《云计算导论第4章.ppt》由会员分享,可在线阅读,更多相关《云计算导论第4章.ppt(45页珍藏版)》请在三一办公上搜索。
1、,第4章云计算安全问题,4.1云安全的提出4.2云安全隐患的分类4.3云安全防范4.4云计算安全技术框架4.5云安全的现状4.6小结,4.1云安全的提出当前,云计算发展面临许多关键性问题,而安全问题首当其冲。随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。Gartner2009年的调查结果显示,70%以上受访企业的CTO认为近期不采用云计算的首要原因在于其存在数据安全性与隐私性的忧虑。,云计算拥有全世界最专业的队伍对数据进行管理,从表面上看云计算好像是安全的,但是如果仔细分析,就会发现云计算的服务提供商并没有对用户给出细节的具体说明,如其所在地、员工情况、所
2、采用的技术以及运作方式等。而近年来,Amazon、Google等云计算发起者不断爆出各种安全事故,这更加剧了人们的担忧。例如:2009年3月,Google发生大批用户文件外泄事件;2009年2月和7月,亚马逊的“简单存储服务(SimpleStorageService,简称S3)”两次中断导致依赖于网络单一存储服务的网站被迫瘫痪等。因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的各种安全问题。,目前,云计算安全问题已得到越来越多的关注。著名的信息安全国际会议RSA2010将云计算安全列为焦点问题,CCS(Cloud
3、ComputingSummit,云计算高峰论坛暨展览)从2009年起专门设置了一个关于云计算安全的研讨会。许多企业组织、研究团体及标准化组织都启动了相关研究,安全厂商也在关注各类安全云计算产品。本章通过分析当前云计算所面临的安全问题以及云计算对信息安全领域带来的影响,提出未来云计算安全技术框架及重要的科研方向,以为我国未来云计算安全的科研、产业发展做出有益的探索。,图41信息安全技术发展阶段图,由于系统的巨大规模以及前所未有的开放性与复杂性,其安全性面临着比以往更为严峻的考验。对于普通用户来说,其安全风险不是减少而是增大了。云计算将推动信息安全领域的又一次重大革新。安全管理也由信息安全产品测评
4、发展到大规模信息系统的整体风险评估与等级保护等,如图41所示。,4.2云安全隐患的分类1.来自内部的安全隐患美国一家咨询公司Gartner在2008年发布的一份云计算安全风险评估报告中称:云计算存在着七大安全隐患,可视为来自云内部的安全隐患。(1)特权用户访问。当用户把数据交给云计算服务提供商后,对数据最具有优先访问权的不是用户本人,而是服务提供商。Gartner建议用户应该了解更多管理数据者的信息,从而将风险降到最低。,(2)合规性。用户最终要对自己数据的安全性和完整性负责,即便这些数据是交给云计算服务提供商托管的。传统的云计算服务提供商会接受外部审计和安全认证。如果云计算服务提供商拒绝接受
5、审计和安全认证,用户就不能对数据进行有效的利用。(3)数据的位置。用户在使用云时可能不知道数据的确切位置,所以用户在选择云计算前应事先了解服务器位置,以及提供的服务是否符合相关国家的法律规范。(4)数据隔离。云计算的数据通常来自其他客户的数据共享环境,加密是有效的,但不是万能的。Gartner表示加密意外可以降低数据的可用性,甚至使数据完全无法使用。,(5)数据恢复。即使用户了解自己数据放置在哪台服务器上,也应要求服务提供商做出承诺,必须对所托管数据进行备份,以防止出现重大事故时用户数据无法得到恢复。Gartner建议用户不仅要知道服务提供商是否有数据恢复的能力,还要知道服务提供商能在多长时间
6、内恢复数据。(6)调查支持。Gartner认为在云计算中进行非法调查是不可能的,在云中进行调查特别困难,因为多个用户的数据可能设在同一地点,也可能分散在不断变化的一组主机和数据中心。如果用户得不到云计算服务提供商的承诺或有证据表明云计算服务提供商已成功支持过调查活动,那么调查是不可能进行下去的。(7)长期生存。云计算服务提供商提供长期发展风险的安全措施,譬如用户如何拿回自己的数据,以及拿回的数据如何被导入到替代的应用程序中。,2.来自外部的安全隐患Forrester研究公司在你的云计算有多安全的研究报告中建议用户必须考虑如下问题:数据保护、身份管理、安全漏洞管理、物理和个人安全、应用程序安全、
7、时间相应和隐私措施。云计算环境对违法黑客极具有吸引力,因为云本身就是隐藏这类恶意软件的良好场所。云计算所采用的技术和服务同样可以被黑客利用来发送垃圾邮件,或者发起针对下载、数据上传统计、恶意代码监测等更为高级的恶意程序。所以,云计算服务提供商需要采用防火墙以保证不被非法访问,使用杀毒软件以保证其内部的机器不被感染,使用入侵监测和防御设备以防止黑客的入侵;用户则需要采用数据加密、文件内容过滤等,以防止敏感数据存放在相对不安全的云里。,4.3云安全防范 1.建立以数据安全和隐私保护为主要目标的云安全技术框架当前,云计算平台的各个层次,如主机系统层、网络层以及Web应用层等都存在相应的安全威胁,但这
8、类通用安全问题在信息安全领域已得到较为充分的研究,并具有比较成熟的产品。研究云计算安全需要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以及多层服务模式等对数据安全与隐私保护带来的挑战。,1)云计算的服务计算模式所引发的安全问题当用户或企业将所属的数据外包给云计算服务提供商或者委托其运行所属的应用时,云计算服务提供商就获得了该数据或应用的优先访问权。事实证明,由于存在内部人员失职、黑客攻击及系统故障导致安全机制失效等多种风险,云计算服务提供商没有充足的证据让用户确信其数据被正确地使用。例如,用户数据没有被盗卖给其竞争对手、用户使用习惯隐私没有被记录或分析、用户数据被正确存储在其指定的国
9、家或区域,且不需要的数据已被彻底删除等。,2)云计算的动态虚拟化管理方式所引发的安全问题在典型的云计算服务平台中,资源以虚拟、租用的模式提供给用户,这些虚拟资源根据实际运行所需与物理资源相绑定。由于在云计算中是多租户共享资源,多个虚拟资源很可能会被绑定到相同的物理资源上。如果云平台的虚拟化软件中存在安全漏洞,那么用户的数据就可能被其他用户访问。例如,2009年5月,网络上曾经曝光VMware虚拟化软件的Mac版本中存在一个严重的安全漏洞。别有用心的人可以利用该漏洞通过Windows虚拟机在Mac主机上执行恶意代码。因此,如果云计算平台无法实现用户数据与其他企业用户数据的有效隔离,用户不知道自己
10、的邻居是谁、有何企图,那么云计算服务提供商就无法说服用户相信自己的数据是安全的。,3)云计算中多层服务模式所引发的安全问题前面已经提及,云计算发展的趋势之一是IT服务专业化,即云计算服务提供商在对外提供服务的同时,自身也需要购买其他云计算服务提供商所提供的服务。因而用户所享用的云服务间接涉及多个服务提供商,多层转包无疑极大地提高了问题的复杂性,进一步增加了安全风险。由于缺乏安全关键技术支持,当前的云平台服务提供商多数选择采用商业手段回避上述问题。但长远来看,用户数据安全与隐私保护需求属于云计算产业发展无法回避的核心问题。其实,上述问题并不缺乏技术基础,如数据外包与服务外包安全、可信计算环境、虚
11、拟机安全、秘密同态计算等各项技术多年来一直为学术界所关注,关键在于实现上述技术在云计算环境下的实用化,形成支撑未来云计算安全的关键技术体系,并最终为云用户提供具有安全保障的云服务。,2.建立以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系建立安全指导标准及其测评技术体系是实现云计算安全的另一个重要支柱。云计算安全标准是度量云用户安全目标与云计算服务提供商安全服务能力的尺度,也是云计算服务提供商构建安全服务的重要参考。基于标准的“安全服务品质协议”,可以依据科学的测评方法检测与评估,在出现安全事故时快速实现责任认定,避免产生责任推诿。建立云计算安全标准及其测评体系的挑战在于以下
12、几点:,(1)云计算安全标准应支持更广义的安全目标。云计算安全标准不仅应支持用户描述其数据安全保护目标、指定其所属资产安全保护的范围和程度,更重要的是应支持用户,尤其是企业用户的安全管理需求,如分析查看日志信息、搜集信息,了解数据使用情况以及展开违法操作调查等。而这些信息的搜集可能会涉及云计算服务提供商的数据中心或其他用户的数据,带来一定安全隐患。当前,云计算商业运作模式仍不十分成熟,用户与云计算服务提供商之间的责任和权限界定得并不清晰,用户与云计算服务提供商就管理范围与权限上可能存在冲突,因此,需要以标准形式将其确定下来,明确指出信息搜集的程度、范围、手段等,防止影响其他用户的权益。不仅如此
13、,上述安全目标还应是可测量的、可验证的,便于在相关规范中规定上述安全目标的标准化测量验证方法。,(2)云计算安全标准应支持对灵活、复杂的云服务过程的安全评估。传统意义上对服务提供商能力的安全风险评估方式是,通过全面识别和分析系统架构下威胁和弱点及其对资产的潜在影响来确定其抵抗安全风险的能力和水平,但在云计算环境下,云计算服务提供商可能租用其他服务提供商提供的基础设施服务或购买多个服务提供商的软件服务,根据系统状况动态选用。因此,标准应针对云计算中动态性与多方参与的特点,提供相应的云服务安全能力的计算和评估方法。同时,标准应支持云服务的安全水平等级化,便于用户直观理解与选择。,(3)云计算安全标
14、准应规定云服务安全目标验证的方法和程序。由于用户自身缺乏举证能力,因此,验证的核心是服务提供商提供正确执行的证据,如可信审计记录等。云计算安全标准应明确定义证据提取方法以及证据交付方法。,3.建立可控的云计算安全监管体系科学技术是把双刃剑,云计算在为人们带来巨大好处的同时也带来了巨大的破坏性能力。而网络空间是继领土权、领空权、领海权、太空权之后的第五维国家主权,是任何主权国家必须自主掌控的重要资源。因此,应在发展云计算产业的同时大力发展云计算监控技术体系,牢牢掌握技术主动权,防止其被竞争对手控制与利用。与互联网监控管理体系相比,实现云计算监控管理必须解决以下几个问题:,(1)实现基于云计算的安
15、全攻击的快速识别、预警与防护。如果黑客攻入了云客户的主机,使其成为自己向云服务提供商发动DDOS攻击的一颗棋子,那么按照云计算对计算资源根据实际使用付费的方式,这一受控客户将在并不知情的情况下为黑客发起的资源连线偿付巨额费用。不仅如此,与以往DDOS攻击相比,基于云的攻击更容易组织,破坏性更大。而一旦攻击的对象是大型云服务提供商,就势必影响大批用户,所造成的损失难以估量。因此,需要及时识别与阻断这类攻击,防止重大的灾害性安全事件的发生。,(2)实现云计算内容监控。云的高度动态性增加了网络内容监管的难度。首先,云计算所具有的动态性特征使得建立或关闭一个网站服务较之以往更加容易,成本代价更低。因此
16、,各种含有不良内容的网站将很容易以打游击的模式在网络上迁移,使得追踪管理难度加大,对内容监管更加困难。如果允许其检查,必然涉及其他用户的隐私问题。其次,云计算服务提供商往往具有国际性的特点,数据存储平台也常跨越国界,将网络数据存储到云上可能会超出本地政府的监管范围,或者同属多地区或多国的管辖范围,而这些不同地域的监管法律和规则之间很有可能存在着严重的冲突,当出现安全问题时,难以给出公允的裁决。,(3)识别并防止基于云计算的密码类犯罪活动。云计算的出现使得组织实施密码破译更加容易,原来只有资金雄厚的大型组织才能实施的密码破译任务,在云计算平台的支持下,普通用户也可以轻松实现,严重威胁了各类密码产
17、品的安全。在云计算环境下,如何防止单个用户或者多个合谋用户购得足够规模的计算能力来破解安全算法,也是云计算安全监管中有待解决的问题之一。,4.4云计算安全技术框架解决云计算安全问题的当务之急是,针对威胁,建立综合性的云计算安全框架,并积极开展其中各个云安全的关键技术研究。云计算安全技术框架如图42所示,该框架包括云计算安全服务体系与云计算安全标准及其测评体系两大部分,为实现云用户安全目标提供技术支撑。,图42云计算安全技术框架,云用户的安全目标云用户的首要安全目标是数据安全与隐私保护服务,主要防止云服务提供商恶意泄露或出卖用户隐私信息,或者对用户数据进行搜集和分析,挖掘出用户隐私数据。例如,分
18、析用户潜在而有效的盈利模式,或者通过两个公司之间的信息交流推断它们之间可能有的合作等。数据安全与隐私保护涉及用户数据生命周期中创建、存储、使用、共享、归档、销毁等各个阶段,同时涉及所有参与服务的各层次云服务提供商。,云用户的另一个重要需求是安全管理。即在不泄露其他用户隐私且不涉及云服务提供商商业机密的前提下,允许用户获取所需安全配置信息以及运行状态信息,并在某种程度上允许用户部署实施专用安全管理软件。,云计算安全服务体系1.可信云基础设施服务云基础设施服务为上层云应用提供安全的数据存储、计算等IT资源服务,是整个云计算体系安全的基石。这里,安全性包含两个层面的含义:其一是抵挡来自外部黑客的安全
19、攻击的能力;其二是证明自己无法破坏用户数据与应用的能力。一方面,云平台应分析传统计算平台面临的安全问题,采取全面严密的安全措施。,例如,物理层应考虑厂房安全,存储层应考虑完整性和文件/日志管理、数据加密、备份、灾难恢复等,网络层应考虑拒绝服务攻击、DNS安全、网络可达性、数据传输机密性等,系统层应考虑虚拟机安全、补丁管理、系统用户身份管理等安全问题,数据层应考虑数据库安全、数据的隐私性与访问控制、数据备份与清洁等,而应用层应考虑程序完整性检验与漏洞管理等。另一方面,云平台应向用户证明自己具备某种程度的数据隐私保护能力。例如,存储服务中证明用户数据以加密形式保存,计算服务中证明用户代码运行在受保
20、护的内存中,等等。由于用户安全需求方面存在着差异,云平台应具备提供不同安全等级的云基础设施服务的能力。,2.云安全基础服务云安全基础服务属于云基础软件服务层,为各类云应用提供共性信息安全服务,是支撑云应用满足用户安全目标的重要手段。其中比较典型的几类云安全服务如下:(1)云用户身份管理服务。云用户身份管理服务主要涉及身份的供应、注销以及身份认证过程。在云环境下,实现身份联合和单点登录可以支持云中合作企业之间更加方便地共享用户身份信息和认证服务,并减少重复认证带来的运行开销。但云身份联合管理过程应在保证用户数字身份隐私性的前提下进行。由于数字身份信息可能在多个组织间共享,其生命周期各个阶段的安全
21、性管理更具有挑战性,而基于联合身份的认证过程在云计算环境下也具有更高的安全需求。,(2)云访问控制服务。云访问控制服务的实现依赖于如何妥善地将传统的访问控制模型(如基于角色的访问控制模型、基于属性的访问控制模型以及强制/自主访问控制模型等)和各种授权策略语言标准(如XACML、SAML等)扩展后移植入云环境。此外,鉴于云中各企业组织提供的资源服务兼容性和可组合性的日益提高,组合授权问题也是云访问控制服务安全框架需要考虑的重要问题。,(3)云审计服务。由于用户缺乏安全管理与举证能力,要明确安全事故责任就要求服务提供商提供必要的支持。因此,由第三方实施的审计就显得尤为重要。云审计服务必须提供满足审
22、计事件列表的所有证据以及证据的可信度说明。当然,若要该证据不会披露其他用户的信息,则需要特殊设计的数据取证方法。此外,云审计服务也是保证云服务提供商满足各种合规性要求的重要方式。,(4)云密码服务。由于云用户中普遍存在数据加、解密运算需求,云密码服务的出现也是十分自然的。除最典型的加、解密算法服务外,密码运算中密钥管理与分发、证书管理与分发等都可以以基础类云安全服务的形式存在。云密码服务不仅为用户简化了密码模块的设计与实施,也使得密码技术的使用更集中、规范,也更易于管理。,3.云安全应用服务云安全应用服务与用户的需求紧密结合,种类繁多。典型的例子,如DDOS攻击防护云服务、Botnet检测与监
23、控云服务、云网页过滤与杀毒应用、内容安全云服务、安全事件监控与预警云服务、云垃圾邮件过滤及防治等。传统网络安全技术在防御能力、响应速度、系统规模等方面存在限制,难以满足日益复杂的安全需求,而云计算优势可以极大地弥补上述不足:云计算提供的超大规模计算能力与海量存储能力,能在安全事件采集、关联分析、病毒防范等方面实现性能的大幅提升,可用于构建超大规模安全事件信息处理平台,提升全网安全态势把握能力。此外,还可以通过海量终端的分布式处理能力进行安全事件采集,并上传到云安全中心分析,极大地提高了安全事件搜集与及时地进行相应处理的能力。,云计算安全标准及其测评体系云计算安全标准及其测评体系为云计算安全服务
24、体系提供了重要的技术与管理支撑,其核心至少应覆盖以下几方面内容:(1)云服务安全目标的定义、度量及其测评方法规范。该规范帮助云用户清晰地表达其安全需求,并量化其所属资产各安全属性指标。清晰而无二义的安全目标是解决服务安全质量争议的基础。这些安全目标具有可测量性,可通过指定测评机构或者第三方实验室测试评估。该规范还应指定相应的测评方法,通过具体操作步骤检验服务提供商对用户安全目标的满足程度。由于在云计算中存在多级服务委托关系,相关测评方法仍有待探索实现。,(2)云安全服务功能及其符合性测试方法规范。该规范定义基础性的云安全服务,如云身份管理、云访问控制、云审计以及云密码服务等的主要功能与性能指标
25、,便于使用者在选择时对比分析。该规范将起到与当前CC标准中的保护轮廓(PP)及安全目标(ST)类似的作用。而判断某个服务提供商是否满足其所声称的安全功能标准需要通过安全测评,需要与之相配合的符合性测试方法与规范。,(3)云服务安全等级划分及测评规范。该规范通过云服务的安全等级划分与评定,帮助用户全面了解服务的可信程度,更加准确地选择自己所需的服务。底层的云基础设施服务以及云基础软件服务的安全等级评定的意义尤为突出。同样,验证服务是否达到某安全等级需要相应的测评方法和标准化程序。,4.5云安全的现状国内外云计算安全技术现状在IT产业界,各类云计算安全产品与方案不断涌现。例如,Sun公司发布开源的
26、云计算安全工具可为Amazon的EC2、S3以及虚拟私有云平台提供安全保护。工具包括OpenSolarisVPC网关软件,能够帮助客户迅速和容易地创建一个通向Amazon虚拟私有云的多条安全的通信通道;为AmazonEC2设计的安全增强的VMI,包括非可执行堆栈、加密交换和默认情况下启用审核等;云安全盒(CloudSafetyBox)使用类AmazonS3接口,自动地对内容进行压缩、加密和拆分,简化云中加密内容的管理等。,微软为云计算平台Azure筹备代号为Sydney的安全计划,帮助企业用户在服务器和Azure云之间交换数据,以解决虚拟化、多租户环境中的安全性。EMC、Intel、VMwar
27、e等公司联合宣布了一个“可信云体系架构”的合作项目,并提出了一个概念证明系统。该项目采用Intel的可信执行技术(TrustedExecutionTechnology)、VMware的虚拟隔离技术、RSA的enVision安全信息与事件管理平台等技术相结合,构建从下至上值得信赖的多租户服务器集群。开源云计算平台Hadoop也推出安全版本,引入Kerberos安全认证技术,对共享商业敏感数据的用户加以认证与访问控制,阻止非法用户对HadoopClusters的非授权访问。,国内外云计算安全标准组织及其进展1.云安全联盟云安全联盟(CloudSecurityAlliance,CSA)是在2009年
28、的RSA大会上宣布成立的一个非盈利性组织,宗旨是“促进云计算安全技术的最佳实践应用,并提供云计算的使用培训,帮助保护其他形式的计算”。自成立后,CSA迅速获得了业界的广泛认可,其企业成员涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算服务提供商等。,云安全联盟确定了云计算安全的15个焦点领域,对每个领域给出了具体建议,并从中选取较为重要的若干领域着手标准的制定工作,在制定过程中,广泛咨询IT人员的反馈意见,获取关于需求方案说明书的建议。云安全联盟确定的云计算安全的15个焦点领域分别是信息生命周期管理、政府和企业风险管理、法规和审计、普通立法、eDiscovery、加密和密钥
29、管理、认证和访问管理、虚拟化、应用安全、便携性和互用性、数据中心、操作管理事故响应、通知和修复、传统安全影响(商业连续性、灾难恢复、物理安全)、体系结构。,目前,云安全联盟已完成云计算面临的严重威胁、云控制矩阵、关键领域的云计算安全指南等研究报告,并发布了云计算安全定义。这些报告从技术、操作、数据等多方面强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案,对形成云计算安全行业规范具有重要影响。,2.其他相关标准组织动态2009年底,国际标准化组织/国际电工委员会、第一联合技术委员会(ISO/IEC、JTC1)正式通过成立分布应用平台服务分技术委员会(SC38)的决议,并明确规
30、定SC38下设云计算研究组。国际电信联盟ITUTSG17研究组会议于2010年5月在瑞士的日内瓦召开,决定成立云计算专项工作组,旨在达成一个“全球性生态系统”,确保各个系统之间安全地交换信息。工作组会评估当前的各项标准,以便将来推出新的标准。云计算安全是其中重要的研究课题,计划推出的标准包括电信领域云计算安全指南。,结构化信息标准促进组织(OASIS)将云计算看做是SOA和网络管理模型的自然扩展。在标准化工作方面,OASIS致力于在现有标准的基础上建立云计算模型、配置文件和扩展相关的标准。现有标准包括安全、访问和身份策略标准(如OASISSAML、XACML、SPML、WSSecurityPo
31、licy等),内容、格式控制和数据导入/导出标准(如OASISODF、DITA、CMIS等),注册、储存和目录标准(如OASISebXML、UDDI),以及SOA方法和模型、网络管理、服务质量和互操作性标准(如OASISSCA、SDO、SOARM和BPEL等)。,近期,分布式管理任务组(DistributedManagementTaskForce,DMTF)也已启动了云标准孵化器过程。参与成员将关注通过开发云资源管理协议、数据包格式以及安全机制来促进云计算平台间标准化的交互,致力于开发一个云资源管理的信息规范集合。该组织的核心任务是扩展开放虚拟化格式(OVF)标准,使云计算环境中工作负载的部署及管理更为便捷。,4.6小结云计算是当前发展十分迅速的新兴产业,具有广阔的发展前景,但同时其所面临的安全技术挑战也是前所未有的,需要IT领域与信息安全领域的研究者共同探索解决之道。同时,云计算安全并不仅仅是技术问题,它还涉及标准化、监管模式、法律法规等诸多方面。因此,仅从技术角度出发探索解决云计算安全问题是不够的,需要信息安全学术界、产业界以及政府相关部门的共同努力才能实现。,
