云计算中云安全探讨

肖衡 龙草芳 周雪

摘 要:随着云计算这种全新计算方式的迅猛发展,大量关于云计算的软件和方案都被热议,但来自安全領域方面的威胁和技术的不成熟,使得云计算处处存在各种风险,其架构也有着不可避免的脆弱性,这让许多企业不敢举步。要解决云计算中的各种安全问题,使云计算能经受住时间和空间的考验,云安全的研究与完善成为发展云计算的首要问题。本文主要从云计算发展带来的安全问题入手,分析三个层次所遇到的安全问题,指出当前云安全现状及一些应用技术,并对未来云安全的发展进行了展望。

关键词:云计算云字全数据加密数据安全

中图分类号:TP313 文献标识码:A 文章编号1672-3791(2012)06(b)-0022-02

在云计算提出的初期,引发了世界范围的热烈争议,但是这个最新技术趋势的代名词,还是凭着它的优势逐渐渗入到人们的工作生活及科研等各方面中。“云”是提供资源的网络,云计算,是一种基于互联网的高效、经济的信息和应用服务,其目标是将通过高效的管理资源,以网络为界,为用户提供各种资源和服务。被认为是继个人计算机、互联网之后的第三次IT风云。

1 云计算的发展

云计算的到来,宣告了以设备为中心计算时代的终结,取而代之的是以应用互联为中心的计算模式。同时将改变现有的工作方式和商业信息服务模式。这对各企业来说,意味着巨大的商机,各大企业纷纷高调宣布“入云”、“建云”行动。2006年,亚马逊提出了简单存储服务和弹性计算云,标志着云计算服务开始走向成熟。2008年IBM推出“蓝云计划”,并提出了“共有云”、“私有云”的概念,次年又发布了基于云端的协作平台,2011在基于Power7指挥系统上Waston Box、Cloud Box、Mason Box三个宝盒构建云基础架构。德国2010建立了目前欧洲最大的云计算中心。我国也紧跟国际云计算发展的步伐,现已启动“商用云计算中心”、“中国云谷”、“祥云工程程”等。

2 云计算的安全问题

云计算引发热议的焦点在于它的安全问题。云计算是一种共享基础架构、将大量计算机链接成资源池,将计算任务分布其上,使各种应用系统能按需获取计算能力。作为资源池的“云”就必须具备自行维护和管理能力,并能为用户提供各种IT服务,通常由云服务提供商提供。

云服务提供商提供的服务类型分三个层次:SaaS(软件即服务),PaaS(平台即服务),IaaS(基础设施即服务)。这三层都存在着各自不同的安全问题。

最高层SaaS服务模式是一类基于WEB客户端的服务,许多安全问题都是不可知不可控,完全依赖于提供商。SaaS面临的主要是服务器端、客户端以及数据传输这三大安全问题。物理安全上,云计算通过虚拟技术,将资源高度集中化,允许单个服务器承载很多虚拟机器以及多个客户的数据。一旦服务器崩溃,灾难将是不可想象的,故硬件的安全是最基本的需要。数据存储方面,采用什么样的存储保护模型、备份复制策略。当服务器遭到攻击,数据如何恢复,是否存在业务连续和灾难恢复保障策略,成为最为关注的问题。在传输方面,网络是黑客攻击和病毒破坏最强的环节,如何对数据进行加密,保障数据在网络传输过程中的安全问题,成为一大难题。

中间层PaaS针对的是开发者,是由服务商为用户提供云计算基础架构,如防火墙、服务器、操作系统。PaaS中的安全威胁来自于系统本身和系统管理,主要表现在应用配置、保密插口层协议SSL、数据不安全许可三方面。在云基础架构中的默认配置下,安全运行应用的概率为0,且不同的操作系统中,需进行不同的配置,如Ｗindows,需要具备确保IIS、SQL和.net安全的能力。Linux、ApacheMySQL、PHP环境使用通用配置LAMP。SSL是大多数云安全应用的基础,这也使之成为当前黑客研究攻击的重点目标,必须采用可行的方法来缓解SSL攻击。云中的数据可能遭遇非访问,如何确保用户的真实可靠及访问决策是否授权成为解决重点。

IaaS利用服务器和自动化,由服务商为用户提供计算、存储和带宽资源。用户可以自由构建计算环境,自行管理计算系统层次架构(除最底层硬件),自己处理在云计算服务中遇到的安全问题。常遇风险有:数据泄露,远程认证,服务中断,端到端的加密。

云计算越来越普及,其安全性也越来越受重视,只有谨慎对待每一个安全问题,才能让云计算走得更远。

3 云安全的应用及现状

阻碍云计算进一步发展的最大障碍是“云安全”,云安全的实现措施可从服务端和客户端两个方面来说。服务端的安全主要由服务提供商来实现,目前确保云中信息安全的方法主要有建可信云,数据加密,安全认证,法律和协议。

构建可信赖的云计算平台,保证云平台的开放性、可扩展性,支持无缝升级,使服务内容能够不断扩展延伸。如Google SaaS提供的云服务就具备比较专业规范的安全保障。

数据加密:“保障数据安全,是实现云计算环境的根本”,数据的安全性和数据控制权是企业最关心的问题,使用强加密和密钥管理是云计算系统保护数据的一种核心机制。目前云中的机密数据必须通过访问控制组、合同责任和加密措施等进行保护。加密数据包括加密网络传输中的数据、静止数据、备份数据以及动态数据。密钥管理可细分为保护密钥存储、访问密钥存储、密钥备份与恢复。当前有许多标准和指导方针对云中的密钥管理适用,如OASIS密钥管理协同协议(KMP),IEEE1619.3标准。

安全认证:身份证和访问管理(IAM)是云计算中主要的挑战之一。通过在企业应用程序中加入单点登录SSO认证功能,采用强制用户认证,代理、协同认证,资源认证,不同安全域之间的认证或者不同认证方式相结合的方式。

客户端的安全主要体现在网络安全和用户操作方面。云计算客户端的网络安全最直观的体现是是WEB应用。WEB浏览器因开放性和自身漏洞的原因,遭遇攻击的频率居高不下,成为计算中非常脆弱的环节。要保护客户的证书和认证密码遭遇木马盗窃,就必然要为其提供量身定做的深层次的防御技术。如趋势科技推出主动式服务TMHD,目前正培育的WEB应用防火墙。

作为云用户,操作应用云服务时,应支持云安全技术的安全产品,这样才能在端点安全、基础设施防御、服务器和桌面取证与防御等方面,确保实时、可靠的安全签名升级与技术支持服务。如保护云API密钥的安全,要求提供商提供多把密钥,分开存储数据,备份数据。增强端点可靠性,端点设备上尽量少放数据,防止数据丢失或不能访问,并确保备份数据在存储和转移时受到严密保护。

4 云安全展望

“混合云”将推动云计算的进一步发展。如今云计算已逐渐推广,众多企业数据中心将应用虚拟化和自动化,私有云和公共云的过渡与兼容成为一种趋势。创建可信的可靠的“混合云”,提高安全性,追求高效率,力求获得1+1〉2的放大效应。未来私有云将成为公共云服务的基石,加强IT数据中心和混合环境的控制,会成为“混合云”占领市场主导地位的动力。

推出深入的云安全防御。黑客对公共云基础设施和公共云防御措施的理解熟悉必将为其攻击公共云提供技术支持,能有效防止被云驱逐。纵深云安全防御措施推出将是势在必行的,将通向公共云的众多大门注入新的防御措施以便能及时发现所有可能发生的安全事件。

关注云中数据安全性。云计算以迅猛之势爆发,必然引发云部署模型从单一走向综合的优化,各种公共云服务综合,又必然引发云中庞大数据管理与分析的技术更新,保护企业复合数据源的安全性和完整性仍是一大挑战。同时注重隐私的精妙程序设置和云安全法则的制定出台是云服务迫切期盼的

云中应用程序的开发。随着Cloud Foundry被提名为最佳开发台,标志着在云中开发应用软件成为一种新趋势。对软件产业来说,云计算真正为研发业务和研发管理提供了统一的、面向服务的、动态规划的平台,并从根本上消除了开发的很多局限。

5 结语

“如果安全性无法满足,那么迈入云端就没有任何意义”。正确认识云安全,做好部署过渡到云计算环境的准备,决定什么业务加入云端,提高效率和安全性。而今,一些信息安全行业正积极向云计算进军,云安全的市场在金融和互联网等领域已打开缺口。相信,当大规模的云化网络实现后,云计算将成为信息服務业发展最重要的方向,为IT服务产业开拓全新的商业模式和建设思路。

参考文献

[1] 牛继宾．云安全发展现状以及解决方案概述[Z]．10-20.

[2] PhilCox．主流云计算服务模式安全攻略[Z]．

[3] Ammon．云计算简介[Z]．

[4] 吴珍．漫步云端——探秘云安全[J]．信息安全与通信保密,2008(11).