云計(jì)算的安全問題

云計(jì)算的安全問題

0云計(jì)算發(fā)展面臨的安全問題云計(jì)算的目標(biāo)是通過網(wǎng)絡(luò)向用戶提供各種共享的計(jì)算資源。云計(jì)算以其特有的優(yōu)勢逐步贏得了信息技術(shù)市場的認(rèn)可,也在不知不覺中掀起一場IT技術(shù)革命。云計(jì)算的顯著優(yōu)勢包括:按需服務(wù)、高帶寬網(wǎng)絡(luò)接口、共享資源池、快速可伸縮性和服務(wù)可測量。云計(jì)算通常涉及到動(dòng)態(tài)可擴(kuò)展性和虛擬化資源配置,同時(shí)還包括計(jì)算、軟件、數(shù)據(jù)訪問和存儲(chǔ)服務(wù)等。在云計(jì)算這種服務(wù)模式下,終端用戶甚至不知道為其提供服務(wù)的系統(tǒng)的物理地點(diǎn)或者系統(tǒng)的配置情況。云計(jì)算技術(shù)的復(fù)雜性以及與傳統(tǒng)服務(wù)模式的巨大區(qū)別,導(dǎo)致安全問題成為云計(jì)算推廣過程中受到關(guān)注的首要問題。我國的云計(jì)算正處于起步階段,如何構(gòu)建安全可靠的云平臺(tái)是必將面臨的挑戰(zhàn)。本文首先從角色劃分、系統(tǒng)架構(gòu)、服務(wù)層次和部署方式四個(gè)角度呈現(xiàn)云計(jì)算安全需求的面貌,再就云計(jì)算若干關(guān)鍵技術(shù)對此進(jìn)行深入分析。1云計(jì)算以及云計(jì)算中的安全問題云本身是一個(gè)復(fù)雜的系統(tǒng),云計(jì)算中的安全需求散布在云計(jì)算的各個(gè)層次、各個(gè)環(huán)節(jié)。從單一的視角很難對云計(jì)算以及云計(jì)算中的安全問題有全面的認(rèn)識。在調(diào)研國內(nèi)外關(guān)于云計(jì)算的論述之后,我們認(rèn)為,在分析評估一個(gè)云計(jì)算系統(tǒng)的安全需求和安全等級時(shí),至少應(yīng)當(dāng)從以下幾個(gè)維度的視角來進(jìn)行考量,力求評價(jià)結(jié)果的全面客觀。1.1云服務(wù)的使用者在一個(gè)典型的云計(jì)算安全模型中,至少具有以下三種必要角色:1)云服務(wù)提供商:各種層次的云服務(wù)的提供者;2)云用戶:云服務(wù)的使用者,可以是個(gè)人或者機(jī)構(gòu),包括云中的開發(fā)者。3)第三方審計(jì)者:可以對云計(jì)算中的云服務(wù)、信息系統(tǒng)的運(yùn)維、云環(huán)境和運(yùn)行安全等進(jìn)行獨(dú)立審計(jì)的實(shí)體。在該種角色劃分下,云計(jì)算中的涉及安全問題的事務(wù)依據(jù)其發(fā)生的位置歸類如圖1。1.2云服務(wù)提供商對云的運(yùn)維為了合理地組織、協(xié)調(diào)和管理云中的運(yùn)算資源以向云用戶提供良好的服務(wù),云服務(wù)提供商必須維護(hù)相應(yīng)的系統(tǒng)組件。從云服務(wù)提供商對云的運(yùn)維的角度,其所維護(hù)的云端可劃分為從底向上的三個(gè)層次:物理資源層、資源抽象和控制層以及服務(wù)層。圖2從上述三個(gè)層次出發(fā),以云提供商系統(tǒng)運(yùn)維的視角,對云計(jì)算的安全需求進(jìn)行歸納。圖2的右半部分給出了運(yùn)維者視角的云端層次劃分,左半部分對應(yīng)給出了發(fā)生在該劃分中不同層次的安全需求。1.3云平臺(tái)的安全問題在SaaS層,用戶使用的服務(wù)主要是應(yīng)用軟件,這些應(yīng)用軟件通常以托管服務(wù)的形式發(fā)布,用戶通過與云提供商之間的網(wǎng)絡(luò)連接接入服務(wù)。典型的應(yīng)用如谷歌文檔(GoogleDocs)。在這一層次,用戶面臨的安全問題包括:登錄安全、訪問控制、數(shù)據(jù)與隱私保護(hù)等等。在PaaS層,用戶使用云提供商提供的開發(fā)工具和運(yùn)行資源,開發(fā)、測試、部署和管理應(yīng)用軟件,用戶開發(fā)的應(yīng)用軟件運(yùn)行在云中。典型的PaaS平臺(tái)如Salesforce公司的F平臺(tái)。PaaS的用戶主要面臨的安全問題包括:安全設(shè)計(jì)、安全編程、安全測試和安全發(fā)布。用戶在IaaS層可以使用云提供商提供的各種基礎(chǔ)計(jì)算資源,例如虛擬機(jī)、支持網(wǎng)絡(luò)接口的存儲(chǔ)器、網(wǎng)絡(luò)架構(gòu)等等。典型的IaaS如Amazon公司的S3和EC2。IaaS用戶面臨的主要安全問題包括:存儲(chǔ)安全、數(shù)據(jù)完整性、冗余備份和審計(jì)計(jì)費(fèi)安全等等。1.4云計(jì)算的邊界安全問題根據(jù)用戶對云中計(jì)算資源的獨(dú)占性的不同,云計(jì)算有幾種不同的部署模型:公有云、私有云、社區(qū)云和混合云。不同的云計(jì)算部署模型,由于資源獨(dú)占性和租戶排他性的不同要求,導(dǎo)致不同的安全需求。私有云只為一個(gè)企業(yè)用戶提供服務(wù),而公有云為多個(gè)租戶提供云服務(wù),所有租戶共享云計(jì)算資源。因此,實(shí)現(xiàn)工作環(huán)境隔離的重要性在私有云中遠(yuǎn)低于公有云。影響不同的云計(jì)算部署模型的安全因素的另一個(gè)重點(diǎn)在于訪問邊界的不同。例如,當(dāng)實(shí)地私有云部署在企業(yè)的網(wǎng)絡(luò)邊界以內(nèi)時(shí),額外的邊界控制就不是很重要。但是,對于外包私有云而言,在其云邊界上實(shí)施訪問控制機(jī)制、建立邊界保護(hù)卻十分必要。2云計(jì)算的安全需求場景分析上節(jié)中所述的安全模型為認(rèn)識云計(jì)算中的安全需求提供了直觀的表現(xiàn)形式。在對云計(jì)算安全需求有了粗略的認(rèn)識之后,想要全面細(xì)致地理解這些需求的具體內(nèi)涵,必須將這些安全需求還原到其所發(fā)生的應(yīng)用場景,也就是說云計(jì)算的安全需求都是由云計(jì)算的特色技術(shù)和服務(wù)提供方式引起的。本節(jié)將從云計(jì)算技術(shù)架構(gòu)的角度,圍繞以下云計(jì)算環(huán)境中有代表性的四類關(guān)鍵技術(shù)(如圖3),將云計(jì)算中的安全需求進(jìn)行細(xì)致分析。2.1技術(shù)主要以及安全問題的解決多租戶技術(shù)是一項(xiàng)云計(jì)算平臺(tái)技術(shù),該技術(shù)使得大量的租戶能夠共享相同軟硬件資源,每個(gè)租戶能夠按需使用資源,能夠?qū)浖?wù)多租戶技術(shù)可以讓多個(gè)租戶共用一個(gè)應(yīng)用程序或運(yùn)算環(huán)境以及進(jìn)行客戶化配置,而不影響其他租戶的使用。多租戶可在數(shù)據(jù)層面實(shí)現(xiàn),即多個(gè)租戶共享同一個(gè)應(yīng)用程序?qū)嵗?可在進(jìn)程層面實(shí)現(xiàn),即多個(gè)租戶分屬同一個(gè)運(yùn)算環(huán)境下的不同進(jìn)程;可在系統(tǒng)層面實(shí)現(xiàn),典型的場景是為不同租戶分配不同的虛擬機(jī)。多租戶技術(shù)中最重要的安全問題就是不同租戶之間的數(shù)據(jù)和應(yīng)用程序運(yùn)行環(huán)境(ApplicationContext)的隔離問題。相應(yīng)地,租戶間隔離可在三個(gè)層面實(shí)現(xiàn):1模式2:共享數(shù)據(jù)庫多租戶架構(gòu)下不同租戶數(shù)據(jù)的存儲(chǔ)有三種模式,對應(yīng)著三種隔離的級別和實(shí)現(xiàn)的復(fù)雜度:專用數(shù)據(jù)庫模式:每個(gè)租戶使用該租戶專用的數(shù)據(jù)庫。該模式下,資源共享率最低,但數(shù)據(jù)隔離復(fù)雜度最低。共享數(shù)據(jù)庫模式:多個(gè)租戶共享同一個(gè)數(shù)據(jù)庫,但是分不同的表或視圖(Schema)進(jìn)行存儲(chǔ)。共享數(shù)據(jù)庫表模式:多租戶的資源共享達(dá)到了數(shù)據(jù)庫表的級別,同一個(gè)數(shù)據(jù)庫表中可能存放多個(gè)租戶的數(shù)據(jù)。該模式下,資源共享率最高,但數(shù)據(jù)隔離復(fù)雜度也最高。2保證各用戶的信息傳遞環(huán)境提供商可以利用應(yīng)用程序的掛載環(huán)境,在進(jìn)程粒度上切割不同租戶的應(yīng)用程序運(yùn)行環(huán)境,通過限制跨進(jìn)程通信,保護(hù)各租戶的應(yīng)用程序運(yùn)行環(huán)境互不干擾,但要求供應(yīng)商的運(yùn)算環(huán)境要夠強(qiáng)。3主機(jī)主機(jī)間的隔離供應(yīng)商可以利用虛擬化技術(shù),將實(shí)體運(yùn)算單元切割成不同的虛擬機(jī),各租戶可以使用其中一至數(shù)臺(tái)的虛擬機(jī)來作為應(yīng)用程序與數(shù)據(jù)的保存環(huán)境。此類情形下租戶間隔離通過虛擬機(jī)之間的隔離實(shí)現(xiàn)。Amazon公司的EC2就是在虛擬機(jī)層面實(shí)現(xiàn)多租戶的一個(gè)實(shí)例。2.2基于云安全技術(shù)的虛擬系統(tǒng)虛擬機(jī)(VirtualMachine,VM)是一種實(shí)現(xiàn)類物理機(jī)功能的軟件。將虛擬化技術(shù)用于公有云,使得企業(yè)網(wǎng)絡(luò)的邊界不復(fù)存在,因而虛擬機(jī)安全成為牽一發(fā)而動(dòng)全身的關(guān)鍵環(huán)節(jié)。虛擬化技術(shù)中的安全隱患主要來自以下幾個(gè)方面。1統(tǒng)一的虛擬機(jī)管理程序虛擬機(jī)讓我們能夠分享主機(jī)的資源并提供隔離。在理想的狀態(tài)下,同一臺(tái)宿主機(jī)下轄的虛擬機(jī)應(yīng)工作在獨(dú)立的、相互隔離的環(huán)境下,由統(tǒng)一的虛擬機(jī)管理程序(Hypervisor)對其進(jìn)行管理。然而,由于技術(shù)的限制和虛擬化軟件的一些程序缺陷,使得一些運(yùn)行在虛擬機(jī)中的惡意程序有可能繞過控制層,直接獲取對宿主機(jī)的控制權(quán)限,造成安全模型的崩潰。2業(yè)務(wù)通信系統(tǒng)面臨的安全威脅基于資源調(diào)度的需求,或者是為了方便操作者的使用,同一臺(tái)物理機(jī)內(nèi)部的各個(gè)虛擬機(jī)之間以及虛擬機(jī)與宿主機(jī)之間通常需要通信,在提供功能上的便利的同時(shí)帶來了一定的安全隱患。典型的例如允許數(shù)據(jù)在虛擬機(jī)和主機(jī)之間傳輸?shù)募糍N板技術(shù),為惡意程序在虛擬系統(tǒng)之間的傳播提供了可乘之機(jī)。此外,在一些側(cè)重系統(tǒng)效率的實(shí)現(xiàn)中,虛擬機(jī)與宿主機(jī)之間的隔離十分薄弱,虛擬機(jī)可與宿主機(jī)進(jìn)行直接通信,一旦某個(gè)虛擬機(jī)受到感染,將嚴(yán)重威脅同一宿主機(jī)上的所有虛擬系統(tǒng)。3主機(jī)的選擇問題在虛擬化的環(huán)境下,虛擬機(jī)取代物理機(jī)成為網(wǎng)絡(luò)環(huán)境的實(shí)體單元。同一臺(tái)物理機(jī)上的多個(gè)虛擬機(jī)可共享宿主機(jī)的網(wǎng)絡(luò)配置,因此傳統(tǒng)的與MAC或IP地址緊密關(guān)聯(lián)的安全策略,在相關(guān)實(shí)體是虛擬機(jī)時(shí)會(huì)變得效果不佳。在一個(gè)采用虛擬化技術(shù)搭建的云中,應(yīng)當(dāng)能夠根據(jù)請求數(shù)據(jù)的環(huán)境而不僅僅是發(fā)出請求的MAC或IP地址來執(zhí)行安全策略。2.3遠(yuǎn)程數(shù)據(jù)存儲(chǔ)在云計(jì)算的環(huán)境下,不論是使用哪一層次的云服務(wù),用戶數(shù)據(jù)基本上都是保存在云端的基礎(chǔ)設(shè)施中的,即在云計(jì)算服務(wù)提供與使用中,遠(yuǎn)程數(shù)據(jù)存儲(chǔ)是一種必然的需求。這是云計(jì)算與傳統(tǒng)的一些本地化應(yīng)用的重要區(qū)別之一。這一新特點(diǎn)催生了很多安全需求。1數(shù)據(jù)加密存儲(chǔ)用戶數(shù)據(jù)保存在云端,但在一些情況下,在數(shù)據(jù)上傳之前,用戶自身不具備對大量數(shù)據(jù)進(jìn)行加密處理的意圖或能力,為了使得云端存儲(chǔ)的用戶數(shù)據(jù)避免明文存儲(chǔ),云服務(wù)提供商可在服務(wù)器端提供對用戶讀寫透明的數(shù)據(jù)加密存儲(chǔ)功能。對用戶數(shù)據(jù)的加解密均由服務(wù)器端完成,加解密密鑰由服務(wù)器自身進(jìn)行管理,用戶感受不到加解密處理的存在。2數(shù)據(jù)安全機(jī)制從云中的數(shù)據(jù)所承受的潛在風(fēng)險(xiǎn)的角度,數(shù)據(jù)完整性保護(hù)的需求主要體現(xiàn)在如下幾個(gè)方面:日志完整性(LogIntegrity):如果在云的服務(wù)器端發(fā)生了故障或者是誤用,那么對于云提供商而言掩飾此類痕跡的最簡單的方法就是修改日志。對于惡意軟件和惡意用戶而言,這同樣也是最簡單的方式。為合理地應(yīng)對此類風(fēng)險(xiǎn),系統(tǒng)日志和應(yīng)用程序日志有必要以一種非否認(rèn)的方式進(jìn)行簽名,以確保自系統(tǒng)或應(yīng)用程序創(chuàng)建它們之后,其內(nèi)容未經(jīng)過非法的修改。存儲(chǔ)完整性(StorageIntegrity):傳統(tǒng)安全中對存儲(chǔ)數(shù)據(jù)進(jìn)行加密是保證存儲(chǔ)完整性的有效手段之一。在傳統(tǒng)模式下,由于用戶數(shù)據(jù)通常存儲(chǔ)在本地,用戶自身通常具備對于其數(shù)據(jù)存儲(chǔ)的完全權(quán)限和嚴(yán)格控制。而在云計(jì)算的環(huán)境下,用戶的大量數(shù)據(jù)均寄存在云端,由云提供商進(jìn)行管理。這種情形下,數(shù)據(jù)完整性的驗(yàn)證成為顯著需求。而如何對海量數(shù)據(jù)進(jìn)行完整性校驗(yàn),是該需求下的難點(diǎn)。操作完整性(OperatingIntegrity):公有云中的運(yùn)行環(huán)境、應(yīng)用環(huán)境常被多租戶共享,這增加了跨租戶活動(dòng)中的風(fēng)險(xiǎn)。這可能引發(fā)操作系統(tǒng)層面和應(yīng)用層面的未知或惡意行為。解決這類隱患的常用途徑就是實(shí)行代碼/應(yīng)用程序簽名。3存儲(chǔ)服務(wù)提供商如果第三方想使用用戶的數(shù)據(jù),需要經(jīng)過數(shù)據(jù)擁有者的授權(quán)。在云存儲(chǔ)環(huán)境下,此過程涉及到三個(gè)參與方:數(shù)據(jù)保管者(存儲(chǔ)服務(wù)提供商),數(shù)據(jù)擁有者(寄存數(shù)據(jù)的用戶)和數(shù)據(jù)使用者(如,第三方應(yīng)用等)。數(shù)據(jù)使用者須經(jīng)過數(shù)據(jù)擁有者的授權(quán),才能從數(shù)據(jù)保管者處合法獲取對應(yīng)此擁有者的數(shù)據(jù)。4數(shù)據(jù)冗余備份的一致性云存儲(chǔ)中的數(shù)據(jù)可靠性,主要指在分布式存儲(chǔ)的環(huán)境下對用戶數(shù)據(jù)的可用性的保障,其主要內(nèi)涵是對用戶數(shù)據(jù)的冗余備份,以保證在部分存儲(chǔ)節(jié)點(diǎn)失效的情況下用戶依然能夠正常獲取到其之前存儲(chǔ)的完好數(shù)據(jù)。特別地,在對用戶數(shù)據(jù)進(jìn)行冗余備份的過程中,應(yīng)做好及時(shí)的數(shù)據(jù)同步,保證同一數(shù)據(jù)的多個(gè)備份之間的一致性。在全球信息化的時(shí)代,用戶尤其是企業(yè)用戶的數(shù)據(jù)通常具有很高的商業(yè)價(jià)值,因此云端的數(shù)據(jù)可靠性的保障顯得尤為重要。特別地,在公有云的模式下,數(shù)據(jù)中心通常為云提供商所擁有和運(yùn)營,只有充分做好數(shù)據(jù)的冗余和災(zāi)備,才能獲得用戶信賴。5云計(jì)算中的隱私保護(hù)隱私保護(hù)是云計(jì)算中的重要議題之一,不論是在法律層面還是在獲取用戶信任的層面。云計(jì)算中對隱私保護(hù)的關(guān)鍵需求主要包括:告知、公開和透明性;選擇權(quán)、許可與可控性;目的限制;使用限制;可審計(jì)性等。上文提到的數(shù)據(jù)的第三方使用授權(quán),就是數(shù)據(jù)隱私保護(hù)的內(nèi)涵之一。對這些較為抽象的概念,在此不作詳細(xì)展開。2.4各組件之間的通信云計(jì)算的一個(gè)重要特點(diǎn)就是其高度的網(wǎng)絡(luò)化。用戶與云之間、云計(jì)算的各個(gè)組件之間的通信都是通過網(wǎng)絡(luò)完成的。因此,網(wǎng)絡(luò)節(jié)點(diǎn)通信安全在云計(jì)算環(huán)境下是一個(gè)顯著的需求。節(jié)點(diǎn)通信安全主要包括兩方面的內(nèi)涵:節(jié)點(diǎn)間的身份認(rèn)證和對傳輸中的數(shù)據(jù)的保護(hù)。1云服務(wù)的訪問控制在云計(jì)算環(huán)境下,身份認(rèn)證是訪問控制的重要基礎(chǔ),而且由于云和云中的數(shù)據(jù)都是建立在整個(gè)互聯(lián)網(wǎng)之上的,云服務(wù)的租戶對于其自身與云服務(wù)之間的網(wǎng)絡(luò)環(huán)境的控制能力相對薄弱,因此訪問控制比以往任何時(shí)候都顯得更加重要。在云服務(wù)提供端,通常需要實(shí)現(xiàn)良好的身份與訪問管理(IdentityandAccessManagement,IAM)。2數(shù)據(jù)安全的威脅首先是數(shù)據(jù)傳輸中的保密性的問題。應(yīng)通過身份認(rèn)證的方式確保用戶數(shù)據(jù)只流向用戶許可的目標(biāo);同時(shí)要確保數(shù)據(jù)完整性以及在傳輸過程中數(shù)據(jù)未被篡改。通常使用SSL/TLS協(xié)議。其次,在云計(jì)算的環(huán)境中,絕大多數(shù)的數(shù)據(jù)在進(jìn)行處理時(shí)都是處在明文狀態(tài)的。對于任何應(yīng)用,要想進(jìn)行數(shù)據(jù)處理的話,待處理的數(shù)據(jù)必須解密。這就帶來了數(shù)據(jù)處理過程中的安全風(fēng)險(xiǎn)。如何采用相關(guān)的技術(shù)(如同態(tài)加密)在密文狀態(tài)下完成數(shù)據(jù)處理,是一個(gè)迫切而極具應(yīng)用前景的問題。此外,還有一類威脅是所謂的中間人攻擊。在此類攻擊下,攻擊者有可能對網(wǎng)絡(luò)通信進(jìn)行竊聽和篡改。如何防范和應(yīng)對此類攻擊,也是數(shù)據(jù)傳輸安全需要解決的問題。2.5云計(jì)算系統(tǒng)的安全體系除了以上論述的四類關(guān)鍵技術(shù)實(shí)現(xiàn)中的安全需求外,我們認(rèn)為在云計(jì)算系統(tǒng)的構(gòu)建和運(yùn)