云計算安全威脅及防護思路分析*

吳寶江

（中國電子科技集團公司電子科學研究院，北京 100041）

0 引 言

云計算是虛擬化和可擴展資源的集合，能夠托管應用，并采用“只為使用的付費”的方法為用戶提供所需服務，而用戶只為他們消費的服務付費。云計算是一組支持服務的網絡，按需提供可擴展的有QoS保障的個性化的且不算貴的計算設施，且可使用簡單而普遍的方式來訪問。

美國國家標準與技術研究院（NIST）定義云計算有五個基本特征：（1）按需自助服務，用戶可以在需要時自動配置計算能力；（2）寬帶網絡接入，通過標準機制實現網絡接入，有助于用戶使用不同終端訪問云計算服務；（3）資源池，提供商的計算資源匯集到資源池中，使用多租戶模型，按照用戶需要，將不同的物理和虛擬資源動態分配或再分配給多個消費者使用；（4）快速彈性，可提供快速而有彈性的計算能力，在某種情況下，可動態快速擴展計算能力，并在使用后快速釋放所用計算資源；（5）可計量的服務，云系統以適用于不同服務類型的抽象層面的計量能力來收取費用。

1 云計算安全威脅分析

云安全聯盟（CSA）定義了七類云安全威脅[1]，包括云計算的濫用和惡用、不安全的接口和API、惡意的內部員工、共享技術產生的問題、數據丟失或泄漏、賬號和服務劫持和未知的風險場景。

（1）云計算的濫用和惡用。云計算的濫用和惡用被CSA認為是云計算最大的安全威脅。一個簡單的例子就是利用僵尸網絡來傳播垃圾郵件和惡意軟件。比如，攻擊者可以滲透公共云，并向數以千計的計算機上傳惡意軟件，而后利用云基礎設施的力量攻擊其他設備。針對此威脅，CSA提出的補救措施：①更加嚴格初始注冊和驗證過程；②加強信用證書欺詐的監管。

（2）不安全的接口和API。因為軟件接口或API是客戶用來與云服務交互的，所以必須具有非常安全的身份認證、訪問控制、加密和活動監控機制。針對此威脅，CSA提出的補救措施：①云提供商接口安全模型分析；②確保身份認證和訪問控制與加密傳輸共同實施；③了解與API相關的依賴鏈。

（3）惡意的內部員工。惡意的內部員工是一個重要問題，因為許多供應商仍然沒有透露他們是如何雇傭人員的，以及這些人員如何接觸資源和被監管的。針對此威脅，CSA提出的補救措施：①實施嚴格的供應鏈管理，進行全面的供應商評估；②作為法律合同的一部分來指定人力資源需求；③要求信息安全管理和合規報告全面透明化；④明確安全漏洞通告過程。

（4）共享技術產生的問題。共享基礎設施是IaaS提供商的一種服務方式。不幸的是，該基礎設施基于的組件并不是為此設計的。為了保障用戶不進入他人領域，必須進行監控和分區。針對此威脅，CSA提出的補救措施：①完成安裝/配置的安全最佳實踐；②監控未授權的進行更改的環境；③提升對行政準入和操作的認證和訪問控制；④增強修補和漏洞修復的服務級別協議；⑤執行漏洞掃描和數據審計。

（5）數據丟失或泄漏。因為存在數據沒有備份情況下的被刪除、編碼密鑰丟失或數據未經授權訪問等因素，所以數據總有丟失和被盜的危險。數據安全問題是企業最關心的問題之一，因為數據丟失或泄漏不僅會使企業損失信譽，而且保護數據安全是企業需要承擔的法律責任。針對此威脅，CSA提出的補救措施：①執行嚴格的API訪問控制措施；②數據傳輸加密，保護數據完整性；③制定數據在設計和使用過程中的保護策略；④執行嚴格的密碼生成、儲存、管理和銷毀流程；⑤要求釋放虛擬資源后，物理介質上的數據得到完全擦除；⑥規定數據提供者的數據備份和保留策略。

（6）賬號和服務劫持。云用戶需要關注賬號和服務劫持問題。這些威脅包括中間人攻擊、網絡釣魚、垃圾郵件以及拒絕服務攻擊。針對此威脅，CSA提出的補救措施：①禁止在用戶和服務間共享賬戶憑證；②在可能的情況下，使用多因素認證技術；③采用主動監測方式監測非授權行為；④熟知云提供商安全策略。

（7）未知的風險場景。代碼更新、脆弱性、入侵企圖等風險場景都應時刻警惕。針對此威脅，CSA提出的補救措施：①公開適當的日志和數據；②部分或全部公開基礎設施信息（補丁級別、防火墻等）；③必要的信息監控和告警。

除了上述云計算安全威脅，還有一些其他威脅存在[2-3]。例如，云提供商控制的硬件和管理程序承載著數據的存儲和應用的運行，因此它們的安全在云環境設計中尤為重要；如果一個用戶可以隨意訪問另一個用戶的數據，意味著他們的應用可能會被干擾；互聯網的可靠性和可用性對云計算使用非常重要；云計算的虛擬化對管轄范圍之外的數據提出了許多法律和監管的問題。

2 云計算安全問題

通過上述對云計算安全威脅的分析可以看到，云計算安全的問題主要集中在以下幾個方面：云基礎設施安全、數據安全、用戶身份和訪問權限管理、云安全管理、隱私性以及審計和合規性等。

（1）云基礎設施安全。在網絡、主機、應用等各個層面的安全挑戰不是由云計算引起的，而是由對它們的使用引起的。通過理解哪一方面提供安全的那一部分，可以定義基礎設施安全與云計算的信任邊界。

（2）數據安全。由于數據集中、數據價值大，在云計算環境下數據的安全尤為重要。當前，數據的訪問控制、保密性、完整性和可用性等都存在嚴峻的安全風險。

（3）用戶身份和訪問權限管理。身份管理的關鍵因素是需要有健壯的聯合身份管理體系結構和策略。使用基于云的身份認證服務，云提供商能夠實現身份管理能力的外包，并促進聯合管理。

（4）云安全管理。從云安全管理角度來看，缺乏企業級的訪問管理是關鍵問題。云服務的安全管理范圍將隨著服務交付模型、供應商能力和成熟度而變化。用戶將不得不在SPI服務提供的靈活性和受控方面做出權衡。服務越靈活，就可以進行更多的控制，并由此帶來額外的安全管理職責。在多租戶共享基礎設施的虛擬環境中，用戶的數據與其他用戶的數據在數據產生、傳輸、存儲的全生命周期中是混合在一起的。因此，重要的是要了解服務的位置、服務保護等級，如節點間的通信和存儲訪問延遲。

（5）隱私性。隱私性是云計算的重要問題，包括法律和用戶信任兩方面。在云設計的每個環節，均需要考慮隱私性問題。這個問題的關鍵是軟件工程師用什么方法做到減少隱私風險，并確保遵從法律。云系統的設計、開發、測試人員提出的方法建議包括：①最小化個人信息，發送并存儲在云上；②在云上保護個人信息；③最大化的訪問控制；④允許用戶選擇；⑤指定和限制數據使用目的；⑥提供使用反饋。

（6）審計與合規性。審計和合規性的方法能夠幫助云服務提供商和用戶解決云業務模式的新需求和新變化。為提高效率、風險管理和合規性，云服務提供商需要實施強有力的內部監控和控制功能，并結合嚴格的外部審計過程。為更好地獲得云服務，云服務用戶需要界定他們的控制要求，了解云服務提供商的內部控制監控過程，分析相關外部審計報告，并正確履行他們作為云服務提供的用戶職責。

3 安全威脅解決方法分析

3.1 基于客戶的隱私管理

基于客戶的隱私管理可以減少云計算中敏感數據泄漏和隱私丟失的風險，主要特征包括：（1）分別將數據上傳到云上前和從云上下載后，自動將數據結構中的一些或全部字段混淆和去混淆。混淆和去混淆通過密鑰完成，這個密鑰由用戶而不是相關的云服務提供商來選擇；（2）允許用戶為在云上以未混淆形式存儲個人數據設置偏好，這一特征允許用戶對個人數據的使用有更大的控制權；（3）允許用戶訪問云中個人信息，以便查看他們持有的信息并檢查其準確性，這是一種審計機制，一旦隱私被侵犯，就可以檢測到；（4）向用戶反饋有關個人信息的使用情況，包括云中數據被使用的通知等，以有效監控從云平臺傳輸的個人數據；（5）允許用戶在與云服務交互時選擇多個角色。

基于上述特征可以看到，基于客戶的隱私管理雖然可以解決定制終端用戶服務等許多實際問題，但如果服務提供者不提供完全的合作，那么除了混淆服務外，其他隱私管理的特征都將是無效的，因為這些特征的實現依賴于服務提供者的誠實合作。在沒有服務提供者提供合作的情況下使用混淆服務，不僅需要用戶有充足的計算資源來執行混淆和去混淆，而且依賴于執行混淆服務的應用。

3.2 透明云防護系統

透明云防護系統的目的是透明地監控云的全部組件，旨在通過允許主機監控客戶虛擬機的基礎設施組件來保護客戶虛擬機和分布式計算中間件的完整性。

透明云防護系統是一個以內核和虛擬化層為核心的中間件。通過主動或被動地監控關鍵內核或云組件，透明云防護系統可以檢測到對內核數據和代碼的任何可能修改，保證內核和云中間件的完整性沒有受到損害，從而確定沒有攻擊者通過此途徑進入系統。

所有的透明云防護系統的模塊都駐留在主機和模擬器上，用于訪問guest用戶。可疑的訪問guest用戶的行為能夠被攔截器注意，并被告警記錄器記錄在報警隊列中，其中潛在的變化將有檢測器組件進行評估。透明云防護系統可以對安全漏洞進行本地處理或通知分布式計算安全組件。

透明云防護系統可以有效監測到各種主要的攻擊，避免誤報（在客戶維護容忍度內）。該系統使VMs的可見度最小化，能夠保護應用系統和用戶免受已受破壞的用戶攻擊，且該系統可以部署在大多數可用的中間件上。如果安全策略需要，該系統能夠采取適當的措施阻止已受破壞的用戶，并通知遠程中間件的安全管理組件。

3.3 安全有效的數據訪問控制及存儲

提供安全有效的數據訪問控制，是云計算的重要部分，也是信息管理和其他操作的根本。因為數據擁有者需要將大量的數據存儲在不受信任的云上，所以數據擁有者會在上傳這些數據前將其加密。只有數據擁有者才有權更新這些數據，用戶只能根據訪問權限來讀取數據。數據擁有者可以將文件授權給其他用戶，僅目標用戶可正常訪問授權數據。

數據訪問控制減少了數據所有者的開銷，防止無授權用戶訪問數據。如果服務提供商進行了數據過加密，即使竊聽者獲得了數據塊加密密鑰，服務提供商同樣可以抵御攻擊。云中數據以密文存儲。解密密鑰為數據，屬主用戶保存，規避了數據泄露風險，但給云中密文在多用戶間傳遞共享帶來諸多不便。如何使密文像明文一樣方便、高效地使用，是一個重要的問題。同態加密[4]概念的提出，為密文便利使用問題帶來了曙光?！巴瑧B”特性可以實現密文操作與明文操作等同的效果，從而達到密文的精確檢索。同態加密技術的“重加密”特性，基于解密電路方式，在不解密情況下將用戶甲的密文重加密為用戶乙的密文，既保證了數據的可靠性，又實現了密文數據的分享。

3.4 云安全服務

通過為租戶提供云安全服務，抵御諸如DDoS流量型攻擊、釣魚式攻擊等威脅?？笵DoS流量型攻擊服務可支持用戶根據租用帶寬、業務模型自助配置防護閾值，實時進行流量檢測。對于滿足閾值條件的所有未經授權的傳入流量進行清洗，所有附加的數據包被轉發到“黑洞”，系統檢測到攻擊后，就會實時通知用戶，并進行有效防御。統一身份認證服務為租戶分配不同的資源和操作權限，用戶通過使用訪問密鑰獲得基于統一身份認證服務的認證和鑒權，以調用API的方式訪問云資源。統一身份認證服務支持租戶的安全管理員設置登錄策略，避免用戶密碼被暴力破解或者因為訪問釣魚頁面等導致賬號信息泄露。

3.5 數據庫安全合規和安全審計

通過提供內置行業合規知識庫（HIPAA13、SOX14、PCI DSS等），用戶可自行定義敏感數據、動態脫敏等策略，用以執行自動敏感數據發現和脫敏，避免因敏感數據泄露造成的法律法規責任和經濟損失。提供多維度的數據庫審計線索，包括源IP、用戶身份、應用程序、訪問時間、請求的數據庫、原SQL語句、操作、成功與否、耗時和返回內容等，協助租戶溯源到攻擊者。審計記錄遠程保存，滿足用戶的審計合規要求。

4 結 語

隨著云計算的深入發展，面對由海量節點和海量數據組成的分布式云計算網絡，傳統的信息安全技術已經越來越難以保障云上的數據安全和用戶隱私。本文主要對云計算安全威脅進行分析，總結主要的云安全問題，分析當前云安全威脅解決方法的原理、目的和優缺點等。由于云安全挑戰層出不窮，云安全威脅與攻擊無孔不入，必須不斷關注并研究基礎設施、物理設備、分布式云操作系統及云服務產品的安全問題，提供保護云端應用及數據的技術方法，才能提供穩定、可靠、安全和合規的云計算基礎服務，保護云系統及數據的可用性、機密性和完整性。