1、云計算安全總體框架與尖鍵技術(shù)研究 云計算已經(jīng)成為當(dāng)前IT界尖注的熱點話題，但云計算的發(fā)展也面 臨許多矢鍵性問題，而安全問題首當(dāng)其沖，并且隨著云計算的不斷普 及，其重要性呈現(xiàn)逐步上升趨勢，已成為制約云計算發(fā)展的核心因素。 因此，對云計算的安全進行系統(tǒng)研究顯得迫切而重要。 1. 云計算的概念與總體框架 1.1云計算的概念 目前，業(yè)界對云計算的理解并不一致。簡單地講，可以從技術(shù)和 運營服務(wù)兩個層面來理解其含義： 1) 從技術(shù)層面看 云計算并不是一項技術(shù)，而是代表一系列計算方式發(fā)展趨勢的綜 合概念是并行計算(ParallelComPuting )、分布式計算(dist ributed COmPUtin

2、g )和網(wǎng)格計算(grid CDmPUting )的發(fā)展。事實 上5云計算 不是指一項獨立的技術(shù)，而是在從C/S結(jié)構(gòu)、分布式計 算到網(wǎng)格計算、效用計算、SaaS的計算方式發(fā)展大趨勢下，一系列包括 虛擬化、按需服務(wù)在內(nèi)的概念總和。 2) 從運營層面看 云計算提供了按需租用計算能力的服務(wù)，對于外部使用者來說，這 種服務(wù)就像天上的云一樣透明，不需要考慮其背后的實現(xiàn)細(xì)節(jié)，從而可 以專注于自身業(yè)務(wù)，有利于創(chuàng)新及節(jié)約成本。對整個行業(yè)來說，這是一 次革命性的創(chuàng)新。可以說，云計算不僅僅是技術(shù)的進一步發(fā)展，更是一 種業(yè)務(wù)模式的創(chuàng)新。如果用一個簡單的公式來表達(dá)云計算，就是： 云計算二(基礎(chǔ)設(shè)施+平臺+軟件+數(shù)據(jù))

3、*服務(wù)(1)其中，基礎(chǔ)設(shè) 施、平臺、軟件、數(shù)據(jù)可以理解為云計算的技術(shù)層面。但僅有 技術(shù)是不 夠的，還要具備良好的服務(wù)，兩者是相乘的矢系。即在同等 技術(shù)條件 下，服務(wù)越好，云計算的價值就越大。 1.2云計算總體框架 云計算的總體框架如圖1所示。圖1云計算總體框架圖 從圖1可看出，云計算是一個復(fù)雜的體系，可以從以下幾個層 面來 論述。 1 )從基礎(chǔ)技術(shù)角度看，云計算是一系列技術(shù)的總和，這一點從 公式(1)可看出。 2)從性能上看，云計算有以下5大特點： (1) 按需自助服務(wù)。消費者可按需方便地獲得計算資源。 (2) 泛在的網(wǎng)絡(luò)訪問。可通過各種網(wǎng)絡(luò)渠道，以標(biāo)準(zhǔn)統(tǒng)一的機 制獲取服務(wù)。 (3) 動態(tài)資源

4、池。資源可以被整合為一個動態(tài)資源池，以多租 戶模式服務(wù)所有客戶并動態(tài)分配。 (4) 快速伸縮性。可以迅速、彈性地提高服務(wù)，既能快速擴展， 也能快速釋放資源。 (5) 可計量的服務(wù)。服務(wù)收費可以是基于計量的一次一付，也 可以針對不同服務(wù)需求計量和定價。 3) 從服務(wù)模式看，云計算包含如下3種模式： (1) 基礎(chǔ)設(shè)施即服務(wù)(IaaS)。消費者通過Internet可以從 完 善的計算機基礎(chǔ)設(shè)施獲得服務(wù)。IaaS通過網(wǎng)絡(luò)向用戶提供計算機 (物理機和虛擬機)、存儲空間、網(wǎng)絡(luò)連接、負(fù)載均衡和防火墻等基 本計算資源；用戶在此基礎(chǔ)上部署和運行各種軟件，包括操作系統(tǒng)和應(yīng) 用程序。 (2) 平臺即服務(wù)(PaaS。

5、將軟件的開發(fā)、測試和部署平臺作為 一種服務(wù)提供給客戶。PaaS平臺通常包括操作系統(tǒng)、編程語言的 運行環(huán) 境，數(shù)據(jù)庫和Web服務(wù)器，用戶在此平臺上部署和運行自己 的應(yīng)用。 (3) 軟件即服務(wù)(SaaS。即通過In ter net提供軟件，用戶無 需購買軟件，而是向服務(wù)商租用基于Web的軟件，以管理企業(yè)的經(jīng)營活 動。 4) 從部署模式看，云計算可以分為以下3種模式： (1) 公有云。是由獨立的第三方建設(shè)并運行，由若干企業(yè)和用 戶共享使用的云環(huán)境。 (2) 私有云。為某一客戶單獨構(gòu)建和使用的云環(huán)境，該客戶擁 有基礎(chǔ)設(shè)施，并可以控制在此基礎(chǔ)設(shè)施上部署應(yīng)用程序的方式。 (3) 混合云。把公用云模式與私有

6、云模式結(jié)合在一起的云環(huán)境。 混合云有助于提供按需的、外部供應(yīng)的擴展服務(wù)。可見，云計算是一個 復(fù)雜的體系，既是一系列IT技術(shù)的融合，又包含多種服務(wù)模式。 2. 云計算安全總體框架 作為一項新生事物，云計算的推廣遇到諸多困難，其中遇到的最 大 挑戰(zhàn)是用戶對安全問題的擔(dān)憂。Gartner、IDC等專業(yè)機構(gòu)的調(diào)研 也表明，安全問題已成為阻礙云計算推廣的最大障礙。鑒于云計算的復(fù) 雜性，它的安全問題也應(yīng)該是一個涵蓋技術(shù)、管理，甚至法律、法規(guī)的 綜合體。 根據(jù)云計算平臺的特點，構(gòu)建了如圖2所示的云計算安全總體框 架： 圖2云計算安全總體框架 下面概要介紹該框架中每部分的含義。 2.1云計算安全政策、法規(guī)、標(biāo)

7、準(zhǔn) 傳統(tǒng)的安全技術(shù)已經(jīng)出現(xiàn)多年，相應(yīng)的標(biāo)準(zhǔn)、法律、法規(guī)也都相 對 成熟，但現(xiàn)在的云計算安全缺少標(biāo)準(zhǔn)，政策、法規(guī)也不健全。再加上云 計算自身的特點，數(shù)據(jù)可以存儲在世界上任何一個國家，當(dāng)出現(xiàn)問題 時，國家政策的不同也是云計算安全的一個重大挑戰(zhàn)。 標(biāo)準(zhǔn)化是云計算安全發(fā)展的重要措施之一，但目前云計算安全研 究還處于起步階段。國際上研究主力包括云安全聯(lián)盟（CSA、國際電聯(lián) （ITU）、IEEE等組織，國內(nèi)有中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA、中國云計 算技術(shù)與產(chǎn)業(yè)聯(lián)盟（CCCTIA等組織，但這些組織的研究也都處于進行 中，尚未形成獲得一致認(rèn)可的安全技術(shù)和標(biāo)準(zhǔn)。 2.2 IaaS層的安全風(fēng)險與措施 IaaS層處

8、于云計算平臺的最底層，為上層云應(yīng)用提供安全數(shù)據(jù)存 儲、計算等IT資源服務(wù)是整個云計算體系安全的基石。IaaS平臺既 有傳統(tǒng)數(shù)據(jù)中心的安全特性，更面臨自身特有的安全風(fēng)險。 一方面，IaaS平臺沿襲傳統(tǒng)計算中心面臨的安全問題，要采取全 面、嚴(yán)密的安全措施。例如，在物理層考慮廠房安全；在存儲層考 慮數(shù) 據(jù)加密、備份、歸檔、災(zāi)難恢復(fù)等；在網(wǎng)絡(luò)層考慮DDoS攻擊、 數(shù)據(jù)傳輸機密性等；在數(shù)據(jù)層考慮數(shù)據(jù)庫安全、數(shù)據(jù)的隱私性與訪問控 制等；在應(yīng)用層考慮程序完整性檢驗、訪問控制與漏洞管理等。 另一方面，IaaS平臺大量采用虛擬化技術(shù)，包括虛擬服務(wù)器、虛擬 存儲、虛擬網(wǎng)絡(luò)，甚至虛擬交換機等，虛擬化安全成為其面臨的

9、最大安 全風(fēng)險。虛擬化安全綜合起來可以歸結(jié)為以下兩個方面： 1) 虛擬化軟件安全 該軟件層直接部署于裸機之上，提供能夠創(chuàng)建、運行和銷毀虛擬服 務(wù)器的服務(wù)。云服務(wù)提供商應(yīng)建立必要的安全控制措施，限制對于 HyPerViSor和其他形式的虛擬化層次的物理和邏輯訪問。在IaaS服務(wù) 中，用戶不能接入虛擬化軟件層，該層由云服務(wù)提供商來操作、管理。 2) 虛擬服務(wù)器安全 虛擬服務(wù)器或客戶端面臨著許多主機安全威脅，包括接入和管理主 機的密鑰被盜、在脆弱的服務(wù)標(biāo)準(zhǔn)端口偵聽、劫持未采取合適安全措施 的賬戶等。這就需要米取以下措施： (1) 選擇具有TPM (可信計算平臺模塊)的虛擬服務(wù)器。 (2) 安裝時為每

10、臺虛擬服務(wù)器分配一個獨立的硬盤分區(qū)，以便 進行邏輯隔離。 (3) 每臺虛擬服務(wù)器應(yīng)采用VLAN和不同IP網(wǎng)段的方式進行邏 輯隔離，需要通信的虛擬服務(wù)器間的網(wǎng)絡(luò)連接采用VPN進行。 (4) 進行有計劃的備份，包括完整、增量或差量備份方式。 2.3 PaaS層的安全風(fēng)險與措施 PaaS層處于云計算平臺的中間，它既依靠IaaS平臺提供的基 礎(chǔ)資 源，又為上層SaaS提供應(yīng)用平臺，起到了承上啟下的作用。 PaaS的核心技術(shù)是分布式處理，主要解決云計算數(shù)據(jù)中心大規(guī)模服 務(wù)器群的協(xié)同工作。要提供PaaS云計算服務(wù)，首先要在云計算數(shù)據(jù)中 心架設(shè)分布式處理平臺，包括分布式文件系統(tǒng)、分布式計算、分布式數(shù) 據(jù)庫等

11、；其次，要對分布式處理平臺進行封裝，包括提供開發(fā)環(huán)境 (SDK、API接口和庫等。因此，對PaaS層來說，面臨的安全威脅主要 包括： 1) 分布式文件和數(shù)據(jù)庫安全 基于云計算數(shù)據(jù)中心的分布式文件系統(tǒng)和分布式數(shù)據(jù)庫系統(tǒng)構(gòu)建在 大規(guī)模的廉價服務(wù)器集群上，從而面臨諸多挑戰(zhàn)。 (1) 服務(wù)器的失效現(xiàn)象經(jīng)常出現(xiàn)，需要解決系統(tǒng)的容錯問題。 (2) 服務(wù)器增減頻繁，需要解決動態(tài)擴展問題。 (3) 需要提供海量數(shù)據(jù)的存儲和快速檢索、讀取能力。 (4) 多用戶冋時訪問，需要解決并發(fā)控制和存取效率等問題。 為了提升分布式文件系統(tǒng)的可靠生，目前的基本做法是采取冗余存 儲的方式來解決，每份文件或數(shù)據(jù)在系統(tǒng)中保存多個備

12、份。冗余存儲解 決了數(shù)據(jù)的可靠性問題，但也帶來了一致性問題，因為文件或數(shù) 據(jù)存儲 在多個不同的節(jié)點中，對文件或數(shù)據(jù)進行修改時必須確保對所有副本都 進行了修改，這就需要分布式同步機制對并發(fā)操作進行控制。這些技術(shù) 的復(fù)雜1生都給數(shù)據(jù)的可靠和安全帶來了巨大挑戰(zhàn)。 2）用戶接口和應(yīng)用安全 對于PaaS服務(wù)來說，來自客戶端的可能是惡意的。如果PaaS層 暴 露過多接口，可能會給攻擊者帶來機會，如搶占 CPU時間、內(nèi)存 空間和其他資源，也可能攻擊其他用戶，甚至?xí)舻讓悠脚_等。因 此，如何檢驗用戶的可靠性是PaaS提供商面臨的又一個巨大挑戰(zhàn)。 用戶基于PaaS平臺開發(fā)的軟件最終也會部署在該平臺上，Paa

13、S提供商需要保證程序的可靠運行，尤其是保證不同應(yīng)用之間的相互隔 離。這點與在SaaS模式下遇到的挑戰(zhàn)是相同的。另外，從技術(shù)上看，目 前PaaS對底層資源的調(diào)度和分配采用“盡力而為”的機制，如果一個平 臺上運行多個應(yīng)用，就會存在資源分配、優(yōu)先級配置等問題。要解決這 些問題，需要借助IaaS層的虛擬化機制來實現(xiàn)多個應(yīng)用的資源調(diào)配和 SLA 等。 2.4 SaaS層的安全風(fēng)險與措施 傳統(tǒng)的軟件都部署在客戶自己或租用的數(shù)據(jù)中心內(nèi)，服務(wù)于特定 的用戶，其安全控制相對簡單。但在SaaS模式下，成千上萬的用戶共 享同一軟件平臺，如何保證這些客戶之間的數(shù)據(jù)、應(yīng)用安全是一個巨大 挑戰(zhàn)。目前解決這一難題主要是采用

14、多租戶技術(shù)，多租戶技術(shù)使得大量 用戶共享統(tǒng)一軟件資源，每個用戶按需使用資源。多租戶技術(shù)能夠?qū)?件服務(wù)進行客戶化配置，而不會影響其他用戶的使用。多租戶技術(shù)是解 決SaaS模式安全問題的主要措施，但這一技術(shù)也存在數(shù)據(jù)隔離、客戶化 配置、架構(gòu)拓展、性能定制等諸多不足和挑戰(zhàn)。 1）數(shù)據(jù)隔離。數(shù)據(jù)隔離是指多個租戶在使用同一個SaaS系統(tǒng)時， 不同租戶之間的數(shù)據(jù)是隔離存儲的，數(shù)據(jù)處理不會相互干擾。要實現(xiàn)多 租戶之間的數(shù)據(jù)隔離，目前有3種技術(shù)： （1）為每一個租戶提供一個單獨的數(shù)據(jù)庫，優(yōu)點是可以保證不同 租戶之間的數(shù)據(jù)充分隔離，缺點是成本和開銷都比較大。（2）將 多個租戶的數(shù)據(jù)保存在統(tǒng)一的數(shù)據(jù)庫中，但采用

15、不同的模式，這樣做在 一定程度上減少了數(shù)據(jù)庫的成本和操作難度，但也影響了數(shù)據(jù)隔離的效 果和安全性。（3）將多個租戶的數(shù)據(jù)存儲在同一個數(shù)據(jù)庫的同一張數(shù)據(jù) 表中，通過租戶的標(biāo)識字段來區(qū)分，這樣做成本最低，但安全性和隔離 性最差。 2）客戶化配置。客戶化配置是指SaaS應(yīng)用支持不同租戶對同一 平臺進行個性化定制。傳統(tǒng)模式下，每一個用戶都擁有一個自主的應(yīng)用 實例，可以自由進行定制化開發(fā)。但在多租戶形勢下，成千上萬的租戶 共享一個應(yīng)用實例，某一個租戶對應(yīng)用的更改通常會對該平臺中的所有 租戶產(chǎn)生影響。因此，如何支持不同用戶對同一實例的獨立客戶化配置 是SaaS模式面對的一個安全挑戰(zhàn)。 除上述安全風(fēng)險外，多

16、租戶技術(shù)還存在架構(gòu)拓展、性能定制等安全 挑戰(zhàn)。為了解決這些難題，有人建議采用虛擬化技術(shù)。虛擬化技術(shù) 已經(jīng) 比較成熟，多租戶技術(shù)還處于發(fā)展階段，面對大量用戶使用統(tǒng)一應(yīng)用 時，如果把每一個用戶的應(yīng)用都做成一個單獨的虛擬機,就可能 需要成千上萬的虛擬機，其管理難度和復(fù)雜性都會大大增加，其中還有 大量的課題需要研究。 2.5通用安全措施 云安全服務(wù)屬于云基礎(chǔ)軟件服務(wù)層，為各類云應(yīng)用提供共性信息安 全服務(wù)，是確保云應(yīng)用滿足用戶安全目標(biāo)的重要手段。其中比較典 型的 幾類云安全服務(wù)包括加密與密鑰管理、身份識別與訪問控制、災(zāi)備與業(yè) 務(wù)連續(xù)性、數(shù)據(jù)隔離技術(shù)、虛擬化安全技術(shù)、云安全測評機制與審計機 制等，這些技術(shù)

17、對云計算的幾種模式都會產(chǎn)生影響，我們在 第3部分將重點分析其中的幾大尖鍵技術(shù)。 3.云計算安全的尖鍵技術(shù) 如上所述，雖然云計算各層的安全風(fēng)險各異，采取的安全技術(shù)和措 施也不盡相同，但有幾大技術(shù)卻是有共性的，它們是云計算環(huán)境下最重 要的幾大尖鍵技術(shù)，值得我們深入研究。 3.1虛擬化安全技術(shù) 虛擬化是云計算的核心技術(shù)之一，虛擬化技術(shù)的采用加快了傳統(tǒng)應(yīng) 用部署的速度，提高了應(yīng)用的兼容性和服務(wù)的可用性，同時降低了能源 消耗。與此同時，虛擬化自身也存在諸多風(fēng)險和威脅。因此，虛 擬化安 全成為云計算不得不考慮的重要安全威脅之一。目前使用的虛 擬化安全措施包括虛擬機可信平臺、虛擬機隔離、虛擬機信息流控制、

18、虛擬機監(jiān)控、虛擬網(wǎng)絡(luò)接入控制等。虛擬化安全技術(shù)大多已經(jīng)比較成 熟，但仍有部分需要進一步驗證和改進。 3.2數(shù)據(jù)安全 云計算環(huán)境下的數(shù)據(jù)安全是客戶最為尖注的問題。云計算數(shù)據(jù)生 命周期不同階段的安全挑戰(zhàn)包括： 1）數(shù)據(jù)存放位置。必須保證所有數(shù)據(jù)（包括所有副本和備份）存 儲在合同、服務(wù)水平協(xié)議和法規(guī)允許的地理位置。 2）不同客戶數(shù)據(jù)的混合。數(shù)據(jù)尤其是保密、敏感數(shù)據(jù)不能在使 用、存儲或傳輸過程中，在沒有任何補償控制的情況下與其他客戶數(shù)據(jù) 混合。數(shù)據(jù)的混合將在數(shù)據(jù)安全和地理位置等方面增加安全挑戰(zhàn)。 3）數(shù)據(jù)備份和恢復(fù)重建計劃。必須保證數(shù)據(jù)可用，云數(shù)據(jù)備份和 云恢復(fù)計劃必須到位和有效，以防止數(shù)據(jù)丟失、意外數(shù)據(jù)覆蓋和破壞。 4）數(shù)據(jù)刪除或持久性。必須具備一種可信技術(shù)保證全面和有效地 定位云計算數(shù)據(jù)、擦除和銷毀數(shù)據(jù)，保證數(shù)據(jù)已被完全消除或無法恢 復(fù)。 針對數(shù)據(jù)安全的解決方案通常是采取數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)切 分、數(shù)據(jù)屏蔽、數(shù)據(jù)刪除技術(shù)5.但怎樣做好數(shù)據(jù)的隔離和保密仍然是 一個很大的問題，這些技術(shù)在云計算平臺下如何發(fā)揮作用，是否像在傳 統(tǒng)環(huán)境下那樣有效仍然有待進一步研究。 3.3云資源訪問控制 在云計算環(huán)境中，各個云應(yīng)用屬于不同的安全管理域，每個安全 域都管理著本地資源和用戶。當(dāng)用戶跨域訪問資源時，需在域邊界設(shè)置 認(rèn)證服務(wù)，對訪問共享資源的用戶進行統(tǒng)一的身份認(rèn)證管理。 傳統(tǒng)模式下的身份認(rèn)證和訪