論云計算與云安全

論云計算與云安全

隨著計算機互聯(lián)網(wǎng)技術(shù)的發(fā)展，云計算和云安全（云網(wǎng)絡(luò)安全）已成為學(xué)術(shù)界和學(xué)術(shù)界的研究重點。云計算技術(shù)是近些年提出的全新的計算模式,是對并行計算(ParallelComputing)、分布式計算(DistributedComputing)、公用計算(UtilityComputing)和網(wǎng)格計算(GridComputing)技術(shù)的進一步深入。伴隨著云概念的發(fā)展,與云計算有著密切聯(lián)系的云安全技術(shù)的研究工作也開展起來。1云安全的定義云計算是新一代IT計算模式,能夠提供動態(tài)資源池、虛擬化和可用性計算平臺的核心技術(shù),它運用先進的分布式計算及存儲架構(gòu)為用戶提供方便的體驗并降低使用成本。一個云計算平臺可以按照用戶的需求進行完全動態(tài)的部署(Provision)、配置(Configuration)、重新配置(Reconfigure)和取消(Deprivation)等服務(wù)。云安全(CloudSecurity),一般來講就是把先進的云計算技術(shù)應(yīng)用在計算機網(wǎng)絡(luò)信息安全領(lǐng)域,值得提出的是,云安全的概念首先是由我國企業(yè)提出,也使得我國云計算技術(shù)在國際云計算領(lǐng)域占有一席之地。其中,網(wǎng)絡(luò)用戶的計算機和防病毒廠商的技術(shù)平臺經(jīng)由互聯(lián)網(wǎng)相連,構(gòu)建一個巨大的對惡意代碼進行監(jiān)視、檢測、消除和追蹤的網(wǎng)絡(luò),云服務(wù)提供商能及時獲知各種木馬程序、惡意代碼和惡意程序信息,并把解決方案及時傳回到客戶端,實現(xiàn)云查殺。云安全技術(shù)還可以對互聯(lián)網(wǎng)用戶動態(tài)被訪問信息的安全等級進行評估,在惡意代碼入侵互聯(lián)網(wǎng)之前,就可以在源端直接將其阻止,并把這些病毒和惡意代碼的解決方案共享至每個客戶端,顯然這樣可以實現(xiàn)零接觸、零感染的計算機病毒防護工作。Web安全中比較麻煩的病毒、木馬、惡意和間諜軟件、對站點的惡意攻擊等,采用云安全能有效阻止此類威脅蔓延。云安全包括兩個方面,首先是對于云計算技術(shù)自身安全保護工作,稱云計算安全,主要包括如何保障云計算中數(shù)據(jù)完整和機密性、服務(wù)的可用性、隱私權(quán)的保護等。其次是通過云的方式為互聯(lián)網(wǎng)用戶提供安全防衛(wèi)措施,也就是云計算技術(shù)在計算機互聯(lián)網(wǎng)安全領(lǐng)域的應(yīng)用,稱安全云計算,例如基于云計算的木馬檢測技術(shù)、病毒防治技術(shù)等。2云安全系統(tǒng)的應(yīng)用云安全的策略構(gòu)想是:使用者越多,每個使用者就越安全,因為龐大的用戶群,足以覆蓋互聯(lián)網(wǎng)的每個角落,只要某個網(wǎng)站被掛馬或某個新木馬病毒出現(xiàn),就會立刻被截獲。關(guān)于云安全架構(gòu)體系的研究,目前主要集中在3個方面:(1)云計算安全。該方向主要研究對云自身和云中各種應(yīng)用服務(wù)的安全性保護,這其中包含針對惡意網(wǎng)絡(luò)攻擊的防護、互聯(lián)網(wǎng)用戶數(shù)據(jù)的安全存儲和隔離、互聯(lián)網(wǎng)用戶接入的認證、云計算平臺的系統(tǒng)安全、用戶相關(guān)信息的傳輸安全、審計等工作;(2)基礎(chǔ)設(shè)施安全的云實現(xiàn)。該方向主要考慮怎樣應(yīng)用云計算技術(shù)新建整合互聯(lián)網(wǎng)安全基礎(chǔ)設(shè)備資源,優(yōu)化整個計算機互聯(lián)網(wǎng)安全防護機制。例如應(yīng)用云計算技術(shù)搭建起超大規(guī)模安全事件、信息采集和數(shù)據(jù)分析處理平臺,從而實現(xiàn)對云中海量信息的采集、計算、提升互聯(lián)網(wǎng)安全性和風(fēng)險控制能力等;(3)云安全技術(shù)服務(wù)。該方向主要研究基于云計算技術(shù)和平臺的面向互聯(lián)網(wǎng)終端客戶的安全服務(wù)(例如計算機病毒防治服務(wù))。云安全架構(gòu)的一個關(guān)鍵特點是云計算服務(wù)商所在的等級越低,用戶自己所要承擔(dān)的安全能力和管理職責(zé)就越多。架構(gòu)一個高可靠性的云安全體系,通常還有以下一些問題需要考慮:(1)成熟的云安全系統(tǒng)要求有核心的反病毒技術(shù)和豐富的病毒防治經(jīng)驗;(2)一個真正的云安全系統(tǒng)應(yīng)該是一個開放的系統(tǒng),不斷吸引新的合作伙伴的加入;(3)完整的云安全系統(tǒng)要求投入大量的研發(fā)、維護和運營資金和相關(guān)的先進技術(shù);(4)高效穩(wěn)定的云安全體系是以海量的互聯(lián)網(wǎng)客戶端(即云安全探針)為基礎(chǔ)的。3國內(nèi)外云安全框架的研究3.1加強數(shù)據(jù)安全保護IBM提出了一個基于企業(yè)信息安全框架的云安全架構(gòu),包括以下幾個方面:(1)對于人員和身份的用戶認證與授權(quán),可以允許合法的用戶進入系統(tǒng)并訪問數(shù)據(jù),同時防止非授權(quán)性質(zhì)的訪問發(fā)生;(2)針對數(shù)據(jù)和信息的數(shù)據(jù)隔離和保護工作,為共享同一個存儲設(shè)備的多個用戶提供存儲安全保護,通過存儲設(shè)備自身的安全措施等功能管理其中存儲數(shù)據(jù)的訪問權(quán)限,達到為用戶的數(shù)據(jù)和信息進行安全保護的目的。那些存儲在云計算平臺的用戶數(shù)據(jù),通過使用容災(zāi)、快照以及備份等技術(shù)手段來保護用戶的重要數(shù)據(jù);(3)對整個流程和應(yīng)用進行管理,針對在云計算系統(tǒng)中運行的服務(wù)(例如資源的申請、監(jiān)控、變更和使用)統(tǒng)一采用流程化的管理。同時進行多級權(quán)限控制,對云計算系統(tǒng)中資源的訪問和管理分為多個不同的安全領(lǐng)域,而對每個安全領(lǐng)域都實行權(quán)限控制(如可分為云計算管理員、機房管理和維護人員、系統(tǒng)管理員以及云計算維護員);(4)對于網(wǎng)絡(luò)、服務(wù)器和終端的安全保護,對服務(wù)器實現(xiàn)隔離,其中對于重要的服務(wù),通過雙機備份技術(shù)提高整個應(yīng)用的可靠性,這樣也可以保證應(yīng)用的連續(xù)性。同時也對存儲進行隔離,提高數(shù)據(jù)存儲安全性的工作,可以從使用單獨存儲設(shè)備方面入手,從本質(zhì)上在物理層面實現(xiàn)真正的隔離數(shù)據(jù),這樣可以有效確保數(shù)據(jù)安全;(5)系統(tǒng)災(zāi)備的工作,云安全系統(tǒng)統(tǒng)一使用集中災(zāi)備的技術(shù)來實現(xiàn)對平臺用戶的業(yè)務(wù)和數(shù)據(jù)的恢復(fù)服務(wù),用戶能在本地建立遠距離的容災(zāi)中心,而容災(zāi)中心和云計算中心經(jīng)由專用的網(wǎng)絡(luò)鏈接,實現(xiàn)應(yīng)用和數(shù)據(jù)傳輸。3.2vm云安全系統(tǒng)架構(gòu)VMware提出的云安全系統(tǒng)架構(gòu)包括以下幾個方面:(1)對于整個數(shù)據(jù)中心內(nèi)部的痊愈進行安全保護;(2)對云計算中的虛擬數(shù)據(jù)中心進行保護,從而使其不受到外界網(wǎng)絡(luò)威脅;(3)對于虛擬機進行安全保護,使得其免受病毒和惡意軟件的攻擊。VMware云安全系統(tǒng)架構(gòu)中的安全產(chǎn)品包括VMwarevShieldZones、VMwarevShieldEdge、VMwarevShieldEndpoint以及VMwarevShieldApp等。這些安全產(chǎn)品由VMwarevShieldManager進行統(tǒng)一的管理。4云安全中的關(guān)鍵技術(shù)4.1云存儲系統(tǒng)的架構(gòu)云數(shù)據(jù)存儲技術(shù)是通過對相關(guān)概念的延伸而出現(xiàn)的新概念,具體指的是通過集群應(yīng)用、分布式文件系統(tǒng)以及網(wǎng)格計算等技術(shù),把整個網(wǎng)絡(luò)中很多不同類型的存儲設(shè)備統(tǒng)一起來應(yīng)用,能夠為外界提供數(shù)據(jù)存儲、業(yè)務(wù)訪問等功能的一個系統(tǒng)。一般這種系統(tǒng)由存儲設(shè)備、服務(wù)器應(yīng)用軟件、接入網(wǎng)和客戶端程序、網(wǎng)絡(luò)設(shè)備和公共訪問接口等模塊構(gòu)成。為了保證高效、高可靠性的云安全系統(tǒng),通常使用分布式的存儲方式對數(shù)據(jù)進行存儲,同時使用冗余存儲技術(shù)保證存儲數(shù)據(jù)的可靠性,也就是把一份數(shù)據(jù)備份多個副本。同時,云計算中應(yīng)當(dāng)能夠滿足大量用戶能同時計算的需求,并行地為大量互聯(lián)網(wǎng)用戶提供服務(wù)。所以,云計算中所使用的數(shù)據(jù)存儲技術(shù)要有高吞吐率和高傳輸率的特點。云存儲系統(tǒng)通常包括4層:數(shù)據(jù)服務(wù)層、數(shù)據(jù)存儲層、用戶訪問層和數(shù)據(jù)管理層。其中數(shù)據(jù)存儲層、數(shù)據(jù)管理層、應(yīng)用接口層屬于云的范疇,對與業(yè)務(wù)用戶而言是完全透明的。其中數(shù)據(jù)存儲層同于OSI模型中的物理層,是整個云存儲系統(tǒng)中的基礎(chǔ)。該層主要由存儲設(shè)備構(gòu)成(例如NAS或iSCSI類型IP存儲裝置、FC光纖通道存儲裝置、SAS型DAS存儲裝置等),這些設(shè)備一般數(shù)量巨大且分布廣泛,由不同的服務(wù)器進行管理,設(shè)備之間能夠經(jīng)由互聯(lián)網(wǎng)或是GC光纖網(wǎng)絡(luò)進行連接,云存儲系統(tǒng)建立不同的分布式數(shù)據(jù)中心以便為不同地方的客戶提供相等質(zhì)量的服務(wù)。而數(shù)據(jù)管理層是整個云存儲系統(tǒng)中的核心,同時也是整個系統(tǒng)中技術(shù)難度最大的一層。數(shù)據(jù)管理層集群應(yīng)用、分布式文件系統(tǒng)以及網(wǎng)格計算等技術(shù),控制云存儲系統(tǒng)中的不同存儲模塊統(tǒng)一工作,實現(xiàn)高質(zhì)量的數(shù)據(jù)訪問工作。數(shù)據(jù)服務(wù)層(即應(yīng)用接口層),是整個云存儲系統(tǒng)中最靈活的一層。云存儲服務(wù)廠商通常能夠依照自身的實際業(yè)務(wù)情況,開發(fā)出多種應(yīng)用服務(wù)接口,這樣就可以為客戶提供不同的業(yè)務(wù)(例如視頻點播業(yè)務(wù)、網(wǎng)絡(luò)硬盤業(yè)務(wù)、視頻監(jiān)控業(yè)務(wù)、網(wǎng)絡(luò)電視業(yè)務(wù)和數(shù)據(jù)備份業(yè)務(wù)等。用戶訪問層也發(fā)揮著巨大的作用,通過該層,授權(quán)用戶可在任意地方,基于多種聯(lián)網(wǎng)終端設(shè)備,依據(jù)標準的公用應(yīng)用接口訪問云存儲系統(tǒng),進而享受云存儲服務(wù)。不同的云存儲服務(wù)提供廠商提供的訪問類型和訪問手段也千變?nèi)f化,從最基本網(wǎng)絡(luò)終端來看,一般包括WEB端和WAP端?？梢灶A(yù)見的是,云計算中的數(shù)據(jù)存儲技術(shù)在未來的發(fā)展中,將主要集中在超大、甚大規(guī)模的數(shù)據(jù)存儲、數(shù)據(jù)加密、安全性提高和增加輸入輸出速率等方面。4.2數(shù)據(jù)讀取和存儲云安全系統(tǒng)中的數(shù)據(jù)管理技術(shù)需要能夠高效地管理海量的數(shù)據(jù)集,需要解決怎樣在大量的數(shù)據(jù)中查找到特定數(shù)據(jù)的問題、要能確保數(shù)據(jù)的安全(如數(shù)據(jù)隔離、數(shù)據(jù)加密及密鑰、身份認證和訪問管理,保障用戶信息的可用性、保密性和完整性)等。云計算中的特點是對大量的數(shù)據(jù)進行存儲、讀取后再開展巨大的分析工作,這就要求數(shù)據(jù)讀寫操作的周期要遠小于數(shù)據(jù)的更新周期,云數(shù)據(jù)管理技術(shù)是一種讀優(yōu)化的數(shù)據(jù)管理技術(shù)。正是基于此,云安全系統(tǒng)的數(shù)據(jù)管理一般采用數(shù)據(jù)庫中列存儲的數(shù)據(jù)管理模式技