云計(jì)算互聯(lián)網(wǎng)發(fā)展的趨勢(shì)

云計(jì)算互聯(lián)網(wǎng)發(fā)展的趨勢(shì)

1云計(jì)算安全特性云計(jì)算是一種新興的共享基本結(jié)構(gòu)，它由“資源池”組成，它由服務(wù)、應(yīng)用、信息和基礎(chǔ)設(shè)施組成，如計(jì)算服務(wù)、應(yīng)用、信息和基礎(chǔ)設(shè)施。云計(jì)算具有按需自服務(wù)、寬帶接入、虛擬化資源池、快速?gòu)椥约軜?gòu)、可測(cè)量的服務(wù)和多租戶等特點(diǎn),這些特點(diǎn)直接影響到了云計(jì)算環(huán)境的安全威脅和相關(guān)的安全保護(hù)策略。云計(jì)算具備了眾多的好處,從規(guī)模經(jīng)濟(jì)到應(yīng)用可用性,其絕對(duì)能給應(yīng)用環(huán)境帶來一些積極的因素。如今,在廣大云計(jì)算提供商和支持者的推崇下,眾多企業(yè)用戶已開始躍躍欲試。然而,云計(jì)算也帶來了一些新的安全問題,由于眾多用戶共享IT基礎(chǔ)架構(gòu),安全的重要性非同小可。2云計(jì)算安全架構(gòu)從IT網(wǎng)絡(luò)和安全專業(yè)人士的視角出發(fā),可以用統(tǒng)一分類的一組公用的、簡(jiǎn)潔的詞匯來描述云計(jì)算對(duì)安全架構(gòu)的影響,在這個(gè)統(tǒng)一分類的方法中,云服務(wù)和架構(gòu)可以被解構(gòu),也可以被映射到某個(gè)包括安全、可操作控制、風(fēng)險(xiǎn)評(píng)估和管理框架等諸多要素的補(bǔ)償模型中去,進(jìn)而符合合規(guī)性標(biāo)準(zhǔn)。云計(jì)算模型之間的關(guān)系和依賴性對(duì)于理解云計(jì)算的安全非常關(guān)鍵,IaaS(基礎(chǔ)設(shè)施即服務(wù))是所有云服務(wù)的基礎(chǔ),PaaS(平臺(tái)即服務(wù))建立在IaaS之上,而SaaS(軟件即服務(wù))又建立在PaaS之上,它們之間的關(guān)系如圖1所示。IaaS涵蓋了從機(jī)房設(shè)備到硬件平臺(tái)等所有的基礎(chǔ)設(shè)施資源層面。PaaS位于IaaS之上,增加了一個(gè)層面用以與應(yīng)用開發(fā)、中間件能力以及數(shù)據(jù)庫(kù)、消息和隊(duì)列等功能集成。PaaS允許開發(fā)者在平臺(tái)之上開發(fā)應(yīng)用,開發(fā)的編程語(yǔ)言和工具由PaaS支持提供。SaaS位于底層的IaaS和PaaS之上,能夠提供獨(dú)立的運(yùn)行環(huán)境,用以交付完整的用戶體驗(yàn),包括內(nèi)容、展現(xiàn)、應(yīng)用和管理能力。云安全架構(gòu)的一個(gè)關(guān)鍵特點(diǎn)是云服務(wù)提供商所在的等級(jí)越低,云服務(wù)用戶自己所要承擔(dān)的安全能力和管理職責(zé)就越多。本文針對(duì)云計(jì)算安全領(lǐng)域中的數(shù)據(jù)安全、應(yīng)用安全和虛擬化安全進(jìn)行了重點(diǎn)闡述,如表1所示。另外,需要特別指出的是,本文在論述云計(jì)算安全內(nèi)容矩陣的時(shí)候,始終遵循CIA三要素相結(jié)合的原則,即保密性、完整性和可用性。3數(shù)據(jù)安全的問題云用戶和云服務(wù)提供商應(yīng)避免數(shù)據(jù)丟失和被竊,無論使用哪種云計(jì)算的服務(wù)模式(SaaS/PaaS/IaaS),數(shù)據(jù)安全都變得越來越重要。以下針對(duì)數(shù)據(jù)傳輸安全、數(shù)據(jù)隔離和數(shù)據(jù)殘留等方面展開討論。3.1使用互聯(lián)網(wǎng)網(wǎng)絡(luò)傳輸數(shù)據(jù)在使用公共云時(shí),對(duì)于傳輸中的數(shù)據(jù)最大的威脅是不采用加密算法。通過Internet傳輸數(shù)據(jù),采用的傳輸協(xié)議也要能保證數(shù)據(jù)的完整性。如果采用加密數(shù)據(jù)和使用非安全傳輸協(xié)議的方法也可以達(dá)到保密的目的,但無法保證數(shù)據(jù)的完整性。3.2混合數(shù)據(jù)的加密加密磁盤上的數(shù)據(jù)或生產(chǎn)數(shù)據(jù)庫(kù)中數(shù)據(jù)很重要(靜止的數(shù)據(jù)),這可以用來防止惡意的云服務(wù)提供商、惡意的鄰居“租戶”及某些類型應(yīng)用的濫用。但是靜止數(shù)據(jù)加密比較復(fù)雜,如果僅使用簡(jiǎn)單存儲(chǔ)服務(wù)進(jìn)行長(zhǎng)期的檔案存儲(chǔ),用戶加密他們自己的數(shù)據(jù)然后發(fā)送密文到云數(shù)據(jù)存儲(chǔ)商那里是可行的。但是對(duì)于PaaS或者SaaS應(yīng)用來說,數(shù)據(jù)是不能被加密,因?yàn)榧用苓^的數(shù)據(jù)會(huì)妨礙索引和搜索。到目前為止還沒有可商用的算法實(shí)現(xiàn)數(shù)據(jù)全加密。PaaS和SaaS應(yīng)用為了實(shí)現(xiàn)可擴(kuò)展、可用性、管理以及運(yùn)行效率等方面的“經(jīng)濟(jì)性”,基本都采用多租戶模式,因此被云計(jì)算應(yīng)用所用的數(shù)據(jù)會(huì)和其他用戶的數(shù)據(jù)混合存儲(chǔ)(如Google的BigTable)。雖然云計(jì)算應(yīng)用在設(shè)計(jì)之初已采用諸如“數(shù)據(jù)標(biāo)記”等技術(shù)以防非法訪問混合數(shù)據(jù),但是通過應(yīng)用程序的漏洞,非法訪問還是會(huì)發(fā)生,最著名的案例就是2009年3月發(fā)生的谷歌文件非法共享。雖然有些云服務(wù)提供商請(qǐng)第三方審查應(yīng)用程序或應(yīng)用第三方應(yīng)用程序的安全驗(yàn)證工具加強(qiáng)應(yīng)用程序安全,但出于經(jīng)濟(jì)性考慮,無法實(shí)現(xiàn)單租戶專用數(shù)據(jù)平臺(tái),因此惟一可行的選擇就是不要把任何重要的或者是敏感的數(shù)據(jù)放到公共云中。3.3數(shù)據(jù)殘留敏感信息的處理數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn),存儲(chǔ)介質(zhì)被擦除后可能留有一些物理特性使數(shù)據(jù)能夠被重建。在云計(jì)算環(huán)境中,數(shù)據(jù)殘留更有可能會(huì)無意泄露敏感信息,因此云服務(wù)提供商應(yīng)能向云用戶保證其鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他云用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中。云服務(wù)提供商應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他云用戶前得到完全清除。4應(yīng)用安全風(fēng)險(xiǎn)由于云環(huán)境的靈活性、開放性以及公眾可用性等特性,給應(yīng)用安全帶來了很多挑戰(zhàn)。提供商在云主機(jī)上部署的Web應(yīng)用程序應(yīng)當(dāng)充分考慮來自互聯(lián)網(wǎng)的威脅。4.1正確對(duì)待域名市場(chǎng)的安全對(duì)于使用云服務(wù)的用戶,應(yīng)該保證自己計(jì)算機(jī)的安全。在用戶的終端上部署安全軟件,包括反惡意軟件、防病毒、個(gè)人防火墻以及IPS類型的軟件。目前,瀏覽器已經(jīng)普遍成為云服務(wù)應(yīng)用的客戶端,但不幸的是所有的互聯(lián)網(wǎng)瀏覽器毫無例外地存在軟件漏洞,這些軟件漏洞加大了終端用戶被攻擊的風(fēng)險(xiǎn),從而影響云計(jì)算應(yīng)用的安全。因此云用戶應(yīng)該采取必要措施保護(hù)瀏覽器免受攻擊,在云環(huán)境中實(shí)現(xiàn)端到端的安全。云用戶應(yīng)使用自動(dòng)更新功能,定期完成瀏覽器打補(bǔ)丁和更新工作。隨著虛擬化技術(shù)的廣泛應(yīng)用,許多用戶現(xiàn)在喜歡在桌面或筆記本電腦上使用虛擬機(jī)來區(qū)分工作(公事與私事)。有人使用VMwarePlayer來運(yùn)行多重系統(tǒng)(比如使用Linux作為基本系統(tǒng)),通常這些虛擬機(jī)甚至都沒有達(dá)到補(bǔ)丁級(jí)別。這些系統(tǒng)被暴露在網(wǎng)絡(luò)上更容易被黑客利用成為流氓虛擬機(jī)。對(duì)于企業(yè)客戶,應(yīng)該從制度上規(guī)定連接云計(jì)算應(yīng)用的PC機(jī)禁止安裝虛擬機(jī),并且對(duì)PC機(jī)進(jìn)行定期檢查。4.2應(yīng)提供安全測(cè)試和引導(dǎo)機(jī)制SaaS應(yīng)用提供給用戶的能力是使用服務(wù)商運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用,用戶使用各種客戶端設(shè)備通過瀏覽器來訪問應(yīng)用。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施,例如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)甚至其中單個(gè)的應(yīng)用能力,除非是某些有限用戶的特殊應(yīng)用配置項(xiàng)。SaaS模式?jīng)Q定了提供商管理和維護(hù)整套應(yīng)用,因此SaaS提供商應(yīng)最大限度地確保提供給客戶的應(yīng)用程序和組件的安全,客戶通常只需負(fù)責(zé)操作層安全功能包括用戶和訪問管理,所以選擇SaaS提供商特別需要慎重,目前對(duì)于提供商評(píng)估通常的做法是根據(jù)保密協(xié)議,要求提供商提供有關(guān)安全實(shí)踐的信息。該信息應(yīng)包括設(shè)計(jì)、架構(gòu)、開發(fā)、黑盒與白盒應(yīng)用程序安全測(cè)試和發(fā)布管理。有些客戶甚至請(qǐng)第三方安全廠商進(jìn)行滲透測(cè)試(黑盒安全測(cè)試),以獲得更為詳實(shí)的安全信息,不過滲透測(cè)試通常費(fèi)用很高而且也不是所有提供商都同意這種測(cè)試。還有一點(diǎn)需要特別注意的是SaaS提供商提供的身份驗(yàn)證和訪問控制功能,通常情況下這是客戶管理信息風(fēng)險(xiǎn)惟一的安全控制措施。大多數(shù)服務(wù),包括谷歌都會(huì)提供基于Web的管理用戶界面。最終用戶可以分派讀取和寫入權(quán)限給其他用戶。然而這個(gè)特權(quán)管理功能可能不先進(jìn),細(xì)粒度訪問可能會(huì)有弱點(diǎn),也可能不符合組織的訪問控制標(biāo)準(zhǔn)。用戶應(yīng)該盡量了解云特定訪問控制機(jī)制,并采取必要步驟,保護(hù)在云中的數(shù)據(jù);應(yīng)實(shí)施最小化特權(quán)訪問管理,以消除威脅云應(yīng)用安全的內(nèi)部因素。所有有安全需求的云應(yīng)用都需要用戶登錄,有許多安全機(jī)制可提高訪問安全性,比如說通行證或智能卡,而最為常用的方法是可重用的用戶名和密碼。如果使用強(qiáng)度最小的密碼(例如需要的長(zhǎng)度和字符集過短)和不做密碼管理(過期,歷史)很容導(dǎo)致密碼失效,而這恰恰是攻擊者獲得信息的首選方法,從而容易被猜到密碼。因此云服務(wù)提供商應(yīng)能夠提供高強(qiáng)度密碼;定期修改密碼,時(shí)間長(zhǎng)度必須基于數(shù)據(jù)的敏感程度;不能使用舊密碼等可選功能。在目前的SaaS應(yīng)用中,提供商將客戶數(shù)據(jù)(結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù))混合存儲(chǔ)是普遍的做法,通過惟一的客戶標(biāo)識(shí)符,在應(yīng)用中的邏輯執(zhí)行層可以實(shí)現(xiàn)客戶數(shù)據(jù)邏輯上的隔離,但是當(dāng)云服務(wù)提供商的應(yīng)用升級(jí)時(shí),可能會(huì)造成這種隔離在應(yīng)用層執(zhí)行過程中變得脆弱。因此,客戶應(yīng)了解SaaS提供商使用的虛擬數(shù)據(jù)存儲(chǔ)架構(gòu)和預(yù)防機(jī)制,以保證多租戶在一個(gè)虛擬環(huán)境所需要的隔離。SaaS提供商應(yīng)在整個(gè)軟件生命開發(fā)周期加強(qiáng)在軟件安全性上措施。4.3規(guī)范云用戶的安全防護(hù)與控制機(jī)制PaaS云提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購(gòu)的應(yīng)用,這些應(yīng)用使用服務(wù)商支持的編程語(yǔ)言或工具開發(fā),用戶并不管理或控制底層的云基礎(chǔ)設(shè)施,包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或存儲(chǔ)等,但是可以控制部署的應(yīng)用以及應(yīng)用主機(jī)的某個(gè)環(huán)境配置。PaaS應(yīng)用安全包含2個(gè)層次:PaaS平臺(tái)自身的安全;客戶部署在PaaS平臺(tái)上應(yīng)用的安全。SSL是大多數(shù)云安全應(yīng)用的基礎(chǔ),目前眾多黑客社區(qū)都在研究SSL,相信SSL在不久的將來將成為一個(gè)主要的病毒傳播媒介。PaaS提供商必須明白當(dāng)前的形勢(shì),并采取可能的辦法來緩解SSL攻擊,避免應(yīng)用被暴露在默認(rèn)攻擊之下。用戶必須要確保自己有一個(gè)變更管理項(xiàng)目,在應(yīng)用提供商指導(dǎo)下進(jìn)行正確應(yīng)用配置或打配置補(bǔ)丁,及時(shí)確保SSL補(bǔ)丁和變更程序能夠迅速發(fā)揮作用。PaaS提供商通常都會(huì)負(fù)責(zé)平臺(tái)軟件包括運(yùn)行引擎的安全,如果PaaS應(yīng)用使用了第三方應(yīng)用、組件或Web服務(wù),那么第三方應(yīng)用提供商則需要負(fù)責(zé)這些服務(wù)的安全。因此用戶需要了解自己的應(yīng)用到底依賴于哪個(gè)服務(wù),在采用第三方應(yīng)用、組件或Web服務(wù)的情況下用戶應(yīng)對(duì)第三方應(yīng)用提供商做風(fēng)險(xiǎn)評(píng)估。目前,云服務(wù)提供商借口平臺(tái)的安全使用信息會(huì)被黑客利用而拒絕共享,盡管如此,客戶應(yīng)盡可能地要求云服務(wù)提供商增加信息透明度以利于風(fēng)險(xiǎn)評(píng)估和安全管理。在多租戶PaaS的服務(wù)模式中,最核心的安全原則就是多租戶應(yīng)用隔離。云用戶應(yīng)確保自己的數(shù)據(jù)只能有自己的企業(yè)用戶和應(yīng)用程序訪問。提供商維護(hù)PaaS的平臺(tái)運(yùn)行引擎的安全,在多租戶模式下必須提供“沙盒”架構(gòu),平臺(tái)運(yùn)行引擎的“沙盒”特性可以集中維護(hù)客戶部署在PaaS平臺(tái)上應(yīng)用的保密性和完整性。云服務(wù)提供商負(fù)責(zé)監(jiān)控新的程序缺陷和漏洞,以避免這些缺陷和漏洞被用來攻擊PaaS平臺(tái)和打破“沙盒”架構(gòu)。云用戶部署的應(yīng)用安全需要PaaS應(yīng)用開發(fā)商配合,開發(fā)人員需要熟悉平臺(tái)的API、部署和管理執(zhí)行的安全控制軟件模塊。開發(fā)人員必須熟悉平臺(tái)特定的安全特性,這些特性被封裝成安全對(duì)象和Web服務(wù)。開發(fā)人員通過調(diào)用這些安全對(duì)象和Web服務(wù)實(shí)現(xiàn)在應(yīng)用內(nèi)配置認(rèn)證和授權(quán)管理。對(duì)于PaaS的API設(shè)計(jì),目前沒有標(biāo)準(zhǔn)可用,這對(duì)云計(jì)算的安全管理和云計(jì)算應(yīng)用可移植性帶來了難以估量的后果。PaaS應(yīng)用還面臨著配置不當(dāng)?shù)耐{,在云基礎(chǔ)架構(gòu)中運(yùn)行應(yīng)用時(shí),應(yīng)用在默認(rèn)配置下安全運(yùn)行的概率幾乎為零。因此,用戶最需要做的事就是改變應(yīng)用的默認(rèn)安裝配置,需要熟悉應(yīng)用的安全配置流程。4.4客戶管理和運(yùn)維IaaS云提供商(例如亞馬遜EC2、GoGrid等)將客戶在虛擬機(jī)上部署的應(yīng)用看作是一個(gè)黑盒子,IaaS提供商完全不知道客戶應(yīng)用的管理和運(yùn)維。客戶的應(yīng)用程序和運(yùn)行引擎,無論運(yùn)行在何種平臺(tái)上,都由客戶部署和管理,因此客戶負(fù)有云主機(jī)之上應(yīng)用安全的全部責(zé)任,客戶不應(yīng)期望IaaS提供商的應(yīng)用安全幫助。5虛擬化技術(shù)引發(fā)的安全問題利用虛擬化帶來的經(jīng)濟(jì)上的可擴(kuò)展有利于加強(qiáng)在基礎(chǔ)設(shè)施、平臺(tái)、軟件層面提供多租戶云服務(wù)的能力,然而虛擬化技術(shù)也會(huì)帶來其他安全問題。基于虛擬化技術(shù)的云計(jì)算引入的風(fēng)險(xiǎn)主要有兩個(gè)方面:一個(gè)是虛擬化軟件的安全,另一個(gè)使用虛擬化技術(shù)的虛擬服務(wù)器的安全。5.1虛擬化層的完整性和危害性該軟件層直接部署于裸機(jī)之上,提供能夠創(chuàng)建、運(yùn)行和銷毀虛擬服務(wù)器的能力。實(shí)現(xiàn)虛擬化的方法不止一種,實(shí)際上,有幾種方法都可以通過不同層次的抽象來實(shí)現(xiàn)相同的結(jié)果,如操作系統(tǒng)級(jí)虛擬化、全虛擬化或半虛擬化。在IaaS云平臺(tái)中,云主機(jī)的客戶不必訪問此軟件層,它完全應(yīng)該由云服務(wù)提供商來管理。由于虛擬化軟件層是保證客戶的虛擬機(jī)在多租戶環(huán)境下相互隔離的重要層次,可以使客戶在一臺(tái)計(jì)算機(jī)上安全地同時(shí)運(yùn)行多個(gè)操作系統(tǒng),所以必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層。云服務(wù)提供商應(yīng)建立必要的安全控制措施,限制對(duì)于Hypervisor和其他形式的虛擬化層次的物理和邏輯訪問控制。虛擬化層的完整性和可用性對(duì)于保證基于虛擬化技術(shù)構(gòu)建的公有云的完整性和可用性是最重要,也是最關(guān)鍵的。一個(gè)有漏洞的虛擬化軟件會(huì)暴露所有的業(yè)務(wù)域給惡意的入侵者。5.2加強(qiáng)主機(jī)的安全防護(hù)虛擬服務(wù)器位于虛擬化軟件之上,對(duì)于物理服務(wù)器的安全原理與實(shí)踐也可以被運(yùn)用到虛擬服務(wù)器上,當(dāng)然也需要兼顧虛擬服務(wù)器的特點(diǎn)。下面將從物理機(jī)選擇、虛擬服務(wù)器安全和日常管理三方面對(duì)虛擬服務(wù)器安全進(jìn)行闡述。應(yīng)選擇具有TPM安全模塊的物理服務(wù)器,TPM安全模塊可以在虛擬服務(wù)器啟動(dòng)時(shí)檢測(cè)用戶密碼,如果發(fā)現(xiàn)密碼及用戶名的Hash序列不對(duì),就不允許啟動(dòng)此虛擬服務(wù)器。因此,對(duì)于新建的用戶來說,選擇這些功能的物理服務(wù)器來作為虛擬機(jī)應(yīng)用是很有必要的。如果有可能,應(yīng)使用新的帶有多核的處理器,并支持虛擬技術(shù)的CPU,這就能保證CPU之間的物理隔離,會(huì)減少許多安全問題。安裝虛擬服務(wù)器時(shí),應(yīng)為每臺(tái)虛擬服務(wù)器分配一個(gè)獨(dú)立的硬盤分區(qū),以便將各虛擬服務(wù)器之間從邏輯上隔離開來。虛擬服務(wù)器系統(tǒng)還應(yīng)安裝基于主機(jī)的防火墻、殺毒軟件、IPS(IDS)以及日志記錄和恢復(fù)軟件,以便將它們相互隔離,并與其他安全防范措施一起構(gòu)成多層次防范體系。對(duì)于每臺(tái)虛擬服務(wù)器應(yīng)通過VLAN和不同的IP網(wǎng)段的方式進(jìn)行邏輯隔離。對(duì)需要相互通信的虛擬服務(wù)器之間的網(wǎng)絡(luò)連接應(yīng)當(dāng)通過VPN的方式來進(jìn)行,以保護(hù)它們之間網(wǎng)絡(luò)傳輸?shù)陌踩?shí)施相應(yīng)的備份策略,包括它們的配置文件、虛擬機(jī)文