云计算安全模型与管理

虞慧群，范贵生

0 引言

云计算是继分布式计算、并行计算和网格计算之后发展的一种新计算模式，其基本思想是以虚拟化技术为基础，以网络为载体提供基础架构、平台、软件等服务为形式，整合大规模可扩展的计算、存储、数据、应用等分布式计算资源进行协同工作。云计算不仅实现了资源共享，而且大大减轻了客户拥有、管理和维护资源的负担，具有广发的应用前景[1]。与此同时，云计算具有资源虚拟化、应用托管、快速弹性架构和多租户等复杂特性，给云计算应用的信息安全带来了新的威胁[2，3]。

在传统模型下，企业的数据中心是由多个独立的服务器或物理环境组成的。每个服务器上都由一套独立运行的安全防护产品保护服务器或相关的应用程序，而在外围又部署了防火墙、网关安全防护设备等安全防护产品，实现对数据中心从内到外的安全防护。 而在云计算模式中，数据中心使用新的网络模型，由整合的硬件资源服务器集群代替原有的几十台独立服务器，将计算、存贮或应用程序以虚拟机的形式同时部署在这台服务器上，这些虚拟机间同时共享该服务器的硬件资源，以按需的形式快速配置资源、提供相应的服务，为用户带来了弹性的计算能力和便捷的资源管理服务[4]。然而，所有这些虚拟机之间可以共享资源，由于存于同一台物理机或者同一个硬盘上，中间只有防火墙之类的防护设备，因此虚拟机间或应用程序间的数据变更，很容易将威胁传播出去。

云计算的结构复杂性、开放性、按需服务、多租户等特点，为云计算的安全保障带来了巨大的挑战[5]。云计算应用的结构特征涉及多个层面，包括网络、主机、应用程序、数据，接口，每个层次均存在安全威胁。云计算安全需求多样性也为云环境中的信息安全、信息监管带来了难度。另外，在云平台中运行的各类云应用，没有固定不变的安全边界，用户数据托管到云端、失去了对数据的物理控制，如何保护用户数据安全性是困难的问题。

本文主要从云计算的结构特征分析出发，对云计算安全模型的结构和构件进行剖析，阐述云安全管理的模式，并对云数据安全的粘性策略管理机制进行介绍。

1 云计算安全模型

在云计算环境中，由于用户不再直接拥有基础设施的软、硬件资源，这种应用模式的开放性和虚拟化等特点，导致云计算的安全体系和传统信息安全体系存在较大差异[6]。云计算安全模型框架，该框架描述了云计算的层次架构与云安全服务以及云安全机制的联系，如图1所示：

图1 云计算安全模型框架1.1云计算架构

典型的云计算系统是由数据中心、虚拟化平台、云服务、云接口和云终端组成的。数据中心是云计算虚拟化、高效管理的中心，以达到集中管理、灵活访问和数据安全的目的。数据中心包括服务器、存储设备、网络设备和数据资源等。

虚拟化平台将IT环境改造成为更加强大、更具弹性的架构，通过把多个操作系统整合到一台高性能服务器上，最大化利用硬件平台的所有资源，并降低资源管理的难度。

云服务提供用户基于云计算平台的各种服务，主要包括3个层次：基础设施即服务IaaS、平台即服务PaaS、软件即服务SaaS。云服务为不同用户提供了丰富的个性化需求。

云接口面向各类云计算应用，目的是向用户提供一系列的API，允许用户获取云计算资源，并进行其它形式的交互。

云终端为云计算用户提供了交互界面。用户通过云终端浏览器的能够获取云计算资源，必要时与本地资源协作，构造完整的基于云平台的应用系统。

1.2 云安全属性

云安全属性包括云服务和云数据的保密性、完整性、可用性、可控性、可审查性和不可抵赖性等[7]。

保密性是指云计算数据不被泄露给非授权的用户、实体或过程，即信息只为授权用户使用。保密性的实现技术包括物理保密、防窃听、信息加密、访问控制等。

完整性是指云计算的数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。数据的完整性的目的就是保证云计算的数据和信息处于一种完整和未受损害的状态，以及多个备份数据的一致性。

可用性是指云计算平台的数据或服务的访问并按需使用的特性，即当需要时能否存取和访问所需的信息。

可控性是指云服务对云计算数据的传播及内容具有控制能力。

可审查性云计算出现安全问题时提供依据与手段，以便快速地定位和检测系统的安全漏洞并加以修复。

不可抵赖性是指云计算在传输数据时必须携带含有自身特质、别人无法复制的信息，防止数据使用后对行为的否认。

1.3 云安全体系

与云计算架构相对应，云计算安全体系包含数据中心安全、虚拟化平台安全、云服务安全、云接口安全及云终端安全等五个层面。

数据中心安全目的是防止数据中心的系统和数据遭受侵害、并保障其提供符合QoS需求的云服务。采用备份与容灾、防黑客入侵技术，确保拥有持续服务的能力，以及服务迁移的能力，维持用户的业务不中断[8]。

虚拟化平台安全主要是在云管理平台内部安全监控，管理行为审计，阻止虚拟机用户隐私外泄与权限上浮，防黑客入侵等技术来控制虚拟化平台的用户安全访问，以便解决终端层面遇到的各种泄密风险。

云服务安全是指采用安全监控与用户行为审计、病毒过滤等技术对SaaS, PaaS和IaaS三种不同类型的云服务进行管理。采用密钥管理机制和标准的加密技术，使得企业能够掌控公有云、私有云，或混合式云环境中的服务。

在云计算环境下，必须整合不同类型的系统，而且是在云计算系统和内部系统混合的环境下进行整合，必须避免利用接口对内和对外进行攻击，避免利用接口进行云服务的滥用。云接口安全通过对用户进行强身份认证、加强访问控制等方法实现。

云终端安全主要是指Web应用的安全，可以采用的防护措施包括访问控制、配置加固、部署应用防火墙。此外，针对不同操作系统的中间件带来的安全问题，可以采取数据加密、身份认证等技术。

1.4 安全构件

安全构件是实施云计算安全的基本成分和机制。云计算安全模型涉及云计算的各个技术层面[9]，在各个层次均需要利用身份认证、密码技术、访问控制、审计等基础安全设施，以实现相应的安全服务。数据的安全管理架构，如图2所示：

图2 数据安全管理架构

身份认证，主要指通过网络对另一方通信实体的身份进行确认，对用户的身份认证遵循3种基本方法：验证用户身上独一无二的生理特征、验证用户拥有物理介质令牌及验证用户的密码和口令。

访问控制，是按用户身份及其所归属的某项定义组来限制用户对某些云计算数据的访问，或限制对某些云服务的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等云计算数据的访问。

加密及密钥管理技术，采用数据加密技术实现用户信息在云计算共享环境下的安全存储与安全隔离，加密算法的健壮性依赖于良好的密钥管理技术。采用适当的加密算法可以防止用户数据被偷窃、攻击和篡改。密钥管理也是实现用户身份鉴别和认证的前提。

审计，要求收集、分析、评估对云计算运行日志、数据访问日志、业务应用系统运行日志等信息，掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，以便将系统调整到“最安全”和“最低风险”的状态。

入侵检测，是指对入侵行为的发觉。通过在云计算环境中的若干关键点收集信息并对其进行分析，从中发现云计算平台中是否有违反安全策略的行为和被攻击的迹象。

2 云计算安全管理

2.1 安全管理阶段

有效的安全管理是云计算应用的安全运行得以实现的保障。云计算安全管理可以分为预防、监控和响应3个阶段。

预防阶段，依据云计算系统安全需求和系统结构、行为特征，提炼安全策略，并利用相应的安全机制对云计算系统实施安全策略，保障云计算业务免受恶意攻击威胁。

安全规则的制定：基于安全策略，形成可执行的安全规则。

系统安全的配置：实现云计算环境中系统的配置，安装各种必要的补丁，保证系统安全策略的实施。

云计算业务涉及到大量关键数据。管理人员某些有意或无意的违规操作，如窃取用户的隐私信息或者是修改用户信息，都将对业务系统造成重大影响。应对此类问题，需要采取有效的手段对云计算运行进行监控。通常利用如下两种方式实现入侵检测。

异常临视：系统发生不正常情况。如：服务停止，无法正常提供服务，服务状态不稳定等。

模式发现：对已知攻击的模式进行发现。

云计算业务是动态变化的，即使采用了很多的静态技术组合也不能保证云计算运行不会发意外，所以必须建立应急响应机制。当发生意外时，响应机制可以保证云计算业务能够在最短的时间内恢复到正常状态。在发现了攻击企图或者攻击之后，需要系统及时地进行反应，具体步骤如下：

报告：无论系统的自动化程度多高，都需要管理员知道是否有入侵事件发生。

记录：必须将所有的情况记录下来，包括入侵的各个细节以及系统的反映。

反应：进行相应的处理以阻止进一步的入侵。

恢复：清除入侵造成的影响，使系统运行趋于正常。

2.2 粘性策略管理

粘性安全策略最初目的是确保个人隐私在信息流中始终得以实施。研究表明，安全策略可以粘附在数据上，以实现对个人数据的隐私控制[10]。根据安全策略的粘度，数据可能加密并利用公钥机制PKI实现密钥传递，对数据的访问只能在满足这些策略的前提下才能进行。数据安全策略用于约束相关数据在云计算环境中的访问权限和使用方式。数据安全管理涉及粘性安全策略的使用、安全策略的实施和云服务数据访问行为的监控等方面。具体的安全管理框架如图2所示，其中粘性数据安全管理协议执行过程包括（A）- (D)等4个步骤。

(A) 用户向云服务端发送数据和粘性安全策略；

(B) 云服务端向TA发送获取解密密钥的申请；

(C) TA与用户交互，确认授权和通告消息；

(D) 如果密钥申请合法，TA传送解密密钥；否则拒绝申请。

粘性数据安全管理协议的执行需要用户、云服务和TA三方的协同工作。在提交云服务申请之前，用户首先利用常规的可信插件对身份或数据进行处理，并粘附安全策略于数据之上；接收到用户服务申请之后；云服务端需要与TA交互，通过提交粘性安全策略和身份信息申请密钥。获取密钥后对用户信息的使用受访问控制模块的监控；TA的主要功能是密钥管理、策略解析和访问监控，TA在整个安全管理中起着枢纽作用。

3 结论

安全性是用户选择云计算时考虑的首要因素。云计算结构特征及开放性、复杂性、按需服务、虚拟化资源池、快速弹性架构和多租户等特点，为云计算领域的信息安全带来了前所未有的挑战。云计算安全模型的建立，涉及到云计算架构的数据中心、虚拟化平台、云服务、云接口及云终端等各个环节。另外，需要从预防、监控和响应等不同角度考虑云计算的安全的实施和管理。粘性安全策略及方法为云计算数据安全提供了一种可行的理论方法。

目前，云计算安全模型和管理的理论基础尚需深入研究，相应的技术和工具支撑还有待在实践中不断积累。需要云计算相关的科技人员、企业和政府部门协同工作，在云计算服务安全和数据安全技术、安全服务等级协议、认证技术等方面，建立一套与云计算应用相适应的安全体系。

[1]S. Marstona, Z. Lia, S. Bandyopadhyaya, et al. Cloud computing-the business perspective.[J]Decision Support Systems, 51(1): 176-189, 2011.

[2]F. Lombardi, R. Di Pietro. Secure virtualization for cloud computing.[J]Journal of Network and Computer Applications, 34(4): 1113-1122, 2011.

[3]冯登国, 张敏, 张妍, 徐震. 云计算安全研究.[J]软件学报, 22(1): 71-83, 2011.

[4]Y. D. Zhang, Y. S. Zhang. Cloud computing and cloud security challenges. Processing of the 2012 Internaltional Symposium on Information Technology in Medicine and Education.[J]IEEE Computer Society, Washington, DC,USA, pp.1084-1088, 2012.

[5]R. M. Luis, M. V. Luis, C. Eddy, etc. Building safe PaaS clouds: A survey on security in multitenant software platforms.[J]Computers & Security, 31(1): 96–108,2012.

[6]H. Takabi, J. Joshi, G. J. Ahn. Security and privacy challenges in cloud computing environments.[J]IEEE Security and Privacy, 6(6): 24-31, 2010.

[7]S. Al-Azzani, R. Bahsoon Architecture-level evaluation and testing for security. Processing of the 2012 Joint Working IEEE/IFIP Conference on Software Architecture(WICSA) and European Conference on Software Architecture (ECSA).[J]IEEE Computer Society, pp.51 – 60,2012.

[8]C. Wang, Q. Wang, K. Ren, W. Lou. Ensuring data storage security in Cloud Computing.[C]Proceedings of 17th International Workshop on Quality of Service,pp.1-9, 2009.

[9]W. Jansen, T. Grance. Guidelines on Security and Privacy in Public Cloud Computing.[C]NIST Special Publication 800-144, 2011.

[10]S. Pearson, M. C. Mont. Sticky policies: An approach for managing privacy across multiple parties.[J]IEEE Computer, 44(9): 60-68, 2011.