□文/ 林 敏 龚让声
(泉州信息职业技术学院 福建·泉州)
云计算是一个IT 平台,也是一个新的企业业务模式,云计算技术是并行计算技术、软件技术、网络技术发展的必然结果。云计算是一种动态的易扩张的且通常是通过互联网提供虚拟化资源的计算方式,用户不需要了解云计算的内部细节,只需要通过与浏览器交互便可以得到自己想要的信息。当前,很多国际大公司都推出了自己的“云计划”,云计算的概念越来越流行。
云计算是一个热度很高的新名词,通俗的理解是,云计算是指IT 基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源(硬件、平台、软件)。云计算的“云”就是存在于互联网上的服务器集群上的资源,它包括硬件资源(服务器、存储器、CPU 等)和软件资源(如应用软件、集成开发环境等),本地计算机只需要通过互联网发送一个需求信息,远端就会有成千上万的计算机为你提供需要的资源并将结果返回到本地计算机,这样,本地计算机几乎不需要做什么,所有的处理都在云计算提供商所提供的计算机群来完成。
云计算是一个强大的“云”网络,承载着众多并发的网格计算和服务,然后利用虚拟化技术扩展到每台服务器,将各自的资源整合起来提供超级计算和储存能力。(图1)
云客户端:云客户端是用户通过请求来获取服务的界面,这里就是云的入口,用户可以通过浏览器像常规一样经过注册、登录等取得服务和管理相关信息。打开实例与本地操作一样。
服务节点:该节点是用户操作的集合,用户根据自己的权限选择相应的服务,对服务可以在权限内进行各种操作。
管理系统和部署工具:提供管理和服务,管理用户并对用户授权、认证登录进行管理,以及管理可用的计算资源和服务,接受用户发送请求,根据用户请求转发到相应应用程序,调度资源和自动部署资源和应用,动态部署、配置和回收资源。
监控:监控和计算系统的资源使用情况,并迅速做出反应,完成节点同步部署,负载均衡和资源监控,确保资源能分配给合适的用户。
服务集群:虚拟的或物理的服务器,由管理系统管理,负责高并发量的请求处理、大运算量的计算处理,用户web 应用服务,云数据存储时采用相应的数据切割算法用并行方式上传和下载大容量数据。
从云计算体系架构可以看出,云计算的运营和传统IT 网络是不同的。由于云计算最初是在企业内部网络运行的,并不对外开放,在设计之初没有太多考虑安全性问题,从而导致了现在云计算安全的一系列问题。首先,传统的IT 系统是封闭的,存在于企业内部,对外暴露的只是网页服务器、邮件服务器等少数接口,因此只需要在出口设置防火墙、访问控制等安全措施,就可以解决大部分安全问题。但在云环境下,云暴露在公开的网络中,任何一个节点及它们的网络都可能受到攻击,因此安全模式需要从“拒敌于国门之外”改变为“全民皆兵、处处作战”;其次,相对于传统的计算模式将信息保存在自己可控制的环境中,在云计算环境下,信息保存在云中,数据拥有和管理分离,怎样做好数据的隔离和保密将是一个很大的问题;再次,在云环境下,用户的服务系统更新和升级大多数是由用户在远程执行的,而不是采取传统(在本地按版本更新)的方式,每一次升级都可能带来潜在的安全问题和对原有安全策略的挑战。
另外,云计算环境相比之前的技术,大量运用虚拟化技术,怎样解决虚拟化方面的安全又是云计算安全与传统安全的又一重大区别。
除了技术方面,还有一个比较重大的问题,传统的安全技术已经出现多年,标准、法律、法规都相对成熟,而现在的云计算安全缺少标准,而且政策法规也不健全,再加上云计算自身的特点,数据可以存储在世界的任何一个角落,当出现问题时,国家政策的不同也是云计算安全的一个重大挑战。
云计算安全核心技术包括用户认证与授权技术、数据安全技术、虚拟化安全技术三个方面。
1、用户认证与授权。用户认证与授权旨在授权合法用户进入系统和访问数据,同时保护这些数据免受非授权用户的访问。传统的认证技术有安全口令S/K、令牌口令、数字签名、单点登录认证、资源认证等,可使用Kerberos、DCE 和Secureshell 等目前比较成熟的分布式安全技术。云计算的用户认证与授权措施需要具备如下的能力:
(1)身份管理:在用户身份生命周期中,有效管理用户身份和访问资源的权限是非常关键的。用户生命周期管理包括,用户自注册、自管理和自动化的用户ID部署服务;用户身份控制,包括访问和权限控制、单点登录和审计。
(2)访问授权:访问授权应该在用户生命周期内提供及时的访问,从而加强安全和保护IT 资源。一般情况下,访问管理应该提供以下功能(在云系统中,可参考Bel1.1aPadula 模型和Biba 模型设计适用于云系统的访问机制)。
(3)管理分布式环境下的用户,包括能够为用户配置一个或多个角色。
(4)多因素认证。通过USBkey、用户指纹、用户口令等多种方式对用户身份进行认证,并进行多级精细化的授权。
(5)提供执行口令和个人信息变更的Web 自助接口。
(6)基于LDAP 的统一身份认证完成将分散的用户和权限资源进行统一、集中的管理,实现用户单点登录就可以访问多个系统。
现在已知的身份和访问安全解决方案有三种:欧洲隐私和身份管理、IE7 的Windows CardSpace、OpenID。这里重点介绍一下OpenID。这是一个分散的认证协议,可以帮助用户管理多个数字身份,更好地对分享他们的PII 进行控制。一个用户必须记住一个用户名和密码——一个OpenID,用这个登录到网络中,和可信第三方进行交换,指定一个特定的OpenID用于认证。而用户事先向OpenID 供应商注册了一个OpenID。它被称为“钓鱼天堂”,因为它对钓鱼攻击是敏感的。
2、数据安全技术。研究云计算数据安全技术可从以下几个方面进行考虑:
(1)数据传输安全:通常情况下,企业数据中心保存有大量的企业私密数据,这些数据往往代表了企业的核心竞争力,如企业的客户信息、财务信息、关键业务流程,等等。在云计算模式下,企业将数据通过网络传递到云计算服务商进行处理时,面临着几个方面的问题:一是如何确保企业的数据在网络传输过程中严格加密不被窃取;二是如何保证云计算服务商在得到数据时不将企业绝密数据泄露出去;三是在云计算服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证企业在任何时候都可以安全访问到自身的数据。
(2)数据存储安全:企业的数据存储是非常重要的环节,其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。在云计算模式下,云计算服务商在高度整合的大容量存储空间上,开辟出一部分存储空间提供给企业使用。但客户并不清楚自己的数据被放置在哪台服务器上,甚至根本不了解这台服务器放置在哪个国家;云计算服务商在存储资源所在国是否会存在信息安全等问题,能否确保企业数据不被泄露;同时,在这种数据存储资源共享的环境下,即使采用了加密方式,云计算服务商是否能够保证数据之间的有限隔离;另外,即使企业用户了解数据存放的服务器的准确位置,也必须要求服务商作出承诺,对所托管数据进行备份,以防止出现重大事故时,企业用户的数据无法得到恢复。在云计算环境中,数据残留更有可能会无意泄露敏感信息,因此云服务提供商应能向云用户保证其鉴别信息所在的存储空间被释放或再分配给其他云用户前得到完全清除。云服务提供商应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他云用户前得到完全清除。
(3)数据审计安全:企业进行内部数据管理时,为了保证数据的准确性往往会引入第三方认证机构进行审计或认证。但在云计算环境下,云计算服务商如何在确保不对其他企业的数据计算带来风险的同时,又提供必要的信息支持,以便协助第三方机构对数据的产生进行安全性和准确性审计,实现企业的合规性要求。另外,企业对云计算服务商的可持续性发展进行认证过程中,如何确保云计算服务商既能提供有效的数据,又不损害其他已有客户的利益,使企业能够选择一家可以长期存在的、有技术实力的云计算服务商进行业务交付,也是安全方面的潜在风险。
(4)数据残留安全:数据残留是数据在被以某种形式擦除后所残留的物理表现,存储介质被擦除后可能留有一些物理特性使数据能够被重建。在云计算环境中,数据残留更有可能会无意泄露敏感信息,因此云服务提供商应通过销毁加密数据相关介质、存储介质销毁、磁盘擦拭、内容发现等技术和方法来保证数据的完整清除。
3、虚拟化安全技术。从云计算平台的角度来看,最基本的单元是虚拟机,虚拟机安全是云计算平台安全的最基本要求。虚拟化安全是云计算需要考虑的特有安全威胁之一。虚拟化技术是将底层的硬件,包括服务器、存储与网络设备全面虚拟化,在虚拟化技术上,通过建立一个随需而选的资源共享、分配、管控平台,可根据上层数据和业务形态的不同需求,搭配出各种互相隔离的应用,形成一个服务导向的、可伸缩的IT 基础架构,为用户提供出租IT 基础设施资源形式的云计算服务。
虚拟化安全包括虚拟机间信息流控制、虚拟机监控、虚拟机可信平台、虚拟机隔离、虚拟网络接入控制等。综合起来可以归结为两个方面:一是虚拟化软件的安全;二是客户端或虚拟服务器的安全。
(1)虚拟化软件安全:该软件层直接部署于裸机上,能够提供创建、运行和销毁虚拟服务器等功能,如操作系统级虚拟化、半虚拟化(硬件和Xen、VMware 的结合)或基于硬件的虚拟化云服务提供商应建立必要的安全控制措施,限制对于Hypervisor 和其他形式的虚拟化层次的物理和逻辑访问控制。在IaaS 服务中,用户不能接入虚拟化软件层,该层由云服务提供商操作和管理。
(2)虚拟服务器的安全:虚拟服务器或客户端面临许多主机安全威胁,包括接入和管理主机的密钥被盗、攻击未打补丁、在脆弱的服务标准端口侦听、劫持未采取合适安全措施的账户等,需要采取以下措施。选择具有TPM(可信计算平台)安全模块的虚拟服务器;安装时为每台虚拟服务器分配一个独立的硬盘分区,以便进行逻辑隔离;每台虚拟服务器应通过VLAN和不同IP 网段的方式进行逻辑隔离,对需要通信的虚拟服务器间通过VPN进行网络连接;进行有计划的备份,包括完整、增量或差量备份方式。
当我们进入云计算时代,对机器的控制和权限从企业慢慢走到服务商时,则我们的所有数据都必须在云提供商的数据中心里。此时,系统变成不可控,资料变成可控,这便是在云中最大的两个变化,也是云和传统最大的变化。虚拟技术是云计算的核心技术,我们的数据资料都是运行在数据中心的虚拟机上,但是虚拟机和虚拟机之间会互相攻击,这就使得我们的系统变成了不可控;另一个安全问题是数据的隐私性。一个现象是,当我们把数据放到互联网上时,除了我们自己能够看到外,服务商也能够看到,因为我们的数据是被保存在服务商的数据中心里,使得我们的系统变成了不可控。虚拟机有一个现象叫做“跑出去”,就是说虚拟机会跑动,这就使得我们的资料变成了不可控。例如,现在要设计资料中心,传统的方法是买一个最好的防火墙把资料中心围住,机器都在里面;但是在云计算时代,我们的资料都在虚拟机里,虚拟机会跑动,此时,防火墙就没有作用了,当然我们的资料也就变成了不可控。
另外一个现象是,一旦我们把数据放到互联网上时,服务商会把数据作好几个备份,数据的备份归服务商管理,所以数据销毁变得不可能。
防止虚拟机之间相互攻击的解决方案是,在每个虚拟机里都做一些防火墙和IDS 把防范措施做到虚拟机里,让它跟着虚拟机跑动,并且把虚拟机里的资料进行加密和解密;为虚拟环境的隔离做有效区分,监控虚拟机的状态。数据的隐私性解决方案是,需要建立服务商和用户之间的信任,通过建立相应的法规来保护用户数据的隐私性。
[1]《虚拟化与云计算》小组.虚拟化与云计算.北京:电子工业出版社,2009.
[2]张伟钦.云计算时代的新安全挑战[R].第二届中国云计算大会,2010.
[3]朱近之.云计算及物联网在智慧城市中的运用[R].第二届中国云计算大会,2010.