云计算技术安全分析

.1.概述目前，业界关于云计算的概念众说纷“云”，可以说是仁者见仁，智者见智，关于云计算的概念，维基百科认为：“云计算是一种能够动态伸缩的虚拟化资源，通过互联网以服务的方式提供给用户的计算模式，用户不需要知道如何管理那些支持云计算的基础设施”。 因为云计算代表着一种新的商业计算模式，其在各方面的实际应用上还有很多不确定的地方，面临着很多的安全挑战。目前各家所提的云安全解决方案，大都根据自己企业对云平台安全的理解，结合本企业专长，专注于某一方面的安全。然而，对于用户来说云平台是一个整体，急需一套针对云平台的整体保护技术方案。针对云平台的信息安全整体保护技术的研究的是大势所趋，整体保护技术体系的建立，必将使云计算得以更加健康、有序的发展。1.1云计算特点（1）超大规模。“云计算管理系统”具有相当的规模，Google的云计算已经拥有100多万台服务器，Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。“云”能赋予用户前所未有的计算能力。（2）虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”，而不是固定的有形的实体。应用在“云”中某处运行，但实际上用户无需了解、也不用担心应用运行的具体位置。（3）高可靠性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性，使用云计算比使用本地计算机可靠。（4）通用性。云计算不针对特定的应用，在“云”的支撑下可以构造出千变万化的应用，同一个“云”可以同时支撑不同的应用运行。 （5）高可扩展性。“云”的规模可以动态伸缩，满足应用和用户规模增长的需要。（6）廉价。由于“云”的特殊容错措施可以采用极其廉价的节点来构成云，因此用户可以充分享受“云”的低成本优势。1.2云计算服务模型现在通用的云计算服务模型可以分为三类，分别是基础架构即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）。下面分别介绍。1）基础架构即服务（InfrastructureasaService）：是把数据中心、基础设施硬件资源通过Web或其他客户端软件分配给用户使用的商业模式。IaaS领域最引人注目的例子就是亚马逊公司的ElasticComputeCloud。IBM、VMware、HP等传统IT服务提供商也推出了相应的IaaS产品。IaaS为用户提供计算、存储、网络和其它基础计算资源，用户可以在上面部署和运行任意的软件，包括操作系统和应用程序，用户不用管理和控制底层基础设施，但需要控制操作系统、存储、部署应用程序和对网络组件（如主机防火墙）具有有限的控制权限。2）平台即服务（PlatformasaService）：是把计算环境、开发环境等平台作为一种服务提供的商业模式。云计算服务提供商可以将操作系统、应用开发环境等平台级产品通过Web以服务的方式提供给用户。通过PaaS服务，软件开发人员可以不购买服务器的情况下开发新的应用程序。Google的App引擎，微软的Azure是PaaS服务的典型代表，VMware也推出了基于开放API、springsource框架的PaaS服务。3）软件即服务（SoftwareasaService），服务厂商将应用软件统一部署在自己的服务器上，客户可以根据自己实际需求，通过互联网向厂商定购所需的应用软件服务，按定购的服务多少和时间长短向厂商支付费用，并通过互联网获得厂商提供的服务。用户不用再购买软件，而改用向提供商租用基于Web的软件，来管理企业经营活动，且无需对软件进行维护，服务提供商会全权管理和维护软件，软件厂商在向客户提供互联网应用的同时，也提供软件的离线操作和本地数据存储，让用户随时随地都可以使用其定购的软件和服务。代表厂家：Salesforce，SuccessFactor，Workday等。图 云计算服务模式相对来说，我们认为关于云计算的体系结构为IaaS为底层基础，PaaS为中间层，SaaS为最上层。值得一提的是，随着业界对云计算的深入研究以及各大公司的大力推广，这三层又逐渐融合的趋势，大的云计算提供商也开始在各个层面分别堆出自己的云计算产品来抢夺先机。2.云计算的安全体系架构云计算平台和传统计算平台的最大区别在于计算环境，云平台的计算环境是通过网络把多个成本相对较低的计算实体整合而形成的一个具有强大计算能力的系统，这样的一个系统势必比传统意义上的计算环境要更加复杂。对云平台的计算环境的保护也是云平台下信息安全整体保护体系的重中之重。强大、方便的云计算服务是通过客户端最终展现给用户的，在云计算环境完成了客户所要求的工作或服务后，这些工作、服务的成果应通过一个安全的途径传输并最终展现在客户端上。云计算环境下的通信网络就是保证云计算环境到客户端、云计算环境之间进行信息传输以及实施安全策略的部件。区域边界是云计算环境与云通信网络实现边界连接以及实施安全策略的相关部件。真正的云计算环境应是可控的，在这一可控的云区域与其外部的不可控区域之间，应遵循一套规则来确保只有通过认证的用户才能管理和使用云，从而保证云计算环境区域的安全。云计算环境内部的各个部件的正常运转、数据在云内的安全传输、云计算环境以及云区域边界上的安全机制的执行，都需要进行统一的安全管理。操作、使用云服务，也应遵守一定的管理规章制度。云计算环境下的安全管理就是一套对云计算环境内部以及云边界的安全机制实施统一管理，并控制操作、使用云计算服务的行为的手段。3.云计算面临的安全风险3.1 IaaS(基础设施层)的安全与风险分析（1）首先用户的数据在云中会存在泄露的危险。当用户迁移到云的时候，对于客户和他们的数据来说，有两大改变。其一，相对于客户的地理位置来说，数据会被远程存储；其二，数据通常是从单租户环境迁移到多租户环境的，这就是数据泄露问题发生的源头。数据泄露只不过是一个客户到另一个客户的数据迁移，实际上在云中的每个客户都应该只能访问他们自己的数据，而不能访问其他客户的数据。（2）计算服务性能不可靠。主要包括硬件与软件问题。硬件问题包括服务器、存储、网络的问题，硬件的不兼容、不稳定以及不易维护性，这都有可能造成计算性能的不可靠；软件主要指统一部署与硬件之上的虚拟化软件的可靠性能，包括兼容性、稳定性、可维护性等。（3）远程管理认证危险。IaaS资源在远端，因此你需要某些远程管理机制，这就存在认证上的危险，比如账户的盗用，冒用，丢失等。（4）虚拟化技术所带来的风险。由于IaaS基于虚拟化技术搭建，虚拟化技术所带来的风险便不可避免，包括堆栈溢出、权限管理、虚拟化管理程序软件会成为被攻击的目标等等。（5）用户本身的焦虑。包括我的数据放在哪里，如何保证我的数据安全性等。（6）服务中断。包括数据中心宕机，停止对外服务，以及灾难、电力供应等的毁灭性破坏。此类破坏大部分为不可抗拒性破坏，由于IaaS从层面上来说，更接近底层硬件设施，因而对硬件设施的这些问题，应该给予更多的关注。此类事件一旦发生，便会造成数据中心毁灭性的破坏。3.2 PaaS(云平台)的安全与风险分析（1）应用配置不当。当你在云基础架构中运行应用以及开发平台时，应用在默认配置下安全运行的概率机会基本为零。因此，你最需要做的事就是改变应用的默认安装配置。要熟悉一下应用的安全配置流程，也就是说如果要使用它们，就要知道如何确保其安全，因为它们占据了PaaS云架构中所有应用的80%之多。（2）平台构建漏洞，可用性、完整性差。任何平台都存在漏洞的风险，有些平台极端环境下可用性、完成性的工作能力不够，比如在大量网络连接下，web服务器的承受能力等。在对外提供API的平台应用中，编程环境的漏洞、堆栈溢出的漏洞、高权限非法获取的漏洞都会存在。（3）SSL协议及部署缺陷。对PaaS用户而言，第三个需要考虑的威胁是SSL攻击。SSL是大多数云安全应用的基础。目前，众多黑客社区都在研究SSL，SSL在不久的将来或许会成为一个主要的病毒传播媒介。因此，客户必须明白当前的形势，并采取可能的办法来缓解SSL攻击，这样做只是为了确保应用不会被暴露在默认攻击之下。（4）云数据中的非安全访问许可。对于PaaS用户而言，第四个需要考虑的威胁是需要解决对云计算中数据的非安全访问问题。尽管说这似乎是一个特定环境下的问题，但我经过测试发现，许多应用实际上存在严重的信息漏洞，数据的基本访问许可往往设置不当。从安全的角度讲，这意味着系统需要批准的访问权限太多。3.3 SaaS(应用服务层)的安全与风险分析（1）数据安全。SaaS提供的是一种数据托管服务，成千上万的企业将自己的信息托管于SaaS服务商。在信息输过程中极易丢失或被非法入侵主机的黑客篡改、窃取，为病毒所破坏或者因为程序的而不小心被其他使用者看到。（2）垃圾邮件与病毒。病毒、蠕虫邮件在网络中传播大量占用用户网络带宽资源，企业中被感染的局域网用户机器被植入木马程序，可能导致敏感、机密信息数据泄露(如重要文件、账号密码等)。（3）软件漏洞，版权问题。（4）操作系统以及IE浏览器的安全漏洞。由于目前操作系统、lE浏览器漏洞较多，容易被病毒、木马程序等破坏。而也就是因为这样用户口令丢失的事情时有发生，从而使得安全性得不到保障。（5）人员管理以及制度管理的缺陷。服务商内部人员的诚信、职业道德可能造成安全危险，另外，安全法律制度的不健全，保密规范和条款缺失，也是一个急需解决的问题。（6）缺少第三方监督认证机制。4.云计算的安全解决方案4.1 IaaS的安全风险对策（1）数据可控以及数据隔离。对于数据泄漏风险而言，解决此类风险主要通过数据隔离。可以通过三类途径来实现数据隔离：其一，让客户控制他们需要使用的网络策略和安全。其二，从存储方面来说，客户的数据应该存储在虚拟设备中，由于实际上虚拟存储器位于更大的存储阵列上，因而采取了虚拟存储，便可以在底层进行数据隔离，保证每个客户只能看到自己对应的数据。其三，在虚拟化技术实现中，可以考虑大规模部署虚拟机以实现更好的隔离，以及使用虚拟的存储文件系统，比如VMware的VMFS文件系统。（2）综合考虑数据中心软硬件部署。在软硬件选用中，考虑品牌厂商，硬件的选择要综合考虑质量、品牌、易用性、价格、高可维护性等一系列因素，并选择性价比高的厂商产品。在虚拟化软件选择中，也需要在价格、厂商、质量之间平衡。建议有条件的客户首先聘请咨询公司进行咨询。市场上，目前有三个云计算联盟可以提供完整的云计算解决方案，包括从底层的硬件到上层的软件。分别是Cisco+EMC+VMware，IBM，HP+Microsoft（3）建立安全的远程管理机制。根据定义，IaaS资源在远端，因此你需要某些远程管理机制，最常用的远程管理机制包括：VPN：提供一个到IaaS资源的安全连接。远程桌面、远程Shell：最常见的解决方案是SSH。Web控制台UI：提供一个自定义远程管理界面，通常它是由云服务提供商开发的自定义界面。对应安全策略如下：A.缓解认证威胁的最佳办法是使用双因子认证，或使用动态共享密钥，或者缩短共享密钥的共享期。B.不要依赖于可重复使用的用户名和密码。C.确保安全补丁及时打上。D.对于下面这些程序：SSH：使用RSA密钥进行认证；微软的远程桌面：使用强加密，并要求服务器认证；VNC：在SSH或SSL/TLS隧道上运行它；Telnet：不要使用它，如果你必须使用它，最好通过VPN使用。E.对于自身无法保护传输数据安全的程序，应该使用VPN或安全隧道（SSL/TLS或SSH），推荐首先使用IPSEC，然后是SSLv3或TLSv1。（4）选择安全的虚拟化厂商以及成熟的技术。最好选择要能有持续的支持以及对安全长期关注的厂商。定期更新虚拟化安全补丁，并关注虚拟化安全。成熟的虚拟化技术不但能够预防风险，在很大情况下还能增强系统安全性，比如VMware对有问题虚拟机的隔离，DRS系统动态调度等。（5）建立健全IT行业法规。在云计算环境下，用户不知道自己的数据放在哪儿，因而会有一定的焦虑，比如我的数据在哪儿，安全吗？等等的疑问。在IaaS环境下，由于虚拟机具有漂移特性，用户很大程度上不知道数据到底存放在那个服务器、存储之上。另外由于数据的独有特点，一旦为别人所知，价值便会急剧降低。这需要从法律、技术两个角度来规范，首先建立健全法律，对数据泄漏、IT从业人员的不道德行为进行严格约束，从人为角度防止出现数据泄漏等不安全现象。其次，开发虚拟机漂移追踪技术、IaaS下数据独特加密技术，让用户可以追踪自己的数据，感知到数据存储的安全。（6）针对突然的服务中断等不可抗拒新因素，采取两地三中心策略。服务中断等风险在任何IT环境中都存在，在部署云计算数据中心时，最好采取基于两地三中心策略，进行数据与环境的备份。图 数据中心两地三中心防灾方案生产中心与同城灾备中心一般在同一个城市，距离在10Km以内，异地灾备中心通常在国家的另一个区域，距离可以跨越数个省份。生产中心为对外提供服务的主中心，由于与同城灾备中心距离近，可以采取裸光纤相连，采取同步复制模式，数据实时保持同步。同城灾备中心与异地灾备中心数据由于距离远，只能采取WAN连接，因此采取异步复制模式。在该环境下，一旦生产中心发生毁坏，同城灾备中心可以实时承接对外服务的任务，在此情况下，用户感觉不到任何的服务中断。在发生地震或者战争等大面积毁坏的情况下，生产中心与同城灾备中心服务同时中断，可以启用异地灾备中心对外服务，在这种情况下，由于数据需要恢复，用户感觉到服务中断，但短时间内会恢复，不会造成严重事故。4.2 PaaS安全风险对策（1）严格参照手册进行配置。严格按照应用程序供应商提供的安全手册进行配置，尤其是在Windows环境下，你需要具备确保IIS、MicrosoftSQL和.NET安全的能力。不要留有默认的密码或者不安全的Guest账户。（2）保证补丁能够及时得到更新。需要依靠应用供应商来提供正确应用配置或配置补丁的具体步骤。这里最关键的问题是要及时，必须要确保自己有一个变更管理项目，来确保SSL补丁和变更程序能够迅速发挥作用。（3）重新设计安全应用。要解决这一问题，需要从两方面来考虑。一方面需要对你的应用进行重新设计，把安全工作做得更细一点，来确保使用应用的所有用户都能被证明是真实可靠的。另一方面，通过这样做，你可以应用适当的数据和应用许可制度，来确保所有访问控制决策都是基于用户授权来制定的4.3 SaaS确保应用服务层的安全风险对策（1）建立可信安全平台。结合防火墙、入侵检测、病毒防治、权限控制以及安全邮件技术，保证网络传输时系统的应用和数据存储、传输的安全性。（2）数据存储与备份。这里的数据存储与备份针对运营数据，要达到安全性与实时性相结合。在SaaS环境下，为各个环节做冗余设计，保证任何一个硬件或者软件的单点故障都不会影响整个SaaS的运营。（3）选择可靠的操作系统，定期升级软件补丁，并关注版权信息。选择稳定的主流操作系统，定期更新操作系统与软件补丁，定时扫描漏洞。有条件的客户可以选择安全专家对系统做评估，并选用定制的网络设备或者硬件设施。（4）对服务器跟客户端的安全都要重视。对于客户端，最好采用通过SSL服务器端认证的HTTPS协议，保证所有传输的数据都是加密过的，以保证数据传输安全。同时对于身份认证，可以考虑给予USBKey的方式，唯一识别客户身份。对于服务器方面，可以使用虚拟化的高可用技术，以保证任意一台服务器出现故障，不会影响系统的整体可用性。（5）选择可靠的SaaS提供商。首先，可靠的SaaS提供商应该具有业界领先的成熟的安全技术，比如对于SaaS邮件提供商，成熟的反病毒、反垃圾邮件技术必不可少。其次，知识产权也比较重要，SaaS提供商拥有核心知识产权，可以保证以后服务的延续性与可靠性。最后，SaaS提供商最好要有业界良好的信誉以及安全资质，可以保证服务运行的可靠性与可信度，并能够提供持续的技术支持。（6）安全管理。首先，最好建立第三方监理制度，应用第三方监理确保科学化、公平化、专业化，才能使SaaS更合理、有效的运营下去。其次，安全制度也非常重要，要建立服务商与客户之间的诚信体系，社会方面也需要提供外部的法律支持，使泄露客户商机的行为能够收到惩处。良好的信用体系是SaaS安全发展的一个必要条件。再次，需要加强对人员技术知识和应急安全事件处理能力的培训，增强安全管理意识，并遵守安全管理规范。5.云计算通用安全技术分析上面分别从IaaS、PaaS以及SaaS角度分析了云安全所面临的风险以及解决方案，有些安全风险，在这三层都存在或者不能划分层次，而在云计算环境下，安全风险的解决方式也会有些变化。5.1云计算中的通用安全防护策略建立可信云，根据可信计算的思想，可信计算的是由可信任模块到操作系统内核层，再到应用层都建立关系，构建信任关系，并在此基础上，扩展到网络中建立起信任链，从而形成对病毒和木马的免疫。在云端，植入信任根，组成可信链，通过可信链的扩充组成可信云。安全认证。通过单点登录认证，强制用户认证，代理、协同认证、资源认证、不同安全域之间的认证或者不同认证方式相结合的方式。数据加密。加强数据的私密性才能保证云计算安全，无论是用户还是存储服务提供商，都要对文件数据进行加密，这样既保证文件的隐私性，又可以进行数据隔离。法律和协议。云计算的稳定运行和健康发展，需要完善的规章制度与法律保护。5.2传统安全技术在云计算下的分析DDoS攻击通常分为流量型攻击和应用型攻击。对于流量型攻击，防范方式与解决方式有流量统计、TCP代理、源探测、会话清洗等多种方法。对于应用层攻击，防范与解决方式则有应用协议格式认证、指纹过滤等清洗技术。这些技术对于明显有异常行为的DDoS攻击流量是很有效的。在云计算环境下，由于传统的DDos攻击防护一般采取被动模式，而新型的DDos一般采取小流量应用层攻击，这种攻击会造成性能的巨大消耗。对于僵尸网络、木马、蠕虫的检测过滤，一个困难就是这些恶意代码的样本难于获得，没有样本就无从特征，现在的恶意代码样本往往几天就失效了，收集不到其网络通信报文特征也就更难谈及检测和过滤。垃圾邮件，很多都是僵尸网络发起。黑客利用僵尸网络，不断的进行大规模的垃圾邮件发送，这些主机今天感染了僵尸网络发邮件，明天可能重新上网，IP发生了变化，黑名单很难奏效。基于这些分析，在云计算环境下，出现了两种新型的云安全技术，分别是：自动特征分析以及全网共享、信誉服务。（1）自动特征分析，该技术是指云中心端搜集云端上传的可执行文件信息，自动化的进行恶意性分析，识别是否是恶意代码，如果是恶意代码，则对其进行自动化检测，自动分析出其网络通信特征，然后云中心端再把这个样本的特征进行全云设备的下发，让云内所有设备的安全知识库升级。如果用户设备购买了这项特征库服务，也可以通过插入SDK包来享受自动化分析和全网特征共享带来的好处。这种云安全技术可以达到主动防御、源头打击的目的。（2）信誉服务，是云中心端搜集各个云端设备的检测结果，包括DDoS、僵尸网络、垃圾邮件、蠕虫等，把这些信息涉及的IP、域名、URL记录下来，利用关联和统计分析，并与域名反查、运营商的帐户系统、时间因素等结合起来，形成关于IP、域名、URL的信誉数据，云中心端可以利用这些信誉数据对云端设备和用户设备提供IP、域名、URL的信誉查询服务，这样当网络设备面临难于决策判断某个IP的当前动作是善意还是恶意的时候，结合其由历史统计分析得出的信誉黑白名单进行判断往往是很好的选择。这也就是信誉分析，知识为云。6.云计算安全的未来展望从信息安全领域的发展历程我们可以看到，每次信息技术的重大革新，都将直接影响安全领域的发展进程，云计算的安全也会带来相关IT行业安全的重大变革。一下为几个可能的发展方向：（1）IT行业法律将会更加健全，云计算第三方认证机构、行业约束委员会等组织有可能出现。只有这些社会保障因素更好的发展健全，才能从社会与人的角度保证云计算的安全。（2）云计算安全将带动信息安全产业的跨越式发展，信息安全将会进入以立体防御、深度防御等为核心的信息安全时代，将会形成以预警、攻击防护、响应、恢复为特征的生命周期安全管理。并在大规模网络攻击与防护、互联网安全监管等出现重大创新。（3）如下与云计算相关的信息安全技术将会得到更深发展：可信访问控制技术。利用密码学方法实现访问控制，具体实现上，可以考虑基于层次密钥生成与分配策略实时访问控制等方式。虚拟安全技术。虚拟技术是云计算的基石，在使用虚拟技术时，云架构服务商需要向其客户提供安全性和隔离保障。因此虚拟技术中的访问控制、数据计算、文件过滤扫描、隔离执行等安全技术将会有很好的发展前景。资源访问控制技术。在云计算中，每个云都有自己的不同管理域，每个安全域都管理着本地的资源和用户，当用户跨域访问时，域边界便需要设置认证服务，对访问者进行统一的认证管理。同时，在进行资源共享时，也需要对共享资源进行访问控制策略进行设置。7.结束语云计算的兴起，必然伴随着机会与挑战，同时面临的安全技术挑战也是前所未有。云计算安全设计技术领域，同时还面对标准化、法律法规、行业道德、监管模式等的挑战。需要IT领域、信息安全领域，乃至整个社会的研究者共同探索解决之道。本文从云计算简介入手，简单的介绍了当前国内外主要厂商的云计算平台，进而转入云安全讨论，从云计算体系结构开始，系统的介绍了每层所面对的风险与对策，再次基础上介绍了国内外云安全厂商的解决方案。最后，文章分析了云安全的现状与未来展望。参考文献1冯登国,张敏,张妍,徐霞,云计算安全研究,软件学报,2011,22(1):71832刘飞,张立涛,张志慧,SaaS模式存在的安全隐患及对策研究,syssecurity系统安全,第39期3杨勃,云计算商业价值及应用,云计算应用,2010年9月4陈丹伟,黄秀丽,任勋益,云计算以及安全分析,计算机技术与发展,2010年2月.