云計(jì)算及安全性分析

1、云計(jì)算及安全性分析摘要:云運(yùn)確實(shí)是一種基于互聯(lián)網(wǎng)的新興的超級(jí)運(yùn)算模式,該文在業(yè)界多種關(guān)于云運(yùn)算定義的基礎(chǔ)上,分析了云運(yùn)算的特點(diǎn)給出了云運(yùn)算概念。在此基礎(chǔ)上,介紹了Gartner提出的七大安全風(fēng)險(xiǎn)中的數(shù)據(jù)位置、數(shù)據(jù)隔離和數(shù)據(jù)復(fù)原三大風(fēng)險(xiǎn),分析了云運(yùn)算的安全。最后給出了云運(yùn)算以后的進(jìn)展方向。關(guān)鍵詞:云運(yùn)算;概念;特點(diǎn);安全TheConceptofCloudComputingandSecurityAnalysisCHENZhen-zhen(SchoolofComputerScienceandTechnology,ChinaUniversityofMiningandTechnology,Xuzhou2

2、21116,China)Abstract:CloudcomputingisanemergingInternet-basedsuper-computingmodel.Thispaperanalyzedthecharacteristicsofcloudcomputingandgavetheconceptofcloudcomputingonthebasisofavarietyofitsdefinitionsintheindustry.Onthisbasis,introduceddatalocation,dataisolationanddatarecoveryofsevensecurityrisksp

3、roposedbyGartner,analyzedthesecurityofcloudcomputing.Finally,gavethefuturedirectionofcloudcomputing.Keywords:cloudcomputing;concept;characteristic;security云運(yùn)算代表了信息時(shí)代的以后,是個(gè)熱度專門高的新名詞,越來(lái)越被人們所關(guān)注。然而云運(yùn)算并不是瞬時(shí)橫空出世的全新技術(shù),它是分布式運(yùn)算、并行運(yùn)算和網(wǎng)格運(yùn)算混合演進(jìn)的結(jié)果,它描述了一種能夠通過互聯(lián)網(wǎng)進(jìn)行訪咨詢的擴(kuò)展應(yīng)用程序,是在實(shí)際應(yīng)用需求中應(yīng)運(yùn)而生的。眾多知名IT企業(yè)是云運(yùn)算的先行者,它們紛紛推出

4、云運(yùn)算基礎(chǔ)設(shè)施或云運(yùn)算平臺(tái),如Sun的云基礎(chǔ)設(shè)施,IBM的“藍(lán)云”運(yùn)算平臺(tái),Google的云運(yùn)算基礎(chǔ)設(shè)施,微軟的Azure云平臺(tái),Amazon的彈性云運(yùn)算。同時(shí)學(xué)術(shù)界也紛紛對(duì)云運(yùn)算進(jìn)行研究,事實(shí)上,在云運(yùn)算的概念提出之前學(xué)術(shù)界差不多得出針對(duì)云運(yùn)算方便用戶使用方面的研究成果,例如遠(yuǎn)在云運(yùn)算提出之前我國(guó)運(yùn)算機(jī)研究人員已有透亮運(yùn)算的構(gòu)思1。在各大IT企業(yè)及學(xué)術(shù)界的共同推動(dòng)下,并隨著網(wǎng)絡(luò)軟件的改進(jìn)和網(wǎng)絡(luò)速度的提升,云運(yùn)算進(jìn)展極為迅速,能夠完成的任務(wù)越來(lái)越多,IDC推測(cè)在以后的15-20年內(nèi)云運(yùn)算將成為阻礙整個(gè)IT行業(yè)的關(guān)鍵性因素。當(dāng)云運(yùn)算成為各大公司競(jìng)相追逐的對(duì)象的時(shí)候，第一亞馬遜S3服務(wù)中斷，接著G

5、oogle公司誤將用戶的部分在線文檔進(jìn)行共享，這些事故讓多數(shù)業(yè)內(nèi)人士和用戶對(duì)云運(yùn)算的安全提出了質(zhì)疑。國(guó)際數(shù)據(jù)公司IDC的高級(jí)副總裁兼要緊分析師FrankGens指出目前云運(yùn)算的安全是用戶最關(guān)懷的咨詢題。美國(guó)知名市場(chǎng)研究公司Gartner于2008年6月公布的云運(yùn)算安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告中指出云運(yùn)算潛在的七大安全風(fēng)險(xiǎn)。以上表明云運(yùn)算尚未成熟,云運(yùn)算的安全是決定云運(yùn)算進(jìn)展的規(guī)模和前景的關(guān)鍵性因素。1 云運(yùn)算簡(jiǎn)介自“云運(yùn)算”一詞顯現(xiàn)以來(lái),云運(yùn)算還沒有公認(rèn)的概念。各大IT企業(yè)針對(duì)不一樣的云運(yùn)算理念給出了不同的定義,學(xué)術(shù)界也眾講紛紜,從不同的角度提出了云運(yùn)算的定義,但事實(shí)上質(zhì)差不多上利用互聯(lián)網(wǎng)為企業(yè)和用戶

6、提供服務(wù)和應(yīng)用。本節(jié)按照云運(yùn)算的特點(diǎn)及業(yè)界給出的定義提出一個(gè)參考性的概念。1.1 云運(yùn)算的概念目前具有代表性的云運(yùn)算的定義要緊有以下幾種1) 2007年底,IBM公司在其技術(shù)白皮書2中第一次提到云運(yùn)算的概念,并指出云是一個(gè)虛擬化的運(yùn)算機(jī)資源池。云運(yùn)算一方面描述了提供服務(wù)的系統(tǒng)平臺(tái),即用來(lái)構(gòu)造應(yīng)用程序的基礎(chǔ)設(shè)施,另一方面描述了能夠通過互聯(lián)網(wǎng)進(jìn)行訪咨詢的可擴(kuò)展的應(yīng)用程序,如此用戶只需要一個(gè)標(biāo)準(zhǔn)的掃瞄器和合適的互聯(lián)網(wǎng)接入設(shè)備就能夠訪咨詢?cè)七\(yùn)算應(yīng)用程序1。2) 2009年2月10日,加州大學(xué)伯克利分校電子工程和運(yùn)算機(jī)科學(xué)系的MichaelArmbrust等3在“伯克利云運(yùn)算白皮書”中給出云的定義:云運(yùn)

7、算包含兩部分,一是互聯(lián)網(wǎng)上的各種應(yīng)用服務(wù),這些應(yīng)用服務(wù)一直被稱作軟件即服務(wù)(SoftwareasaService,SaaS廠是在數(shù)據(jù)中心提供這些應(yīng)用服務(wù)的軟硬件設(shè)施,即所謂的云(Cloud)。公共云是指以即用即付的方式提供給公眾的云,當(dāng)前典型的有AmazonWebServices、GoogleAppEngine和微軟的Azure等。私有云指那些不對(duì)公眾開放的企業(yè)或組織內(nèi)部數(shù)據(jù)中心的資源。公共云出售的是效用運(yùn)算，因此云運(yùn)算確實(shí)是SaaS和效用運(yùn)算，但一樣不包括私有云。3) 2009年,維基百科給云運(yùn)算下的最新定義4能夠明白得為云運(yùn)算采納的是按需即取的新運(yùn)算方式,用戶通過互聯(lián)網(wǎng)按需索取云運(yùn)算的資源

8、以獵取需要的服務(wù),這些資源是動(dòng)態(tài)的、易擴(kuò)展的、虛擬化的,集中在“云端”,那個(gè)地點(diǎn)的云端一樣指一些大型的服務(wù)器集群。4) 2009年4月24日,美國(guó)標(biāo)準(zhǔn)局(NIST)專家給出了一個(gè)概括了云運(yùn)算的五大特點(diǎn)、三大服務(wù)模式、四大部署模式的云運(yùn)算定義草案,云運(yùn)算定義的形象模型如圖1所示。定義內(nèi)容為5:云運(yùn)算提供可用的、方便的、按需的網(wǎng)絡(luò)訪咨詢,以便進(jìn)入一個(gè)可配置的運(yùn)算資源共享池(資源包括網(wǎng)絡(luò),服務(wù)器,儲(chǔ)備,應(yīng)用軟件,服務(wù)),這些資源只需投入專門少的治理工作或與服務(wù)供應(yīng)商進(jìn)行專門少的交互,就能夠快速地被提供和開釋,是一種按使用量付費(fèi)的模式,這種云運(yùn)算模式提升了可用性。1.2云運(yùn)算的特點(diǎn)1) 以互聯(lián)網(wǎng)為中心

9、。云運(yùn)算以互聯(lián)網(wǎng)為中心向用戶提供服務(wù),用戶通過互聯(lián)網(wǎng)獵取各種服務(wù)。2) 虛擬化。網(wǎng)絡(luò)、服務(wù)器、儲(chǔ)備等全部虛擬化,構(gòu)成虛擬資源池。3) 降低終端設(shè)備要求。終端用戶只要一個(gè)掃瞄器和能夠上網(wǎng)的接入設(shè)備就能夠訪咨詢?cè)七\(yùn)算應(yīng)用程序,降低對(duì)終端設(shè)備的要求。4)對(duì)用戶透亮。用戶在不需要關(guān)懷云內(nèi)部的細(xì)節(jié),不具備有關(guān)專業(yè)知識(shí)及不治理或操縱底層基礎(chǔ)設(shè)施的情形下就能夠通過網(wǎng)絡(luò)獵取服務(wù)。5)可擴(kuò)展性。云運(yùn)算通過動(dòng)態(tài)的擴(kuò)展虛擬化的層次能夠無(wú)縫地?cái)U(kuò)展到大規(guī)模的集群之上。6) 數(shù)據(jù)共享方便。在云運(yùn)算環(huán)境下數(shù)據(jù)分布在云端,不同用戶只需連接互聯(lián)網(wǎng)就能夠同時(shí)共享同一份數(shù)據(jù)。7) 按需付費(fèi)。用戶采納按使用情形付費(fèi)的方式來(lái)獲得服務(wù)。

10、按照上述云運(yùn)算的特點(diǎn)和不同定義,能夠得出一樣意義上云運(yùn)算的概念為:云運(yùn)算能夠看作是一種融合了虛擬化技術(shù)和Web2.0等技術(shù)的超級(jí)運(yùn)算模式,云端服務(wù)器通過網(wǎng)絡(luò)連接以虛擬機(jī)方式構(gòu)成虛擬資源池,具有超強(qiáng)的運(yùn)算能力、數(shù)據(jù)儲(chǔ)備能力和共享能力,它通過互聯(lián)網(wǎng)向用戶提供IT資源、各種應(yīng)用和數(shù)據(jù)等形式的服務(wù),用戶按需付費(fèi)。2云運(yùn)算的安全云運(yùn)算像是一把雙刃劍,給企業(yè)和用戶帶來(lái)龐大的潛力和好處的同時(shí)也帶來(lái)了安全和風(fēng)險(xiǎn)。本節(jié)第一介紹云運(yùn)算存在的七大安全風(fēng)險(xiǎn),簡(jiǎn)單分析了數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)復(fù)原三大風(fēng)險(xiǎn),最后分析了云運(yùn)算的安全。2.1 云運(yùn)算的七大安全風(fēng)險(xiǎn)美國(guó)高德納Gartner公司于2008年公布的一份名為云運(yùn)算安

11、全風(fēng)險(xiǎn)評(píng)估的報(bào)告,報(bào)告指出云運(yùn)算存在的七大安全風(fēng)險(xiǎn)6,7:優(yōu)先訪咨詢權(quán)、治理權(quán)限、數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)復(fù)原、調(diào)查支持、長(zhǎng)期進(jìn)展。那個(gè)地點(diǎn)簡(jiǎn)單分析三個(gè)差不多發(fā)生的風(fēng)險(xiǎn):數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)復(fù)原。1) 數(shù)據(jù)位置用戶使用云服務(wù)時(shí),用戶一樣不明白自己的數(shù)據(jù)儲(chǔ)存在哪個(gè)服務(wù)器上,甚至都不明白放置在哪個(gè)國(guó)家。Gartner建議用戶向提供商詢咨詢數(shù)據(jù)是否儲(chǔ)備在專門的司法管轄區(qū),以及他們是否會(huì)為遵循當(dāng)?shù)氐碾[私協(xié)議簽署一份合同。由于黑莓信息的服務(wù)器位于美國(guó)、加拿大和英國(guó),法國(guó)政府于2007年頒布法令禁止政府官員使用黑莓,以防止在某些情形下給法國(guó)政府帶來(lái)威逼。2) 數(shù)據(jù)隔離在云運(yùn)算環(huán)境下,所有數(shù)據(jù)都儲(chǔ)備在共

12、享環(huán)境中,對(duì)數(shù)據(jù)加密也不能保證數(shù)據(jù)絕對(duì)安全。Gartner建議將各個(gè)企業(yè)的數(shù)據(jù)隔離。3) 數(shù)據(jù)復(fù)原即使用戶不明白自己的數(shù)據(jù)在哪,云運(yùn)算提供商也應(yīng)當(dāng)告知用戶在發(fā)生重大事故的情形下其數(shù)據(jù)和服務(wù)將會(huì)面臨什么風(fēng)險(xiǎn)。任何托管的數(shù)據(jù)都要通過多個(gè)網(wǎng)站備份，否則數(shù)據(jù)會(huì)完全失效。Gartner認(rèn)為用戶需要咨詢提供商是否有完全復(fù)原數(shù)據(jù)的能力和復(fù)原數(shù)據(jù)需要的時(shí)刻。數(shù)據(jù)隔離和數(shù)據(jù)復(fù)原都與隱私安全有關(guān),但這類最敏銳的隱私信息差不多不止一次的大規(guī)模的外泄,如2007年英國(guó)政府于丟失2500萬(wàn)人的社會(huì)保證號(hào)碼等資料;美國(guó)農(nóng)業(yè)部(DOA)的運(yùn)算機(jī)系統(tǒng)被黑客入侵,黑客通過網(wǎng)絡(luò)盜竊了26000名在華盛頓地區(qū)的工作人員的姓名、社會(huì)

13、安全號(hào)碼、照片等個(gè)人信息。2.2 云運(yùn)算的安全8云安全聯(lián)盟(CSA)于2009年12月公布的云運(yùn)算關(guān)鍵領(lǐng)域安全指南V2.1中介紹了“什么是云運(yùn)算的安全”:在極大程度上,云運(yùn)算中的安全操縱和其它IT環(huán)境中的安全操縱沒有什么不同,然而,云運(yùn)算采納的是云服務(wù)模型、運(yùn)行模式及用來(lái)提供云服務(wù)的技術(shù),如此關(guān)于一個(gè)機(jī)構(gòu)來(lái)講,云運(yùn)算可能面臨著與傳統(tǒng)IT解決方案不同的風(fēng)險(xiǎn)。云運(yùn)算一個(gè)獨(dú)有的特點(diǎn)確實(shí)是即使運(yùn)行責(zé)任由某個(gè)或者某些第三方伙伴負(fù)責(zé),其也能在適度的失去操縱的同時(shí)又保持可糾責(zé)性(accountability)。成熟度、有效性和實(shí)現(xiàn)基于風(fēng)險(xiǎn)調(diào)劑的安全操縱的完整性是一個(gè)機(jī)構(gòu)的安全態(tài)勢(shì)的特點(diǎn),其中的安全操縱在一層

14、或多層上被實(shí)現(xiàn),從設(shè)備(物理安全）到網(wǎng)絡(luò)基礎(chǔ)設(shè)施（網(wǎng)絡(luò)安全）到IT系統(tǒng)（系統(tǒng)安全）一直到信息和應(yīng)用（應(yīng)用安全）,此外,操縱還在人員和過程層面上被實(shí)現(xiàn),例如人員的職責(zé)分離和過程的變更治理。云運(yùn)算的吸引力之一是經(jīng)濟(jì)的可擴(kuò)展性、重用和標(biāo)準(zhǔn)化所提供的成本效率,云提供商為了支撐這些效率則必須提供足夠靈活的服務(wù),以便服務(wù)最大可能的用戶群和最大發(fā)揮他們的市場(chǎng)。然而不幸的是,把安全集成到這些方案中通常被認(rèn)為使方案更加死板。與傳統(tǒng)的IT相比,云環(huán)境中的這種死板通常表現(xiàn)在沒有能夠獲得同等的安全操縱部署的能力,這要緊是因?yàn)榛A(chǔ)設(shè)施的抽象化、缺少可視化和缺少整合多種熟悉的專門是在網(wǎng)絡(luò)層的安全操縱的能力。1）在SaaS

15、環(huán)境下，在服務(wù)合同中協(xié)商安全操縱及其范疇，服務(wù)水平、隱私和合規(guī)性等在合同中依法涉及到。2）在IaaS環(huán)境中，提供商的職責(zé)是愛護(hù)底層基礎(chǔ)設(shè)施和抽象層的安全，其它安全愛護(hù)則屬于用戶的職責(zé)。3）PaaS位于兩者之間，提供商愛護(hù)平臺(tái)自身的安全，用戶則要愛護(hù)平臺(tái)上應(yīng)用的安全和開發(fā)應(yīng)用時(shí)的安全。3總結(jié)與展望云運(yùn)算這一概念越來(lái)越流行,本文列舉了幾個(gè)代表性較強(qiáng)的云運(yùn)算定義,如IBM公司定義的云運(yùn)算、伯克利云運(yùn)算白皮書中的云運(yùn)算定義、云運(yùn)算定義草案中的云運(yùn)算定義,在此基礎(chǔ)上,總結(jié)了云就算具有“以互聯(lián)網(wǎng)為中心、虛擬化、對(duì)用戶透亮、可擴(kuò)展性、數(shù)據(jù)共享方便等”七個(gè)特點(diǎn),進(jìn)而給出了一樣意義上云運(yùn)算的概念。云運(yùn)算的進(jìn)展前景寬敞,但其安全性延緩了云運(yùn)算的應(yīng)用和普及,云運(yùn)算的安全也成為RSA2