浅析云计算技术与安全
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅析云计算技术与安全范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】互联网的急速发展,计算机存储能力、能量消耗、数据处理能力急剧增长,计算机软硬件使用成本也随之升高;同时,大型企业数据资源的收集与分析对计算机的数据处理能力要求激增。本文介绍了云计算概念,云计算现状和存在的安全问题以及相应的对策。
【关键词】云计算;云计算安全
互联网的急速发展,计算机存储能力、能量消耗、数据处理能力急剧增长,计算机软硬件使用成本也随之升高;同时,大型企业数据资源的收集与分析对计算机的数据处理能力要求激增。2006年8月,Google首席执行官埃里克・施密特在搜索引擎大会上首次提出“云计算”(Cloud Computing)。随后,“云计算”席卷了整个IT界,为全球IT界带来了一场全新的变革。但是由于云计算不同于现有的以桌面为核心的数据处理和应用服务都在本地计算机中完成的使用习惯,而是把这些都转移到“云”中,改变我们获取信息,分享内容和相互沟通的方式,所以云计算安全关系到我们所有的数据的安全,关系到云计算这种革命性的计算模式是否能够被业界接受。本文将针对云计算的概念、云计算所面临的诸多安全问题进行分析。
一、云计算的概念
(一)云计算的定义
云计算并不是突然横空出世的全新技术,它是网格计算、分布式计算、并行计算、效用计算网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。Cloud Computing的一个核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力。简单来说,人们常把云计算服务比喻成电网的供电服务。云计算对技术产生的作用就像电力网络对电力应用产生的作用一样,电力网络改进了公司的运行,每个家庭从此可以享受便宜的能源,而不必自己家里发电。这意味着计算能力也可以作为一种商品进行流通,就像煤气、水电一样,取用方便,费用低廉。
(二)云计算体系结构和特点
云计算的基本原理是通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。
云计算有高可靠性、通用性、高可伸缩性和高危险性四大特点。
高可靠性“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。通常,本地计算终端受到影响的因素过多,使得计算结果具有高风险的错误率,而通过云计算,使得用户需求的计算可以通过其他用户的需求进行类比,达到多副本容错性,最大程度地降低了错误的概率,减少了不必要的错误出现。
通用性云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。在云计算中,任何计算都可以得到响应,只要用户提出需求,“云”就可以安排相应的计算平台来进行运算,使得用户不必查找相应的平台来适应自身的计算,故“云”可以支撑任何用户计算需求,通用性非常高。
高可伸缩性“云”的规模可以动态伸缩,以满足应用和用户规模增长的需要。可扩展性是“云”又一大优势,它可以无限伸展来满足各类需求。只要用户提出需求,“云”可以调动世界各地的运算终端来满足计算需要。尤其是,用户只需要单一的大型计算,无需增加任何配置,即可以通过“云”来满足自己的需要。
高危险性云计算服务除了提供计算服务外,还必须提供存储服务功能。如果云计算服务当前控制在私人机构(企业)手中,他们则仅仅能够提供商业信用的保证。所以,对于政府机构、涉及公共利益或敏感信息的商业机构(如银行),选择云计算服务时应保持足够的警惕。
二、云计算的现状
目前,云计算主要是由Amazon、Google、IBM、微软等ICT巨头在积极推动研究和部署,比较成熟的云计算业务和应用包括Google的App Engine,Amazon的弹性计算云EC2和简单存储服务S3,微软的Azure云平台,IBM的“蓝云”等。Amazon:使用弹性计算云(EC2)和简单存储服务(S3)为企业提供计算和存储服务。收费的服务项目包括存储服务器、带宽、CPU资源以及月租费。月租费与电话月租费类似,存储服务器、带宽按容量收费,CPU根据时长(小时)运算量收费。
Google:是当今最大的云计算的使用者。Google搜索引擎就建立在分布在200多个地点、超过100万台服务器的支撑之上,这些设施的数量正在迅猛增长。Google地球、地图、Gmail、Docs等也同样使用了这些基础设施。采用Google Docs之类的应用,用户数据会保存在互联网上的某个位置,可以通过任何一个与互联网相连的系统十分便利地访问这些数据。
IBM:2007年11月推出了“蓝云”,为客户带来即买即用的云计算平台。它包括一系列的自动化、自我管理和自我修复的虚拟化云计算软件,使来自全球的应用可以访问分布式的大型服务器池。使得数据中心在类似于互联网的环境下运行计算。
微软:2008年10月推出了Windows Azure操作系统。Azure(译为“蓝天”)是继Windows取代DOS之后,微软的又一次颠覆性转型――通过在互联网架构上打造新云计算平台,让Windows真正由PC延伸到“蓝天”上。微软拥有全世界数以亿计的Windows用户桌面和浏览器,现在它将它们连接到“蓝天”上。Azure的底层是微软全球基础服务系统,由遍布全球的第四代数据中心构成。
三、云计算的安全问题
(一)对云的不良使用
IaaS(基础设施即服务)供应商对登记程序管理不严。任何一个持有有效信用卡的人都可以注册并立即使用云服务。通过这种不良的滥用,网络犯罪分子可以进行攻击或发送恶意软件。云供应商需要有严格的首次注册制度和验证过程,并监督公共黑名单和客户网络活动。
(二)不安全的API
通常云服务的安全性和能力取决于API的安全性[1],用户用这些API管理和交互相关服务。这些API接口的设计必须能够防御意外和恶意企图的政策规避行为,以确保强用户认证、加密和访问控制的有效。
(三)恶意的内部人员
当缺乏对云供应商程序和流程认识的时候,恶意内部人员的风险就会加剧。企业应该了解供应商的信息安全和管理政策,强迫其使用严格的供应链管理以及加强与供应商的紧密合作。同时,还应在法律合同中对工作要求有明确的指定说明,以规范云计算运营商处理用户数据等这些隐蔽的过程。
(四)共享技术的问题
IaaS厂商用在基础设施中并不能安全地在多用户架构中提供强有力的隔离能力。云计算供应商使用虚拟化技术来缩小这一差距,但是由于安全漏洞存在的可能性,企业应该监督那些未经授权的改动和行为,促进补丁管理和强用户认证的实行。
(五)数据丢失或泄漏
降低数据泄漏的风险,意味着实施强有力的API访问控制以及对传输过程的数据进行加密。
(六)账户或服务劫持
如果攻击者控制了用户账户的证书,那么他们可以为所欲为,窃听用户的活动、交易,将数据变为伪造的信息,将账户引到非法的网站。企业应该屏蔽用户和服务商之间对账户证书的共享,在需要的时候使用强大的双因素认证技术。
(七)未知的风险
了解用户所使用的安全配置,无论是软件的版本、代码更新、安全做法、漏洞简介,入侵企图还是安全设计。查清楚谁在共享用户的基础设施,尽快获取网络入侵日志和重定向企图中的相关信息[2]。
四、针对云计算安全问题的对策
针对云计算存在的一系列的安全问题,可以通过云计算安全服务体系来解决。云计算安全服务体系是由一系列云安全服务构成,是实现云用户安全目标的重要技术手段。根据其所属层次的不同,云安全服务可以进一步分为可信云基础设施服务、云安全基础服务以及云安全应用服务3类。
(一)安全云基础设施服务
云基础设施服务为上层云应用提供安全的数据存储、计算等IT资源服务,是整个云计算体系安全的基石。这里,安全性包含两个层面的含义:其一是抵挡来自外部黑客的安全攻击的能力;其二是证明自己无法破坏用户数据与应用的能力。一方面,云平台应分析传统计算平台面临的安全问题,采取全面严密的安全措施。例如,在物理层考虑厂房安全,在存储层考虑完整性和文件/日志管理、数据加密、备份、灾难恢复等,在网络层应当考虑拒绝服务攻击、DNS安全、网络可达性、数据传输机密性等,系统层则应涵盖虚拟机安全、补丁管理、系统用户身份管理等安全问题,数据层包括数据库安全、数据的隐私性与访问控制、数据备份与清洁等,而应用层应考虑程序完整性检验与漏洞管理等。另一方面,云平台应向用户证明自己具备某种程度的数据隐私保护能力。例如,存储服务中证明用户数据以密态形式保存,计算服务中证明用户代码运行在受保护的内存中,等等。由于用户安全需求方面存在着差异,云平台应具备提供不同安全等级的云基础设施服务的能力。
(二)云安全基础服务
云安全基础服务属于云基础软件服务层,为各类云应用提供共性信息安全服务,是支撑云应用满足用户安全目标的重要手段。其中比较典型的几类云安全服务包括:
1.云用户身份管理服务
主要涉及身份的供应、注销以及身份认证过程。在云环境下,实现身份联合和单点登录可以支持云中合作企业之间更加方便地共享用户身份信息和认证服务,并减少重复认证带来的运行开销。但云身份联合管理过程应在保证用户数字身份隐私性的前提下进行。由于数字身份信息可能在多个组织间共享,其生命周期各个阶段的安全性管理更具有挑战性,而基于联合身份的认证过程在云计算环境下也具有更高的安全需求;
2.云访问控制服务
云访问控制服务的实现依赖于如何妥善地将传统的访问控制模型(如基于角色的访问控制、基于属性的访问控制模型以及强制/自主访问控制模型等)和各种授权策略语言标准(如XACML,SAML等)扩展后移植入云环境。此外,鉴于云中各企业组织提供的资源服务兼容性和可组合性的日益提高,组合授权问题也是云访问控制服务安全框架需要考虑的重要问题。
3.云审计服务
由于用户缺乏安全管理与举证能力,要明确安全事故责任就要求服务商提供必要的支持。因此,由第三方实施的审计就显得尤为重要。云审计服务必须提供满足审计事件列表的所有证据以及证据的可信度说明。当然,若要该证据不会披露其他用户的信息,则需要特殊设计的数据取证方法。此外,云审计服务也是保证云服务商满足各种合规性要求的重要方式。
4.云密码服务
由于云用户中普遍存在数据加、解密运算需求,云密码服务的出现也是十分自然的。除最典型的加、解密算法服务外,密码运算中密钥管理与分发、证书管理及分发等都可以基础类云安全服务的形式存在。云密码服务不仅为用户简化了密码模块的设计与实施,也使得密码技术的使用更集中、规范,也更易于管理。
(三)云安全应用服务
云安全应用服务与用户的需求紧密结合,种类繁多。典型的例子,如DDOS攻击防护云服务、Botnet检测与监控云服务、云网页过滤与杀毒应用、内容安全云服务[3]、安全事件监控与预警云服务、云垃圾邮件过滤及防治等。传统网络安全技术在防御能力、响应速度、系统规模等方面存在限制,难以满足日益复杂的安全需求,而云计算优势可以极大地弥补上述不足:云计算提供的超大规模计算能力与海量存储能力,能在安全事件采集、关联分析、病毒防范等方面实现性能的大幅提升,可用于构建超大规模安全事件信息处理平台,提升全网安全态势把握能力。此外,还可以通过海量终端的分布式处理能力进行安全事件采集,上传到云安全中心分析,极大地提高了安全事件搜集与及时地进行相应处理的能力。
总之,随着云计算的推广和普及,对云计算的安全研究不会停止,在关注云计算用户接入、数据加密、访问控制、虚拟化技术安全的同时,不仅要严格使用安全服务体系来降低云计算安全问题,同时也要加强法律与人员对云计算安全的支持。
参考文献
[1]冯登国.云计算安全研究[J].软件学报,2011,22(1).
[2]卢宪雨.浅析云环境下可能的网络安全风险[J].计算机光盘软件与应用,2012(10).
[3]刘鹏.云计算(第二版)[M].电子工业出版社,2011,5,1.
作者简介:
卢娟(1982―),女,湖北天门人,大学本科,讲师,主要研究方向:计算机网络与应用教学。