具體的產(chǎn)品解決方案，而沒有上升到理論層面。雖然在具體工程中已經(jīng)有實踐應(yīng)用，但是基本上還是采用傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)作為主要的防御力量，在針對云計算應(yīng)用的響應(yīng)速度、系統(tǒng)規(guī)模等方面的安全要求依舊沒有本質(zhì)上的突破。圖1描述了一個簡約的、面向工程的云計算安全模型。

3.3 其它模型

我國的一些科研機構(gòu)也發(fā)布了相關(guān)的云計算的安全模型。在中科院軟件提出的模型中，整個云計算安全技術(shù)模型被分為3個部分：云計算用戶端安全對象、云計算安全服務(wù)體系和云安全標準體系。另外，還有Jericho Forum提出的安全協(xié)同模型。它從數(shù)據(jù)的物理位置、云計算技術(shù)和服務(wù)的所有關(guān)系狀態(tài)、應(yīng)用資源和服務(wù)時的邊界狀態(tài)、云服務(wù)的運行和管理者4個影響安全協(xié)同的維度上分類16種可能的云計算形態(tài)。

圖1 CSA云計算安全模型

當然，還有很多云計算安全模型都在探索和驗證當中，但是這些模型都把技術(shù)關(guān)注點更多地放在用戶數(shù)據(jù)安全與隱私保護；各層次資源的提供者、管理者、使用者的安全防護措施的統(tǒng)一；云計算安全監(jiān)管體系的建立等方面，這也從另外角度說明了采用傳統(tǒng)專一嚴格為原則搭建的安全模型已經(jīng)不合時宜了。

圖2 國內(nèi)IT企業(yè)云計算安全模型

4 云計算中的關(guān)鍵安全技術(shù)

由于在云計算應(yīng)用場景中，傳統(tǒng)的安全威脅，如網(wǎng)絡(luò)病毒、漏洞入侵、內(nèi)部泄漏、網(wǎng)絡(luò)攻擊等依舊存在，因此這些安全威脅仍需要使用防病毒軟件、入侵檢測、4A、抗DDoS等技術(shù)或者安全設(shè)備去實現(xiàn)對云的保護。而與此同時，云計算的逐步應(yīng)用正直接或者間接影響信息安全領(lǐng)域的進程，一些新興的安全技術(shù)也在慢慢興起。下面，我們簡單列舉一些云計算安全中使用到的一些關(guān)鍵技術(shù)。

4.1 主機虛擬化安全

從現(xiàn)在產(chǎn)業(yè)趨勢來看，由于IaaS服務(wù)模式技術(shù)相對成熟，因此從IaaS入手整合計算、存儲、網(wǎng)絡(luò)資源，再逐步發(fā)展PaaS、SaaS等其它各種云服務(wù)能力已經(jīng)是云計算服務(wù)建設(shè)的主流思路。而基于虛擬化技術(shù)的彈性計算，正是IaaS的基礎(chǔ)，因此主機虛擬化安全是IaaS建設(shè)方案中需要重點考慮的問題。

在主機虛擬化中，Hypervisor和虛擬機這兩個最主要的部分的安全性是最為重要的。

虛擬機管理器Hypervisor是用來運行虛擬機的內(nèi)核，代替?zhèn)鹘y(tǒng)操作系統(tǒng)管理著底層物理硬件，是服務(wù)器虛擬化的核心環(huán)節(jié)，其安全性直接關(guān)系到上層的虛擬機安全。如果虛擬機管理器的安全機制不健全，被某個惡意虛擬機其漏洞或者某個協(xié)議端口獲取了高級別的運行等級，就可以比操作系統(tǒng)更高的硬件調(diào)配權(quán)限，從而給其他客戶帶來極大的安全隱患。

在IaaS中，一臺物理機器往往被劃分為多臺虛擬機器進行使用。由于同一物理服務(wù)器的虛擬機之間可以相互訪問，而不需要經(jīng)過之外的防火墻與交換機等設(shè)備，因此虛擬機之間的攻擊變得更加容易。如何保證同一物理機上不同虛擬機之間的資源隔離，包括CPU調(diào)度、內(nèi)存虛擬化、VLAN、I/O設(shè)備虛擬化之間，是當前IaaS服務(wù)模式下首要解決的安全技術(shù)問題。

4.2 海量用戶的身份認證

在互聯(lián)網(wǎng)時代的大型數(shù)據(jù)業(yè)務(wù)系統(tǒng)中，大量用戶的身份認證和接入管理往往采用強制認證方式，例如指紋認證、USB Key認證、動態(tài)密碼認證等。但是在這種身份認證和管理主要是基于系統(tǒng)自身對于用戶身份的不信任作為主要思想而設(shè)計的。在云計算時代，因為用戶更加關(guān)心的云計算提供商是否按照SLA實施雙方約定好的訪問控制策略，所以在云計算模式下，研究者開始關(guān)注如何通過身份認證來保證用戶自身資源或者信息數(shù)據(jù)等不會被提供商或者他人濫用。當前比較可行的解決方案就是引入第三方CA中心，由后者提供為雙方所接受的私鑰。

4.3 隱私保護與數(shù)據(jù)安全

用戶隱私保護和數(shù)據(jù)安全主要包括各類信息的物理隔離或者虛擬化環(huán)境下的隔離；基于身份的物理或者虛擬安全邊界訪問控制；數(shù)據(jù)的異地容災(zāi)與備份以及數(shù)據(jù)恢復(fù)；數(shù)據(jù)的加密傳輸和加密存貯；剩余信息保護等。在云計算應(yīng)用中，數(shù)據(jù)量規(guī)模之巨已經(jīng)遠遠超出傳統(tǒng)大型IDC數(shù)據(jù)規(guī)模，同時不同用戶對于隱私和數(shù)據(jù)安全的敏感度也各不相同。這里，我們主要講一下用戶最常面臨和關(guān)心的加密傳輸和加密存儲。

在云計算應(yīng)用環(huán)境下，數(shù)據(jù)傳輸加密可以選擇在鏈路層、網(wǎng)絡(luò)層、傳輸層、甚至應(yīng)用層等層面實現(xiàn)。主要的技術(shù)措施包括IPSec VPN、SSL等VPN技術(shù)，保證用戶數(shù)據(jù)在網(wǎng)絡(luò)傳輸中機密性、完整性和可用性。對于云存儲類服務(wù)，一般的提供商都支持對數(shù)據(jù)進行加密存儲，防止數(shù)據(jù)被他人非法窺探。一般會采用效能較高的對稱加密算法，如AES、3DES等國際通用算法，或我國國有商密算法SCB2等。

在云計算中，如網(wǎng)盤等虛擬存儲的應(yīng)用也是非常常見的。在這種情況下，如果只是對退租用戶VM磁盤中文件做簡單的刪除，而下一次將磁盤空間（邏輯卷）重新分配給其他租戶時，就可能會被惡意租戶使用數(shù)據(jù)恢復(fù)軟件讀出磁盤數(shù)據(jù)，而導(dǎo)致先前租戶的數(shù)據(jù)泄漏。因此在進行存儲資源回收時，需要使用軟件技術(shù)對邏輯卷的每一個物理Bit位進行清“零”覆寫，保證磁盤空間重新分配給其他租戶時不能通過軟件方式恢復(fù)其原有數(shù)據(jù)。

4.4 其它一些安全技術(shù)措施

當然，在云計算應(yīng)用環(huán)境中，還有其它一些安全技術(shù)。例如PaaS服務(wù)商提供的開發(fā)平臺以API方式提供各種編程環(huán)境，就可能由于API接口質(zhì)量和安全沒有得到保障而帶來平臺的平臺可靠性、平臺可用性、平臺完整性等一系列安全問題。目前的技術(shù)解決方案有平臺升級和Parley—X保護等。再例如SaaS服務(wù)模式主要面臨安全問題就是軟件漏洞，因此主要的解決技術(shù)仍然是軟件補丁、版本升級等。

科研人員也在不斷研究以用戶為中心的、而非以云計算提供商為中心的信任模型。一些安全公司也在研發(fā)基于客戶端的隱私或者用戶數(shù)據(jù)管理工具，幫助用戶控制自己的敏感信息在云端的存儲和使用。

5 未來與展望

云計算環(huán)境的復(fù)雜性和高度動態(tài)變化性使得云計算安全管理更為復(fù)雜。當前，大多數(shù)業(yè)內(nèi)專家都贊同傳統(tǒng)的信息安全管理標準如ITIL、ISO/IEC 20000、ISO/IEC 27001/27002等仍可以輔助云計算安全管理和云安全控制框架的建立。當然，如何建立以安全目標驗證、安全服務(wù)等級測評為中心的云計算安全服務(wù)標準及其測評體系；如何建立可控的云計算安全監(jiān)管體系也是需要進一步深入研究的。

現(xiàn)有云計算解決方案呈現(xiàn)封閉化、私有化、定制化的特征，但隨著云計算技術(shù)無序和爆炸式地發(fā)展，云計算安全領(lǐng)域還將面臨更多問題。從現(xiàn)有的技術(shù)水平分析，既然無法依靠傳統(tǒng)立體防御、深度防御的中心思想解決云計算時代的信息安全保障問題，那么依靠云計算自身所特有的規(guī)模化、動態(tài)化、彈性化、快速部署計算來解決可能才是最終的解決方案。換句話說，把傳統(tǒng)“頂盔摜甲”、借助外部力量進行防御向“強身健體”、挖掘自身潛力進行防御的思想轉(zhuǎn)換是解決云計算安全問題的一條可行之路。

[1]馮登國，張敏，張妍，徐震.云計算安全研究[J].軟件學(xué)報,2011,22(1).

[2]陳龍，肖敏.云計算安全：挑戰(zhàn)與策略[J].數(shù)字通信，2010,(6).

[3]CSA．Security guidance for critical areas of focus in cloud computing V2．1[EB／OL]．[2010-05—10]．http://www．Cloud security alliance.org／guidance.