云計算整合了大量的計算、存儲和軟件資源,實現了資源的按需分配,在資源共享、服務成本低廉等方面具有絕對優勢,具有廣闊的市場應用前景,被認為是IT業未來的發展方向。
然而云計算存在的安全問題卻成了阻礙云計算進一步發展的重要因素,要想實現云計算的快速、健康發展,首先就要解決好云計算安全問題,云安全問題已經成為當下研究的重點。
本文對云計算以及云計算安全的相關概念和問題進行了介紹,并對云計算安全框架和關鍵技術進行了研究。
1.云計算安全的概念
1.1 云計算的概念
云計算是分布式計算、并行計算、網絡存儲、虛擬化等傳統計算機和網絡技術發展融合的產物,是近年來最具有代表性的網絡計算技術,也是目前研究和應用的熱點。云計算從2006年首次提出到現在,依然是一個發展中的概念,業界還沒有公認的定義。云計算專家劉鵬給出的定義是:云計算是通過網絡提供可伸縮的廉價的分布式計算能力。美國國家標準與技術研究院(NIST)的定義是:云計算是基于服務提供者和消費者間的服務契約動態提供統一的計算資源,由互聯的虛擬化計算機組成的并行分布式系統。根據NIST的定義,云計算具有自助按需服務、虛擬資源池、可度量服務、高速彈性架構和高寬帶網絡等五個關鍵特征。
在傳統計算模式基礎上發展起來的云計算,具有資源共享、管理統一、價格低廉等諸多方面的優勢,又克服了傳統計算模式在規模和擴展性方面的缺陷,成為業界近年來的熱門課題。
1.2 云計算所面臨的安全挑戰
開放、復雜的云計算系統存儲了海量的用戶數據信息,隨著云計算的廣泛應用,其存在的安全性問題也備受關注。總結起來,云計算的安全風險主要涉及三個方面:一、涉及到人的方面。首先,云計算服務提供商是否能夠自覺遵從所在國家的法律法規,并開放一定的權力給用戶,使用戶具有調查取證的能力。然后,云計算的維護管理(包括外包服務人員)等相關人員擁有接入特權,增加了敏感數據處理的風險。此外,云計算的身份認證機制薄弱,用戶賬號可以被他人輕松獲取登錄,并進行各種非法操作。二、涉及到數據的方面。數據的安全是云計算安全的關鍵,而用戶的數據在云計算系統中具有數據存儲位置未知、不可控性等諸多安全隱患。因此,一旦云服務提供商在數據的隔離防護等方面措施不當,或者數據高度密集的云服務平臺遭到黑客的攻擊,那么在數據傳輸、存儲、處理等各個環節,均有可能發生數據的泄露、篡改、丟失。三、涉及到技術的方面。資源共享是云計算的優勢和特點,但是同時,共享程度越高,漏洞也就越多。另外,開放的云計算要求大量的網絡接口和API來整合資源,也增加了安全風險。
云計算作為一個新興的技術,在所難免的會存在一些安全隱患,并對網絡安全產生影響。但是云計算技術是未來發展的方向,因此需要廣大科技工作者在云計算安全領域投入更多精力,致力于打造更加安全、可信的云計算系統。
1.3 云計算安全的優勢與策略
盡管云計算存在一定的安全隱患,但相較于傳統的計算模型,云計算在安全性上還是存在諸多的優勢。首先,高度集中的管理方式,使云計算相對于傳統計算方式更加便于進行監控管理;其次,云計算提供的是由專業技術人員負責維護的數據文件存儲服務,數據文件存儲的保護措施更好,備份恢復能力更強;最后,用戶只需要在PC端或者移動終端通過瀏覽器就可以向云端提出操作請求,更加安全、靈活。
2.云計算安全體系架構
云計算安全的問題形勢嚴峻,CSA(云安全聯盟)、Gartner公司分別對云計算安全問題進行了總結分析,認為安全問題是阻礙云計算進一步發展的關鍵所在。
CSA基于云計算的三種服務模式,提出了一種云計算安全架構。IaaS層位于云服務的最底層,是云計算體系安全的基礎,為上層云應用提供數據計算存儲等IT資源服務。IaaS采用大量的虛擬化技術,因此,虛擬化軟件安全、虛擬化服務器安全是其面臨的主要風險。在IaaS中,服務提供商負責提供基礎設施和抽象層的安全保護,而其它安全職責則主要由客戶承擔。PaaS位于云服務的中間,自然起到的是承上啟下的作用,既依靠IaaS平臺提供的資源,同時又為上層SaaS提供應用平臺。PaaS面臨的主要安全風險是分布式文件和數據庫安全,用戶接口和應用安全。在PaaS中,服務提供商負責平臺自身的安全保護, 而平臺應用和應用開發的安全性則由用戶負責。SaaS位于云服務的最頂層,大量的用戶共用一個軟件平臺必然帶來數據、應用的安全問題。多租戶技術是解決這一問題的關鍵,但是也存在著數據隔離、客戶化配制方面的問題。服務提供商對SaaS層的安全承擔主要責任。
3.云計算安全關鍵技術
3.1 身份管理和認證
為確保用戶間數據隔離和安全訪問,需要在多用戶共享的云計算系統中建立用戶的身份管理和訪問控制,這也是云計算安全的關鍵技術之一。目前提出的解決方案包括結合聯邦身份管理和個人身份分層加密的身份認證方法等。
云計算應用中,用戶可能會使用不同的云服務,標識符過多會造成混淆和遺忘。為了解決這一問題,為用戶提供良好的體驗,云計算的認證還應用了單點登錄和聯合身份認證等技術。單點登錄技術,簡單的說就是利用單點登錄協議(如OpenID協議、SAML方案),使用戶在使用云服務時只需要注冊和登錄一次,從而減輕用戶負擔。聯合身份認證指的是用戶可以使用一個賬號登錄相互信任的不同云服務平臺,是基于單點登錄技術建立的。
3.2 數據安全
數據安全是云計算安全的核心,主要包括靜態存儲數據保護和動態數據隔離保護。數據存儲是云計算的一個重要功能,數據在云存儲中是靜態數據,確保用戶數據的隱保密性、完整性、可恢復性是云計算安全的關鍵。關于數據保密性問題,主要采用的方式是數據加密和訪問控制機制。采用更加有效的完整性驗證算法是保證數據完整性的研究重點。而副本技術則是解決數據可恢復性的常用手段。在動態數據隔離保護的研究中,目前提出來的主要有隔離機制、訪問控制模型和機制、基于信息流模型的數據安全保護機制等。
3.3 可信云計算
可信云計算的核心思想是“可信傳遞”,將可信云計算技術融入云計算體系是目前云安全領域研究的熱門。沈昌祥提出的可信云計算框架引入了可信根和信任傳遞概念,從而實現對云計算應用服務的完整性度量和驗證。Intel TXT安全架構是將動態可信度量根技術同虛擬化技術相結合,提供包括可信輸入和顯示等可信功能。
3.4 虛擬化安全
虛擬化技術是開展SaaS云服務的基礎,因此,服務器虛擬化、存儲虛擬化、網絡虛擬化的安全問題對云計算系統安全來說至關重要。要實現服務器虛擬化的安全,就要建立包括虛擬機安全隔離、訪問控制、惡意虛擬機防護、虛擬機資源限制等在內的安全保護體系,并不斷完善。保障存儲虛擬化安全,需要提供設備冗余功能和數據存儲的冗余保護。虛擬化網絡是實現云計算的重要途徑,因此,采用合理按需劃分虛擬組、控制數據的雙向流量、設置安全訪問控制策略等手段構建虛擬化網絡安全防護體系十分重要。
京公網安備 11010502049343號