云計算整合了大量的計算、存儲和軟件資源,實現(xiàn)了資源的按需分配,在資源共享、服務成本低廉等方面具有絕對優(yōu)勢,具有廣闊的市場應用前景,被認為是IT業(yè)未來的發(fā)展方向。
然而云計算存在的安全問題卻成了阻礙云計算進一步發(fā)展的重要因素,要想實現(xiàn)云計算的快速、健康發(fā)展,首先就要解決好云計算安全問題,云安全問題已經(jīng)成為當下研究的重點。本文對云計算以及云計算安全的相關概念和問題進行了介紹,并對云計算安全框架和關鍵技術進行了研究。
1.云計算安全的概念
1.1 云計算的概念
云計算是分布式計算、并行計算、網(wǎng)絡存儲、虛擬化等傳統(tǒng)計算機和網(wǎng)絡技術發(fā)展融合的產(chǎn)物,是近年來最具有代表性的網(wǎng)絡計算技術,也是目前研究和應用的熱點。美國國家標準與技術研究院(NIST)的定義是:云計算是基于服務提供者和消費者間的服務契約動態(tài)提供統(tǒng)一的計算資源,由互聯(lián)的虛擬化計算機組成的并行分布式系統(tǒng)。根據(jù)NIST的定義,云計算具有自助按需服務、虛擬資源池、可度量服務、高速彈性架構(gòu)和高寬帶網(wǎng)絡等五個關鍵特征。
在傳統(tǒng)計算模式基礎上發(fā)展起來的云計算,具有資源共享、管理統(tǒng)一、價格低廉等諸多方面的優(yōu)勢,又克服了傳統(tǒng)計算模式在規(guī)模和擴展性方面的缺陷,成為業(yè)界近年來的熱門課題。
1.2 云計算所面臨的安全挑戰(zhàn)
開放、復雜的云計算系統(tǒng)存儲了海量的用戶數(shù)據(jù)信息,隨著云計算的廣泛應用,其存在的安全性問題也備受關注。總結(jié)起來,云計算的安全風險主要涉及三個方面:
一、涉及到人的方面。首先,云計算服務提供商是否能夠自覺遵從所在國家的法律法規(guī),并開放一定的權(quán)力給用戶,使用戶具有調(diào)查取證的能力。然后,云計算的維護管理(包括外包服務人員)等相關人員擁有接入特權(quán),增加了敏感數(shù)據(jù)處理的風險。此外,云計算的身份認證機制薄弱,用戶賬號可以被他人輕松獲取登錄,并進行各種非法操作。
二、涉及到數(shù)據(jù)的方面。數(shù)據(jù)的安全是云計算安全的關鍵,而用戶的數(shù)據(jù)在云計算系統(tǒng)中具有數(shù)據(jù)存儲位置未知、不可控性等諸多安全隱患。因此,一旦云服務提供商在數(shù)據(jù)的隔離防護等方面措施不當,或者數(shù)據(jù)高度密集的云服務平臺遭到黑客的攻擊,那么在數(shù)據(jù)傳輸、存儲、處理等各個環(huán)節(jié),均有可能發(fā)生數(shù)據(jù)的泄露、篡改、丟失。
三、涉及到技術的方面。資源共享是云計算的優(yōu)勢和特點,但是同時,共享程度越高,漏洞也就越多。另外,開放的云計算要求大量的網(wǎng)絡接口和API來整合資源,也增加了安全風險。
云計算作為一個新興的技術,在所難免的會存在一些安全隱患,并對網(wǎng)絡安全產(chǎn)生影響。但是云計算技術是未來發(fā)展的方向,因此需要廣大科技工作者在云計算安全領域投入更多精力,致力于打造更加安全、可信的云計算系統(tǒng)。
1.3 云計算安全的優(yōu)勢與策略
盡管云計算存在一定的安全隱患,但相較于傳統(tǒng)的計算模型,云計算在安全性上還是存在諸多的優(yōu)勢。首先,高度集中的管理方式,使云計算相對于傳統(tǒng)計算方式更加便于進行監(jiān)控管理;其次,云計算提供的是由專業(yè)技術人員負責維護的數(shù)據(jù)文件存儲服務,數(shù)據(jù)文件存儲的保護措施更好,備份恢復能力更強;最后,用戶只需要在PC端或者移動終端通過瀏覽器就可以向云端提出操作請求,更加安全、靈活。
2.云計算安全體系架構(gòu)
云計算安全的問題形勢嚴峻,CSA(云安全聯(lián)盟)、Gartner公司分別對云計算安全問題進行了總結(jié)分析,認為安全問題是阻礙云計算進一步發(fā)展的關鍵所在。
CSA基于云計算的三種服務模式,提出了一種云計算安全架構(gòu)。IaaS層位于云服務的最底層,是云計算體系安全的基礎,為上層云應用提供數(shù)據(jù)計算存儲等IT資源服務。IaaS采用大量的虛擬化技術,因此,虛擬化軟件安全、虛擬化服務器安全是其面臨的主要風險。在IaaS中,服務提供商負責提供基礎設施和抽象層的安全保護,而其它安全職責則主要由客戶承擔。PaaS位于云服務的中間,自然起到的是承上啟下的作用,既依靠IaaS平臺提供的資源,同時又為上層SaaS提供應用平臺。PaaS面臨的主要安全風險是分布式文件和數(shù)據(jù)庫安全,用戶接口和應用安全。在PaaS中,服務提供商負責平臺自身的安全保護, 而平臺應用和應用開發(fā)的安全性則由用戶負責。SaaS位于云服務的最頂層,大量的用戶共用一個軟件平臺必然帶來數(shù)據(jù)、應用的安全問題。多租戶技術是解決這一問題的關鍵,但是也存在著數(shù)據(jù)隔離、客戶化配制方面的問題。服務提供商對SaaS層的安全承擔主要責任。
3.云計算安全關鍵技術
3.1 身份管理和認證
為確保用戶間數(shù)據(jù)隔離和安全訪問,需要在多用戶共享的云計算系統(tǒng)中建立用戶的身份管理和訪問控制,這也是云計算安全的關鍵技術之一。目前提出的解決方案包括結(jié)合聯(lián)邦身份管理和個人身份分層加密的身份認證方法等。
云計算應用中,用戶可能會使用不同的云服務,標識符過多會造成混淆和遺忘。為了解決這一問題,為用戶提供良好的體驗,云計算的認證還應用了單點登錄和聯(lián)合身份認證等技術。單點登錄技術,簡單的說就是利用單點登錄協(xié)議,使用戶在使用云服務時只需要注冊和登錄一次,從而減輕用戶負擔。聯(lián)合身份認證指的是用戶可以使用一個賬號登錄相互信任的不同云服務平臺,是基于單點登錄技術建立的。
3.2 數(shù)據(jù)安全
數(shù)據(jù)安全是云計算安全的核心,主要包括靜態(tài)存儲數(shù)據(jù)保護和動態(tài)數(shù)據(jù)隔離保護。數(shù)據(jù)存儲是云計算的一個重要功能,數(shù)據(jù)在云存儲中是靜態(tài)數(shù)據(jù),確保用戶數(shù)據(jù)的隱保密性、完整性、可恢復性是云計算安全的關鍵。關于數(shù)據(jù)保密性問題,主要采用的方式是數(shù)據(jù)加密和訪問控制機制。采用更加有效的完整性驗證算法是保證數(shù)據(jù)完整性的研究重點。而副本技術則是解決數(shù)據(jù)可恢復性的常用手段。在動態(tài)數(shù)據(jù)隔離保護的研究中,目前提出來的主要有隔離機制、訪問控制模型和機制、基于信息流模型的數(shù)據(jù)安全保護機制等。
3.3 虛擬化安全
虛擬化技術是開展SaaS云服務的基礎,因此,服務器虛擬化、存儲虛擬化、網(wǎng)絡虛擬化的安全問題對云計算系統(tǒng)安全來說至關重要。要實現(xiàn)服務器虛擬化的安全,就要建立包括虛擬機安全隔離、訪問控制、惡意虛擬機防護、虛擬機資源限制等在內(nèi)的安全保護體系,并不斷完善。保障存儲虛擬化安全,需要提供設備冗余功能和數(shù)據(jù)存儲的冗余保護。虛擬化網(wǎng)絡是實現(xiàn)云計算的重要途徑,因此,采用合理按需劃分虛擬組、控制數(shù)據(jù)的雙向流量、設置安全訪問控制策略等手段構(gòu)建虛擬化網(wǎng)絡安全防護體系十分重要。