云計算面臨的安全挑戰(zhàn)

1、云計算面臨的的安全挑戰(zhàn)姓名：王磊杰 學號：112101161摘要：雖然云計算產(chǎn)業(yè)具有激動人心的市場前景，但對于使用云服務 的用戶而言，云計算存在著多方面的潛在風險和各種安全問題.在客 觀分析了當前云計算領域發(fā)展中面臨的安全挑戰(zhàn)問題基礎上，總結了 云安全領域的最新研究進展，最后還指出了云安全領域的主要研究方 向.云計算與可信計算技術的融合研究將成為云安全領域的重要趨 勢。1.引言云計算是以虛擬化技術為基礎，以網(wǎng)絡為載體提供基礎架構、平 臺、軟件等服務為形式，整合大規(guī)?？蓴U展的計算、存儲、數(shù)據(jù)、應 用等分布式計算資源進行協(xié)同工作的超級計算模式。在云計算模式 下，用戶不再需要購買復雜的硬件和軟件，而

2、只需要支付相應的費用 給“云計算”服務提供商，通過網(wǎng)絡就可以方便地獲取所需要的計算、 存儲等資源.對于該定義需要特別說明的是，云計算的一個重要價值 是軟硬件需求的按需擴展能力，完全脫離“本地”計算、數(shù)據(jù)資源的 云計算只是一種比較理想的狀態(tài)，考慮到私有云、遺留系統(tǒng)、可靠性、 安全性等因素，云計算具有整合資源按需擴展方面的特殊意義。根據(jù)國際數(shù)據(jù)公司(IDC)的預測，全球云計算的市場規(guī)模將從2008 年的160億美元增加到2012年的420億美元，占總投入比例也將由 4.2%上升到8.5%。此外，根據(jù)預測，2012年云計算的投入將占IT 年度投入增長的25%，而到2013年則會占30%以上.全球最具

3、權威 的IT研究與顧問公司甘特納(Gartner)的數(shù)據(jù)分析則認為2009年云計 算市場收入增加20%以上，超過560億美元；而投資機構關林集團 (MerrillLynch)則認為云計算在2011年將會有1600億美元的市場。每 個公司基于不同的云計算定義和理解，這也解釋了市場規(guī)模和估價的 差異。云計算技術的出現(xiàn)使得人們可以直接通過網(wǎng)絡應用獲取軟件和 計算能力，這一新的模式將會給傳統(tǒng)的IT產(chǎn)業(yè)帶來一場巨大的變革， 云計算正在成為一種發(fā)展趨勢。雖然云計算產(chǎn)業(yè)具有巨大的市場增長前景，但對于使用云服務的 用戶而言，云計算存在著多方面的潛在風險和各種安全問題。在客觀 分析了當前云計算領域發(fā)展中面臨的安

4、全挑戰(zhàn)問題基礎上，總結了云 安全領域的最新研究進展，最后指出了云安全領域的主要研究方向。 云計算與可信計算技術的融合研究將成為云安全領域的重要方向。2安全問題成為領域發(fā)展的最大挑戰(zhàn)近幾年來，云服務提供商頻頻出現(xiàn)各種不安全的事件.2008年2 月15日Amazon出現(xiàn)了網(wǎng)絡服務宕機事件，使得幾千個依賴亞馬遜 的EC2云計算和s3云存儲的網(wǎng)站受到影響，其中包括Twitter， SmugMug， 37Signals 和 AdaptiveBlue 等。2009 年 2 月 24 日，谷歌Gmail郵箱爆發(fā)全球性故障，服務中斷時間長達4h。此次故障是由于 位于歐洲的數(shù)據(jù)中心例行性維護，導致歐洲另一個數(shù)據(jù)

5、中心過載，連 鎖效應擴及其他數(shù)據(jù)中心，最終致使全球性斷線。2009年3月7日， Google發(fā)生了大批用戶文件外泄事件。2009年3月15日，微軟的云 計算平臺Azure停止運行約22h，微軟至今沒有給出詳細的故障原因。 2009年6月11日，Amazon的EC2中斷了小時，原因是雷擊損壞了 公司數(shù)據(jù)中心的電力設備，造成一些AWS客戶服務中斷.2009年7 月19日，亞馬遜云計算服務網(wǎng)絡服務再次中斷。云計算在極大地方便用戶和企業(yè)廉價使用存儲資源、軟件資源、 計算資源的同時，面臨的最大挑戰(zhàn)或者說存在的問題來自安全方 面.文獻2總結的云計算十大問題與機會，其中服務可用性、數(shù)據(jù) 防丟失、數(shù)據(jù)保密性和

6、可審計性、數(shù)據(jù)傳輸瓶頸、性能不可預知性、 大規(guī)模分布式系統(tǒng)中的漏洞、聲譽共享等都與保密性和可靠性相 關.文獻1也提出云計算必須妥善解決安全、數(shù)據(jù)和應用的互操作、 數(shù)據(jù)和應用可移植性、治理和管理、計量和監(jiān)測5項挑戰(zhàn)，否則將影 響其實現(xiàn)承諾.國內(nèi)“計世資訊”發(fā)布的2009中國云計算發(fā)展狀 況白皮書也指出“云計算技術的穩(wěn)定性、可靠性和安全性如何”是 當前國內(nèi)用戶對云計算的主要顧慮之一.惠普的云計算專家Goldsack 等人也認為：云計算基礎設施服務必須具備隱私性和安全性、服務質(zhì) 量和性能保證、靈活性、向上和向下的可伸縮裁剪性以及故障恢復能 力等一些特定屬性，才能夠滿足企業(yè)級的要求。3.云安全領域的研

7、究進展由于整個云計算領域的研究剛剛起步，有關云安全的研究還非常 少，云安全的基本概念或界定也還比較模糊混亂。RSAE，Gartner， CSA，SUN，IBM等組織在云計算領域的最新研究對云安全管理與技 術的發(fā)展具有積極意義。RSA在其云計算安全自皮書中，列舉了供 應商管理、技術標準、數(shù)據(jù)可遷移性、數(shù)據(jù)機密與隱私、訪問控制、 符合性、以及安全服務水平等方面的安全度量指標，并總結了基礎設 施、身份、信息等3大類云計算安全要素。RSA實驗室的Bowers等 人還提出了一種高可靠性、完整性云存儲模型HAIL，并進行了安全 性和效率方面的實驗。2008年7月，國際研究機構甘特納(Gartner)發(fā)布的

8、一份名為 “Teleworking in the Cloud： Security Risks and Remedies” 的報告，也 列舉了云計算存在的特權用戶的接人、可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔 離、數(shù)據(jù)恢復、調(diào)查支持、長期生存性等7大風險。報告認為，云計 算需要進行安全風險評估的領域包括數(shù)據(jù)完整性、數(shù)據(jù)恢復及隱私 等。此外，還需對電子檢索、可監(jiān)管性及審計問題進行法律方面的評 價。2008年10月，1BM發(fā)布的新興安全性技術趨勢展望白皮書 概括了預計在接下來25年內(nèi)將會影響安全性環(huán)境的九個重要的趨 勢和技術，其中排在第一位的趨勢為“保護虛擬化環(huán)境的安全”。具 體包括對云計算環(huán)境中以下3方面問題

9、的解決：各組織(云服務提 供商)應該準備好強有力的單獨管理功能，通過可在多個虛擬化平臺 問應用的分離策略，可以從其余用戶中分離出專用于某個用戶的應 用、數(shù)據(jù)和基礎設施；應該像保護物理環(huán)境那樣有力地保護和管理 虛擬環(huán)境的完整性.應該將網(wǎng)絡監(jiān)控和入侵防御等傳統(tǒng)的安全性功能 應用到虛擬環(huán)境中；由于虛擬化資源是作為數(shù)據(jù)圖像存儲的，所以 有可能遭到污染.各組織應該建立圖像管理功能，以保護并維護包括 功能強大的變更和批處理管理程序等在內(nèi)的資源定義。2009年4月，在美國舊金山的RSA大會上正式成立的云安全聯(lián) 盟(CSA )發(fā)布的一份名為“云計算關鍵領域安全指南”的報告提出了 便攜性與互用性，數(shù)據(jù)中心，操作

10、管理，法規(guī)與審計，事件響應、告 知與修復，應用安全，加密與密鑰管理，身份認證與訪問控制等15 個需要解決的領域安全問題。全面概括了云計算用戶和提供商必須解 決的問題，涵蓋了和云計算相關的法律、技術和管理等各方面問題。云安全是一個綜合的概念和問題，研究的是云計算過程涉及的環(huán) 境、流程、技術、管理、服務等各個層面的安全問題。如果單純從某 一個層面如技術角度去定義，無疑是偏面的，不能從根本上揭示問題 本質(zhì)。云安全領域研究工作的努力目標是達成安全云或安全云計算， 雖然這事實上是一個沒有終點的方向。目前，云服務商在信息安全的工作還非常有限。一般只是對存儲 數(shù)據(jù)進行加密，使用SSL，SSH等安全協(xié)議保證數(shù)

11、據(jù)傳輸安全和用戶 安全訪問。但是當用戶數(shù)據(jù)在后端服務器的內(nèi)存(RAM)中計算處理 時，則必須是以明文的形式才能進行處理的，這為利用操作系統(tǒng)漏洞 攻擊載入內(nèi)存中的數(shù)據(jù)提供了可能。如何對內(nèi)存數(shù)據(jù)進行保護和隔離將是云計算的重要安全需求之一。文獻2提出了如圖1所示的安全云，其中公共云中用戶的數(shù)據(jù)與 其他組織的數(shù)據(jù)充分隔離存儲，通過采用安全獨立的云區(qū)域提供虛擬 機資源保證高度隔離，最重要的是數(shù)據(jù)進行了由專家設計并測試的加 密處理.云服務商與組織內(nèi)部的通信通過加密的VPN專用通道，符 合用戶組織安全策略設計的日志管理和資源安全管理措施.此外，還 包括可移植性、帶管理的訪問、安全性測試、透明度、規(guī)范等方面的

12、 要求。Secured & Isolated Cloud AreaInternal Cloud-e.g. VMware vSphereCorporateData CenierLog Management RcponingSecurity Management圖1 安全的云數(shù)字化身份管理是云計算平臺根據(jù)用戶身份屬性和歷史記錄進行 服務訪問控制的重要措施，文獻2一種基于身份特征、AgZKPK加 密協(xié)議和語義匹配技術的解決方法。4.結束語云計算宣告了以設備為中心計算時代的終結，取而代之的是以互 聯(lián)為中心的計算模式。但是并非只停留在空中，靠嘩眾取寵來贏得贊 譽。云計算使用戶可以把計算處理工作的一部分甚

13、至全部外包出去， 信息部門不需要為公司服務器的維護配置專業(yè)技術人員，而是通過互 聯(lián)網(wǎng)來訪問計算基礎設施。一家大型云計算服務提供商能迅速滿足各 種客戶對更多計算功能的需求，那些沒有大型數(shù)據(jù)中心的中小型企業(yè) 也能夠利用云計算服務提供商的強大處理功能，有效地降低IT成 本.作為一項有望大幅降低成本的新興技術，云計算正日益受到眾多 企業(yè)的認可。從學術研究的角度，云安全領域迫待需要解決的問題包括：如何 對存儲數(shù)據(jù)、傳輸數(shù)據(jù)進行加密的問題；云計算中新加密算法的研究 與算法更新?lián)Q代問題；云服務應用程序組件間的身份驗證問題；云計 算平臺安全性評估標準與應用；如何對有權訪問異域云服務的用戶以 及訪問方式進行管理；云服務應用程序接口的安全與訪問控制問題； 服務云計算需要的新一代網(wǎng)絡安全技術；研究建立完善的云計算服務 質(zhì)量(QoS)體系；云計算與可信計算技術的融合研究。計算模式下，所有的業(yè)務處理都將在服務器端完成，服務器一旦 出現(xiàn)問題，就將導致用戶應用無法正常運行，數(shù)據(jù)無法訪問.雖然解 決云故障的時間一般并不長，然而足以作為一個對云計算的警示。畢 競云服務的規(guī)模都十分龐大，在出現(xiàn)問題之后，很容易導致網(wǎng)民對于 云計算模式的懷疑，動搖用戶對云服務的信心。由此可見，如果云計 算的可靠性和安全性的軟肋不能很好解決的話，云計