云計算安全模型與管理

虞慧群，范貴生

0 引言

云計算是繼分布式計算、并行計算和網格計算之后發展的一種新計算模式，其基本思想是以虛擬化技術為基礎，以網絡為載體提供基礎架構、平臺、軟件等服務為形式，整合大規模可擴展的計算、存儲、數據、應用等分布式計算資源進行協同工作。云計算不僅實現了資源共享，而且大大減輕了客戶擁有、管理和維護資源的負擔，具有廣發的應用前景[1]。與此同時，云計算具有資源虛擬化、應用托管、快速彈性架構和多租戶等復雜特性，給云計算應用的信息安全帶來了新的威脅[2，3]。

在傳統模型下，企業的數據中心是由多個獨立的服務器或物理環境組成的。每個服務器上都由一套獨立運行的安全防護產品保護服務器或相關的應用程序，而在外圍又部署了防火墻、網關安全防護設備等安全防護產品，實現對數據中心從內到外的安全防護。 而在云計算模式中，數據中心使用新的網絡模型，由整合的硬件資源服務器集群代替原有的幾十臺獨立服務器，將計算、存貯或應用程序以虛擬機的形式同時部署在這臺服務器上，這些虛擬機間同時共享該服務器的硬件資源，以按需的形式快速配置資源、提供相應的服務，為用戶帶來了彈性的計算能力和便捷的資源管理服務[4]。然而，所有這些虛擬機之間可以共享資源，由于存于同一臺物理機或者同一個硬盤上，中間只有防火墻之類的防護設備，因此虛擬機間或應用程序間的數據變更，很容易將威脅傳播出去。

云計算的結構復雜性、開放性、按需服務、多租戶等特點，為云計算的安全保障帶來了巨大的挑戰[5]。云計算應用的結構特征涉及多個層面，包括網絡、主機、應用程序、數據，接口，每個層次均存在安全威脅。云計算安全需求多樣性也為云環境中的信息安全、信息監管帶來了難度。另外，在云平臺中運行的各類云應用，沒有固定不變的安全邊界，用戶數據托管到云端、失去了對數據的物理控制，如何保護用戶數據安全性是困難的問題。

本文主要從云計算的結構特征分析出發，對云計算安全模型的結構和構件進行剖析，闡述云安全管理的模式，并對云數據安全的粘性策略管理機制進行介紹。

1 云計算安全模型

在云計算環境中，由于用戶不再直接擁有基礎設施的軟、硬件資源，這種應用模式的開放性和虛擬化等特點，導致云計算的安全體系和傳統信息安全體系存在較大差異[6]。云計算安全模型框架，該框架描述了云計算的層次架構與云安全服務以及云安全機制的聯系，如圖1所示：

圖1 云計算安全模型框架1.1云計算架構

典型的云計算系統是由數據中心、虛擬化平臺、云服務、云接口和云終端組成的。數據中心是云計算虛擬化、高效管理的中心，以達到集中管理、靈活訪問和數據安全的目的。數據中心包括服務器、存儲設備、網絡設備和數據資源等。

虛擬化平臺將IT環境改造成為更加強大、更具彈性的架構，通過把多個操作系統整合到一臺高性能服務器上，最大化利用硬件平臺的所有資源，并降低資源管理的難度。

云服務提供用戶基于云計算平臺的各種服務，主要包括3個層次：基礎設施即服務IaaS、平臺即服務PaaS、軟件即服務SaaS。云服務為不同用戶提供了豐富的個性化需求。

云接口面向各類云計算應用，目的是向用戶提供一系列的API，允許用戶獲取云計算資源，并進行其它形式的交互。

云終端為云計算用戶提供了交互界面。用戶通過云終端瀏覽器的能夠獲取云計算資源，必要時與本地資源協作，構造完整的基于云平臺的應用系統。

1.2 云安全屬性

云安全屬性包括云服務和云數據的保密性、完整性、可用性、可控性、可審查性和不可抵賴性等[7]。

保密性是指云計算數據不被泄露給非授權的用戶、實體或過程，即信息只為授權用戶使用。保密性的實現技術包括物理保密、防竊聽、信息加密、訪問控制等。

完整性是指云計算的數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。數據的完整性的目的就是保證云計算的數據和信息處于一種完整和未受損害的狀態，以及多個備份數據的一致性。

可用性是指云計算平臺的數據或服務的訪問并按需使用的特性，即當需要時能否存取和訪問所需的信息。

可控性是指云服務對云計算數據的傳播及內容具有控制能力。

可審查性云計算出現安全問題時提供依據與手段，以便快速地定位和檢測系統的安全漏洞并加以修復。

不可抵賴性是指云計算在傳輸數據時必須攜帶含有自身特質、別人無法復制的信息，防止數據使用后對行為的否認。

1.3 云安全體系

與云計算架構相對應，云計算安全體系包含數據中心安全、虛擬化平臺安全、云服務安全、云接口安全及云終端安全等五個層面。

數據中心安全目的是防止數據中心的系統和數據遭受侵害、并保障其提供符合QoS需求的云服務。采用備份與容災、防黑客入侵技術，確保擁有持續服務的能力，以及服務遷移的能力，維持用戶的業務不中斷[8]。

虛擬化平臺安全主要是在云管理平臺內部安全監控，管理行為審計，阻止虛擬機用戶隱私外泄與權限上浮，防黑客入侵等技術來控制虛擬化平臺的用戶安全訪問，以便解決終端層面遇到的各種泄密風險。

云服務安全是指采用安全監控與用戶行為審計、病毒過濾等技術對SaaS, PaaS和IaaS三種不同類型的云服務進行管理。采用密鑰管理機制和標準的加密技術，使得企業能夠掌控公有云、私有云，或混合式云環境中的服務。

在云計算環境下，必須整合不同類型的系統，而且是在云計算系統和內部系統混合的環境下進行整合，必須避免利用接口對內和對外進行攻擊，避免利用接口進行云服務的濫用。云接口安全通過對用戶進行強身份認證、加強訪問控制等方法實現。

云終端安全主要是指Web應用的安全，可以采用的防護措施包括訪問控制、配置加固、部署應用防火墻。此外，針對不同操作系統的中間件帶來的安全問題，可以采取數據加密、身份認證等技術。

1.4 安全構件

安全構件是實施云計算安全的基本成分和機制。云計算安全模型涉及云計算的各個技術層面[9]，在各個層次均需要利用身份認證、密碼技術、訪問控制、審計等基礎安全設施，以實現相應的安全服務。數據的安全管理架構，如圖2所示：

圖2 數據安全管理架構

身份認證，主要指通過網絡對另一方通信實體的身份進行確認，對用戶的身份認證遵循3種基本方法：驗證用戶身上獨一無二的生理特征、驗證用戶擁有物理介質令牌及驗證用戶的密碼和口令。

訪問控制，是按用戶身份及其所歸屬的某項定義組來限制用戶對某些云計算數據的訪問，或限制對某些云服務的使用。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等云計算數據的訪問。

加密及密鑰管理技術，采用數據加密技術實現用戶信息在云計算共享環境下的安全存儲與安全隔離，加密算法的健壯性依賴于良好的密鑰管理技術。采用適當的加密算法可以防止用戶數據被偷竊、攻擊和篡改。密鑰管理也是實現用戶身份鑒別和認證的前提。

審計，要求收集、分析、評估對云計算運行日志、數據訪問日志、業務應用系統運行日志等信息，掌握安全狀態，制定安全策略，確保整個安全體系的完備性、合理性和適用性，以便將系統調整到“最安全”和“最低風險”的狀態。

入侵檢測，是指對入侵行為的發覺。通過在云計算環境中的若干關鍵點收集信息并對其進行分析，從中發現云計算平臺中是否有違反安全策略的行為和被攻擊的跡象。

2 云計算安全管理

2.1 安全管理階段

有效的安全管理是云計算應用的安全運行得以實現的保障。云計算安全管理可以分為預防、監控和響應3個階段。

預防階段，依據云計算系統安全需求和系統結構、行為特征，提煉安全策略，并利用相應的安全機制對云計算系統實施安全策略，保障云計算業務免受惡意攻擊威脅。

安全規則的制定：基于安全策略，形成可執行的安全規則。

系統安全的配置：實現云計算環境中系統的配置，安裝各種必要的補丁，保證系統安全策略的實施。

云計算業務涉及到大量關鍵數據。管理人員某些有意或無意的違規操作，如竊取用戶的隱私信息或者是修改用戶信息，都將對業務系統造成重大影響。應對此類問題，需要采取有效的手段對云計算運行進行監控。通常利用如下兩種方式實現入侵檢測。

異常臨視：系統發生不正常情況。如：服務停止，無法正常提供服務，服務狀態不穩定等。

模式發現：對已知攻擊的模式進行發現。

云計算業務是動態變化的，即使采用了很多的靜態技術組合也不能保證云計算運行不會發意外，所以必須建立應急響應機制。當發生意外時，響應機制可以保證云計算業務能夠在最短的時間內恢復到正常狀態。在發現了攻擊企圖或者攻擊之后，需要系統及時地進行反應，具體步驟如下：

報告：無論系統的自動化程度多高，都需要管理員知道是否有入侵事件發生。

記錄：必須將所有的情況記錄下來，包括入侵的各個細節以及系統的反映。

反應：進行相應的處理以阻止進一步的入侵。

恢復：清除入侵造成的影響，使系統運行趨于正常。

2.2 粘性策略管理

粘性安全策略最初目的是確保個人隱私在信息流中始終得以實施。研究表明，安全策略可以粘附在數據上，以實現對個人數據的隱私控制[10]。根據安全策略的粘度，數據可能加密并利用公鑰機制PKI實現密鑰傳遞，對數據的訪問只能在滿足這些策略的前提下才能進行。數據安全策略用于約束相關數據在云計算環境中的訪問權限和使用方式。數據安全管理涉及粘性安全策略的使用、安全策略的實施和云服務數據訪問行為的監控等方面。具體的安全管理框架如圖2所示，其中粘性數據安全管理協議執行過程包括（A）- (D)等4個步驟。

(A) 用戶向云服務端發送數據和粘性安全策略；

(B) 云服務端向TA發送獲取解密密鑰的申請；

(C) TA與用戶交互，確認授權和通告消息；

(D) 如果密鑰申請合法，TA傳送解密密鑰；否則拒絕申請。

粘性數據安全管理協議的執行需要用戶、云服務和TA三方的協同工作。在提交云服務申請之前，用戶首先利用常規的可信插件對身份或數據進行處理，并粘附安全策略于數據之上；接收到用戶服務申請之后；云服務端需要與TA交互，通過提交粘性安全策略和身份信息申請密鑰。獲取密鑰后對用戶信息的使用受訪問控制模塊的監控；TA的主要功能是密鑰管理、策略解析和訪問監控，TA在整個安全管理中起著樞紐作用。

3 結論

安全性是用戶選擇云計算時考慮的首要因素。云計算結構特征及開放性、復雜性、按需服務、虛擬化資源池、快速彈性架構和多租戶等特點，為云計算領域的信息安全帶來了前所未有的挑戰。云計算安全模型的建立，涉及到云計算架構的數據中心、虛擬化平臺、云服務、云接口及云終端等各個環節。另外，需要從預防、監控和響應等不同角度考慮云計算的安全的實施和管理。粘性安全策略及方法為云計算數據安全提供了一種可行的理論方法。

目前，云計算安全模型和管理的理論基礎尚需深入研究，相應的技術和工具支撐還有待在實踐中不斷積累。需要云計算相關的科技人員、企業和政府部門協同工作，在云計算服務安全和數據安全技術、安全服務等級協議、認證技術等方面，建立一套與云計算應用相適應的安全體系。

[1]S. Marstona, Z. Lia, S. Bandyopadhyaya, et al. Cloud computing-the business perspective.[J]Decision Support Systems, 51(1): 176-189, 2011.

[2]F. Lombardi, R. Di Pietro. Secure virtualization for cloud computing.[J]Journal of Network and Computer Applications, 34(4): 1113-1122, 2011.

[3]馮登國, 張敏, 張妍, 徐震. 云計算安全研究.[J]軟件學報, 22(1): 71-83, 2011.

[4]Y. D. Zhang, Y. S. Zhang. Cloud computing and cloud security challenges. Processing of the 2012 Internaltional Symposium on Information Technology in Medicine and Education.[J]IEEE Computer Society, Washington, DC,USA, pp.1084-1088, 2012.

[5]R. M. Luis, M. V. Luis, C. Eddy, etc. Building safe PaaS clouds: A survey on security in multitenant software platforms.[J]Computers & Security, 31(1): 96–108,2012.

[6]H. Takabi, J. Joshi, G. J. Ahn. Security and privacy challenges in cloud computing environments.[J]IEEE Security and Privacy, 6(6): 24-31, 2010.

[7]S. Al-Azzani, R. Bahsoon Architecture-level evaluation and testing for security. Processing of the 2012 Joint Working IEEE/IFIP Conference on Software Architecture(WICSA) and European Conference on Software Architecture (ECSA).[J]IEEE Computer Society, pp.51 – 60,2012.

[8]C. Wang, Q. Wang, K. Ren, W. Lou. Ensuring data storage security in Cloud Computing.[C]Proceedings of 17th International Workshop on Quality of Service,pp.1-9, 2009.

[9]W. Jansen, T. Grance. Guidelines on Security and Privacy in Public Cloud Computing.[C]NIST Special Publication 800-144, 2011.

[10]S. Pearson, M. C. Mont. Sticky policies: An approach for managing privacy across multiple parties.[J]IEEE Computer, 44(9): 60-68, 2011.