張?jiān)朴拢惽褰?，潘松柏，魏進(jìn)武

（中國(guó)聯(lián)通研究院 北京 100048）

云計(jì)算安全關(guān)鍵技術(shù)分析

張?jiān)朴?，陳清金，潘松柏，魏進(jìn)武

（中國(guó)聯(lián)通研究院 北京 100048）

云計(jì)算以一種新興的共享基礎(chǔ)架構(gòu)的方法，提供“資源池”化的由網(wǎng)絡(luò)、信息和存儲(chǔ)等組成的服務(wù)、應(yīng)用、信息和基礎(chǔ)設(shè)施等的使用。云計(jì)算的按需自服務(wù)、寬帶接入、虛擬化資源池、快速?gòu)椥约軜?gòu)、可測(cè)量的服務(wù)和多租戶(hù)等特點(diǎn)，直接影響到了云計(jì)算環(huán)境的安全威脅和相關(guān)的安全保護(hù)策略。云計(jì)算具備了眾多的好處，從規(guī)模經(jīng)濟(jì)到應(yīng)用可用性，其絕對(duì)能給應(yīng)用環(huán)境帶來(lái)一些積極的因素。如今，在廣大云計(jì)算提供商和支持者的推崇下，眾多企業(yè)用戶(hù)已開(kāi)始躍躍欲試。然而，云計(jì)算也帶來(lái)了一些新的安全問(wèn)題，由于眾多用戶(hù)共享IT基礎(chǔ)架構(gòu)，安全的重要性非同小可。本文分析了云計(jì)算特定的安全需求和解決方案以及國(guó)內(nèi)外的研究和產(chǎn)品現(xiàn)狀。

云計(jì)算；虛擬化；安全；可信

1 云計(jì)算安全問(wèn)題

根據(jù)IDC在2009年年底發(fā)布的一項(xiàng)調(diào)查報(bào)告顯示，云計(jì)算服務(wù)面臨的前三大市場(chǎng)挑戰(zhàn)分別為服務(wù)安全性、穩(wěn)定性和性能表現(xiàn)。該三大挑戰(zhàn)排名同IDC于2008年進(jìn)行的云計(jì)算服務(wù)調(diào)查結(jié)論完全一致。2009年11月，F(xiàn)orrester Research公司的調(diào)查結(jié)果顯示，有51%的中小型企業(yè)認(rèn)為安全性和隱私問(wèn)題是他們尚未使用云服務(wù)的最主要原因。由此可見(jiàn)，安全性是客戶(hù)選擇云計(jì)算時(shí)的首要考慮因素。

云計(jì)算由于其用戶(hù)、信息資源的高度集中，帶來(lái)的安全事件后果與風(fēng)險(xiǎn)也較傳統(tǒng)應(yīng)用高出很多。在2009年，Google、Microsoft、Amazon等公司的云計(jì)算服務(wù)均出現(xiàn)了重大故障，導(dǎo)致成千上萬(wàn)客戶(hù)的信息服務(wù)受到影響，進(jìn)一步加劇了業(yè)界對(duì)云計(jì)算應(yīng)用安全的擔(dān)憂。

總體來(lái)說(shuō)，云計(jì)算技術(shù)主要面臨以下安全問(wèn)題。

（1）虛擬化安全問(wèn)題

利用虛擬化帶來(lái)的可擴(kuò)展有利于加強(qiáng)在基礎(chǔ)設(shè)施、平臺(tái)、軟件層面提供多租戶(hù)云服務(wù)的能力，然而虛擬化技術(shù)也會(huì)帶來(lái)以下安全問(wèn)題：

·如果主機(jī)受到破壞，那么主要的主機(jī)所管理的客戶(hù)端服務(wù)器有可能被攻克；

·如果虛擬網(wǎng)絡(luò)受到破壞，那么客戶(hù)端也會(huì)受到損害；

·需要保障客戶(hù)端共享和主機(jī)共享的安全，因?yàn)檫@些共享有可能被不法之徒利用其漏洞；

·如果主機(jī)有問(wèn)題，那么所有的虛擬機(jī)都會(huì)產(chǎn)生問(wèn)題。

（2）數(shù)據(jù)集中后的安全問(wèn)題

用戶(hù)的數(shù)據(jù)存儲(chǔ)、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c云計(jì)算系統(tǒng)有關(guān)。如果發(fā)生關(guān)鍵或隱私信息丟失、竊取，對(duì)用戶(hù)來(lái)說(shuō)無(wú)疑是致命的。如何保證云服務(wù)提供商內(nèi)部的安全管理和訪問(wèn)控制機(jī)制符合客戶(hù)的安全需求；如何實(shí)施有效的安全審計(jì)，對(duì)數(shù)據(jù)操作進(jìn)行安全監(jiān)控；如何避免云計(jì)算環(huán)境中多用戶(hù)共存帶來(lái)的潛在風(fēng)險(xiǎn)都成為云計(jì)算環(huán)境所面臨的安全挑戰(zhàn)。

（3）云平臺(tái)可用性問(wèn)題

用戶(hù)的數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云計(jì)算系統(tǒng)中，其業(yè)務(wù)流程將依賴(lài)于云計(jì)算服務(wù)提供商所提供的服務(wù)，這對(duì)服務(wù)商的云平臺(tái)服務(wù)連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外，當(dāng)發(fā)生系統(tǒng)故障時(shí)，如何保證用戶(hù)數(shù)據(jù)的快速恢復(fù)也成為一個(gè)重要問(wèn)題。

（4）云平臺(tái)遭受攻擊的問(wèn)題

云計(jì)算平臺(tái)由于其用戶(hù)、信息資源的高度集中，容易成為黑客攻擊的目標(biāo)，由于拒絕服務(wù)攻擊造成的后果和破壞性將會(huì)明顯超過(guò)傳統(tǒng)的企業(yè)網(wǎng)應(yīng)用環(huán)境。

（5）法律風(fēng)險(xiǎn)

云計(jì)算應(yīng)用地域性弱、信息流動(dòng)性大，信息服務(wù)或用戶(hù)數(shù)據(jù)可能分布在不同地區(qū)甚至不同國(guó)家，在政府信息安全監(jiān)管等方面可能存在法律差異與糾紛；同時(shí)由于虛擬化等技術(shù)引起的用戶(hù)間物理界限模糊而可能導(dǎo)致的司法取證問(wèn)題也不容忽視。

2 云計(jì)算安全參考模型

從IT網(wǎng)絡(luò)和安全專(zhuān)業(yè)人士的視角出發(fā)，可以用統(tǒng)一分類(lèi)的一組公用的、簡(jiǎn)潔的詞匯來(lái)描述云計(jì)算對(duì)安全架構(gòu)的影響，在這個(gè)統(tǒng)一分類(lèi)的方法中，云服務(wù)和架構(gòu)可以被解構(gòu)，也可以被映射到某個(gè)包括安全、可操作控制、風(fēng)險(xiǎn)評(píng)估和管理框架等諸多要素的補(bǔ)償模型中去，進(jìn)而符合合規(guī)性標(biāo)準(zhǔn)。

云計(jì)算模型之間的關(guān)系和依賴(lài)性對(duì)于理解云計(jì)算的安全非常關(guān)鍵，IaaS（基礎(chǔ)設(shè)施即服務(wù)）是所有云服務(wù)的基礎(chǔ)，PaaS（平臺(tái)即服務(wù)）一般建立在IaaS之上，而SaaS（軟件即服務(wù)）一般又建立在PaaS之上，它們之間的關(guān)系如圖1所示。

IaaS涵蓋了從機(jī)房設(shè)備到硬件平臺(tái)等所有的基礎(chǔ)設(shè)施資源層面。PaaS位于IaaS之上，增加了一個(gè)層面用以與應(yīng)用開(kāi)發(fā)、中間件能力以及數(shù)據(jù)庫(kù)、消息和隊(duì)列等功能集成。PaaS允許開(kāi)發(fā)者在平臺(tái)之上開(kāi)發(fā)應(yīng)用，開(kāi)發(fā)的編程語(yǔ)言和工具由PaaS支持提供。SaaS位于底層的IaaS和PaaS之上，能夠提供獨(dú)立的運(yùn)行環(huán)境，用以交付完整的用戶(hù)體驗(yàn)，包括內(nèi)容、展現(xiàn)、應(yīng)用和管理能力。

云安全架構(gòu)的一個(gè)關(guān)鍵特點(diǎn)是云服務(wù)提供商所在的等級(jí)越低，云服務(wù)用戶(hù)自己所要承擔(dān)的安全能力和管理職責(zé)就越多。下面對(duì)云計(jì)算安全領(lǐng)域中的數(shù)據(jù)安全、應(yīng)用安全和虛擬化安全等問(wèn)題（見(jiàn)表1）的應(yīng)對(duì)策略和技術(shù)進(jìn)行重點(diǎn)闡述。

表1 云安全內(nèi)容矩陣

3 云計(jì)算安全關(guān)鍵技術(shù)

3.1 數(shù)據(jù)安全

云用戶(hù)和云服務(wù)提供商應(yīng)避免數(shù)據(jù)丟失和被竊，無(wú)論使用哪種云計(jì)算的服務(wù)模式（SaaS/PaaS/IaaS），數(shù)據(jù)安全都變得越來(lái)越重要。以下針對(duì)數(shù)據(jù)傳輸安全、數(shù)據(jù)隔離和數(shù)據(jù)殘留等方面展開(kāi)討論。

（1）數(shù)據(jù)傳輸安全

在使用公共云時(shí)，對(duì)于傳輸中的數(shù)據(jù)最大的威脅是不采用加密算法。通過(guò)Internet傳輸數(shù)據(jù)，采用的傳輸協(xié)議也要能保證數(shù)據(jù)的完整性。如果采用加密數(shù)據(jù)和使用非安全傳輸協(xié)議的方法也可以達(dá)到保密的目的，但無(wú)法保證數(shù)據(jù)的完整性。

（2）數(shù)據(jù)隔離

加密磁盤(pán)上的數(shù)據(jù)或生產(chǎn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)很重要（靜止的數(shù)據(jù)），這可以用來(lái)防止惡意的云服務(wù)提供商、惡意的鄰居“租戶(hù)”及某些類(lèi)型應(yīng)用的濫用。但是靜止數(shù)據(jù)加密比較復(fù)雜，如果僅使用簡(jiǎn)單存儲(chǔ)服務(wù)進(jìn)行長(zhǎng)期的檔案存儲(chǔ)，用戶(hù)加密他們自己的數(shù)據(jù)后發(fā)送密文到云數(shù)據(jù)存儲(chǔ)商那里是可行的。但是對(duì)于PaaS或者SaaS應(yīng)用來(lái)說(shuō)，數(shù)據(jù)是不能被加密，因?yàn)榧用苓^(guò)的數(shù)據(jù)會(huì)妨礙索引和搜索。到目前為止還沒(méi)有可商用的算法實(shí)現(xiàn)數(shù)據(jù)全加密。

PaaS和SaaS應(yīng)用為了實(shí)現(xiàn)可擴(kuò)展、可用性、管理以及運(yùn)行效率等方面的“經(jīng)濟(jì)性”，基本都采用多租戶(hù)模式，因此被云計(jì)算應(yīng)用所用的數(shù)據(jù)會(huì)和其他用戶(hù)的數(shù)據(jù)混合存儲(chǔ)（如Google的BigTable）。雖然云計(jì)算應(yīng)用在設(shè)計(jì)之初已采用諸如“數(shù)據(jù)標(biāo)記”等技術(shù)以防非法訪問(wèn)混合數(shù)據(jù)，但是通過(guò)應(yīng)用程序的漏洞，非法訪問(wèn)還是會(huì)發(fā)生，最著名的案例就是2009年3月發(fā)生的谷歌文件非法共享。雖然有些云服務(wù)提供商請(qǐng)第三方審查應(yīng)用程序或應(yīng)用第三方應(yīng)用程序的安全驗(yàn)證工具加強(qiáng)應(yīng)用程序安全，但出于經(jīng)濟(jì)性考慮，無(wú)法實(shí)現(xiàn)單租戶(hù)專(zhuān)用數(shù)據(jù)平臺(tái)，因此惟一可行的選擇就是不要把任何重要的或者敏感的數(shù)據(jù)放到公共云中。

（3）數(shù)據(jù)殘留

數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn)，存儲(chǔ)介質(zhì)被擦除后可能留有一些物理特性使數(shù)據(jù)能夠被重建。在云計(jì)算環(huán)境中，數(shù)據(jù)殘留更有可能會(huì)無(wú)意泄露敏感信息，因此云服務(wù)提供商應(yīng)能向云用戶(hù)保證其鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他云用戶(hù)前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中。云服務(wù)提供商應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他云用戶(hù)前得到完全清除。

3.2 應(yīng)用安全

由于云環(huán)境的靈活性、開(kāi)放性以及公眾可用性等特性，給應(yīng)用安全帶來(lái)了很多挑戰(zhàn)。提供商在云主機(jī)上部署的Web應(yīng)用程序應(yīng)當(dāng)充分考慮來(lái)自互聯(lián)網(wǎng)的威脅。

（1）終端用戶(hù)安全

對(duì)于使用云服務(wù)的用戶(hù)，應(yīng)該保證自己計(jì)算機(jī)的安全。在用戶(hù)的終端上部署安全軟件，包括反惡意軟件、防病毒、個(gè)人防火墻以及IPS類(lèi)型的軟件。目前，瀏覽器已經(jīng)普遍成為云服務(wù)應(yīng)用的客戶(hù)端，但不幸的是所有的互聯(lián)網(wǎng)瀏覽器毫無(wú)例外地存在軟件漏洞，這些軟件漏洞加大了終端用戶(hù)被攻擊的風(fēng)險(xiǎn)，從而影響云計(jì)算應(yīng)用的安全。因此云用戶(hù)應(yīng)該采取必要措施保護(hù)瀏覽器免受攻擊，在云環(huán)境中實(shí)現(xiàn)端到端的安全。云用戶(hù)應(yīng)使用自動(dòng)更新功能，定期完成瀏覽器打補(bǔ)丁和更新工作。

隨著虛擬化技術(shù)的廣泛應(yīng)用，許多用戶(hù)現(xiàn)在喜歡在桌面或筆記本電腦上使用虛擬機(jī)來(lái)區(qū)分工作（公事與私事）。有人使用VMware Player來(lái)運(yùn)行多重系統(tǒng)（比如使用Linux作為基本系統(tǒng)），通常這些虛擬機(jī)甚至都沒(méi)有達(dá)到補(bǔ)丁級(jí)別。這些系統(tǒng)被暴露在網(wǎng)絡(luò)上更容易被黑客利用成為流氓虛擬機(jī)。對(duì)于企業(yè)客戶(hù)，應(yīng)該從制度上規(guī)定連接云計(jì)算應(yīng)用的PC機(jī)禁止安裝虛擬機(jī)，并且對(duì)PC機(jī)進(jìn)行定期檢查。

（2）SaaS 應(yīng)用安全

SaaS應(yīng)用提供給用戶(hù)的能力是使用服務(wù)商運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用，用戶(hù)使用各種客戶(hù)端設(shè)備通過(guò)瀏覽器來(lái)訪問(wèn)應(yīng)用。用戶(hù)并不管理或控制底層的云基礎(chǔ)設(shè)施，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)甚至其中單個(gè)的應(yīng)用能力，除非是某些有限用戶(hù)的特殊應(yīng)用配置項(xiàng)。SaaS模式?jīng)Q定了提供商管理和維護(hù)整套應(yīng)用，因此SaaS提供商應(yīng)最大限度地確保提供給客戶(hù)的應(yīng)用程序和組件的安全，客戶(hù)通常只需負(fù)責(zé)操作層的安全功能,包括用戶(hù)和訪問(wèn)管理，所以選擇SaaS提供商特別需要慎重，目前對(duì)于提供商評(píng)估通常的做法是根據(jù)保密協(xié)議，要求提供商提供有關(guān)安全實(shí)踐的信息。該信息應(yīng)包括設(shè)計(jì)、架構(gòu)、開(kāi)發(fā)、黑盒與白盒應(yīng)用程序安全測(cè)試和發(fā)布管理。有些客戶(hù)甚至請(qǐng)第三方安全廠商進(jìn)行滲透測(cè)試（黑盒安全測(cè)試），以獲得更為詳實(shí)的安全信息，不過(guò)滲透測(cè)試通常費(fèi)用很高而且也不是所有提供商都同意這種測(cè)試。

還有一點(diǎn)需要特別注意的是，SaaS提供商提供的身份驗(yàn)證和訪問(wèn)控制功能，通常情況下這是客戶(hù)管理信息風(fēng)險(xiǎn)惟一的安全控制措施。大多數(shù)服務(wù)包括谷歌都會(huì)提供基于Web的管理用戶(hù)界面。最終用戶(hù)可以分派讀取和寫(xiě)入權(quán)限給其他用戶(hù)。然而這個(gè)特權(quán)管理功能可能不先進(jìn)，細(xì)粒度訪問(wèn)可能會(huì)有弱點(diǎn)，也可能不符合組織的訪問(wèn)控制標(biāo)準(zhǔn)。用戶(hù)應(yīng)該盡量了解云特定訪問(wèn)控制機(jī)制，并采取必要步驟，保護(hù)在云中的數(shù)據(jù)；應(yīng)實(shí)施最小化特權(quán)訪問(wèn)管理，以消除威脅云應(yīng)用安全的內(nèi)部因素。

所有有安全需求的云應(yīng)用都需要用戶(hù)登錄，有許多安全機(jī)制可提高訪問(wèn)安全性，比如說(shuō)通行證或智能卡，而最為常用的方法是可重用的用戶(hù)名和密碼。如果使用強(qiáng)度最小的密碼（如需要的長(zhǎng)度和字符集過(guò)短）和不做密碼管理（過(guò)期，歷史）很容導(dǎo)致密碼失效，而這恰恰是攻擊者獲得信息的首選方法，從而容易被猜到密碼。因此云服務(wù)提供商應(yīng)能夠提供高強(qiáng)度密碼；定期修改密碼，時(shí)間長(zhǎng)度必須基于數(shù)據(jù)的敏感程度；不能使用舊密碼等可選功能。

在目前的SaaS應(yīng)用中，提供商將客戶(hù)數(shù)據(jù)（結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)）混合存儲(chǔ)是普遍的做法，通過(guò)惟一的客戶(hù)標(biāo)識(shí)符，在應(yīng)用中的邏輯執(zhí)行層可以實(shí)現(xiàn)客戶(hù)數(shù)據(jù)邏輯上的隔離，但是當(dāng)云服務(wù)提供商的應(yīng)用升級(jí)時(shí)，可能會(huì)造成這種隔離在應(yīng)用層執(zhí)行過(guò)程中變得脆弱。因此，客戶(hù)應(yīng)了解SaaS提供商使用的虛擬數(shù)據(jù)存儲(chǔ)架構(gòu)和預(yù)防機(jī)制，以保證多租戶(hù)在一個(gè)虛擬環(huán)境所需要的隔離。SaaS提供商應(yīng)在整個(gè)軟件生命開(kāi)發(fā)周期加強(qiáng)在軟件安全性上的措施。

（3）PaaS 應(yīng)用安全

PaaS云提供給用戶(hù)的能力是在云基礎(chǔ)設(shè)施之上部署用戶(hù)創(chuàng)建或采購(gòu)的應(yīng)用，這些應(yīng)用使用服務(wù)商支持的編程語(yǔ)言或工具開(kāi)發(fā)，用戶(hù)并不管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或存儲(chǔ)等，但是可以控制部署的應(yīng)用以及應(yīng)用主機(jī)的某個(gè)環(huán)境配置。PaaS應(yīng)用安全包含兩個(gè)層次：PaaS平臺(tái)自身的安全；客戶(hù)部署在PaaS平臺(tái)上應(yīng)用的安全。

SSL是大多數(shù)云安全應(yīng)用的基礎(chǔ)，目前眾多黑客社區(qū)都在研究SSL，相信SSL在不久的將來(lái)將成為一個(gè)主要的病毒傳播媒介。PaaS提供商必須明白當(dāng)前的形勢(shì)，并采取可能的辦法來(lái)緩解SSL攻擊，避免應(yīng)用被暴露在默認(rèn)攻擊之下。用戶(hù)必須要確保自己有一個(gè)變更管理項(xiàng)目，在應(yīng)用提供商指導(dǎo)下進(jìn)行正確應(yīng)用配置或打配置補(bǔ)丁，及時(shí)確保SSL補(bǔ)丁和變更程序能夠迅速發(fā)揮作用。

PaaS提供商通常都會(huì)負(fù)責(zé)平臺(tái)軟件包括運(yùn)行引擎的安全，如果PaaS應(yīng)用使用了第三方應(yīng)用、組件或Web服務(wù)，那么第三方應(yīng)用提供商則需要負(fù)責(zé)這些服務(wù)的安全。因此用戶(hù)需要了解自己的應(yīng)用到底依賴(lài)于哪個(gè)服務(wù)，在采用第三方應(yīng)用、組件或Web服務(wù)的情況下用戶(hù)應(yīng)對(duì)第三方應(yīng)用提供商做風(fēng)險(xiǎn)評(píng)估。目前，云服務(wù)提供商借口平臺(tái)的安全使用信息會(huì)被黑客利用而拒絕共享，盡管如此，客戶(hù)應(yīng)盡可能地要求云服務(wù)提供商增加信息透明度以利于風(fēng)險(xiǎn)評(píng)估和安全管理。

在多租戶(hù)PaaS的服務(wù)模式中，最核心的安全原則就是多租戶(hù)應(yīng)用隔離。云用戶(hù)應(yīng)確保自己的數(shù)據(jù)只能有自己的企業(yè)用戶(hù)和應(yīng)用程序訪問(wèn)。提供商維護(hù)PaaS平臺(tái)運(yùn)行引擎的安全，在多租戶(hù)模式下必須提供“沙盒”架構(gòu)，平臺(tái)運(yùn)行引擎的“沙盒”特性可以集中維護(hù)客戶(hù)部署在PaaS平臺(tái)上應(yīng)用的保密性和完整性。云服務(wù)提供商負(fù)責(zé)監(jiān)控新的程序缺陷和漏洞，以避免這些缺陷和漏洞被用來(lái)攻擊PaaS平臺(tái)和打破“沙盒”架構(gòu)。

云用戶(hù)部署的應(yīng)用安全需要PaaS應(yīng)用開(kāi)發(fā)商配合，開(kāi)發(fā)人員需要熟悉平臺(tái)的API、部署和管理執(zhí)行的安全控制軟件模塊。開(kāi)發(fā)人員必須熟悉平臺(tái)特定的安全特性，這些特性被封裝成安全對(duì)象和Web服務(wù)。開(kāi)發(fā)人員通過(guò)調(diào)用這些安全對(duì)象和Web服務(wù)實(shí)現(xiàn)在應(yīng)用內(nèi)配置認(rèn)證和授權(quán)管理。對(duì)于PaaS的API設(shè)計(jì)，目前沒(méi)有標(biāo)準(zhǔn)可用，這對(duì)云計(jì)算的安全管理和云計(jì)算應(yīng)用可移植性帶來(lái)了難以估量的后果。

PaaS應(yīng)用還面臨著配置不當(dāng)?shù)耐{，在云基礎(chǔ)架構(gòu)中運(yùn)行應(yīng)用時(shí)，應(yīng)用在默認(rèn)配置下安全運(yùn)行的概率幾乎為零。因此，用戶(hù)最需要做的事就是改變應(yīng)用的默認(rèn)安裝配置，需要熟悉應(yīng)用的安全配置流程。

（4）IaaS 應(yīng)用安全

IaaS云提供商（例如亞馬遜EC2、GoGrid等）將客戶(hù)在虛擬機(jī)上部署的應(yīng)用看作是一個(gè)黑盒子，IaaS提供商完全不知道客戶(hù)應(yīng)用的管理和運(yùn)維?？蛻?hù)的應(yīng)用程序和運(yùn)行引擎，無(wú)論運(yùn)行在何種平臺(tái)上，都由客戶(hù)部署和管理，因此客戶(hù)負(fù)有云主機(jī)之上應(yīng)用安全的全部責(zé)任，客戶(hù)不應(yīng)期望IaaS提供商的應(yīng)用安全幫助。

3.3 虛擬化安全

基于虛擬化技術(shù)的云計(jì)算引入的風(fēng)險(xiǎn)主要有兩個(gè)方面：一個(gè)是虛擬化軟件的安全；另一個(gè)使用虛擬化技術(shù)的虛擬服務(wù)器的安全。

（1）虛擬化軟件安全

該軟件層直接部署于裸機(jī)之上，提供能夠創(chuàng)建、運(yùn)行和銷(xiāo)毀虛擬服務(wù)器的能力。實(shí)現(xiàn)虛擬化的方法不止一種，實(shí)際上，有幾種方法都可以通過(guò)不同層次的抽象來(lái)實(shí)現(xiàn)相同的結(jié)果，如操作系統(tǒng)級(jí)虛擬化、全虛擬化或半虛擬化。在IaaS云平臺(tái)中，云主機(jī)的客戶(hù)不必訪問(wèn)此軟件層，它完全應(yīng)該由云服務(wù)提供商來(lái)管理。

由于虛擬化軟件層是保證客戶(hù)的虛擬機(jī)在多租戶(hù)環(huán)境下相互隔離的重要層次，可以使客戶(hù)在一臺(tái)計(jì)算機(jī)上安全地同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，所以必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶(hù)訪問(wèn)虛擬化軟件層。云服務(wù)提供商應(yīng)建立必要的安全控制措施，限制對(duì)于Hypervisor和其他形式的虛擬化層次的物理和邏輯訪問(wèn)控制。

虛擬化層的完整性和可用性對(duì)于保證基于虛擬化技術(shù)構(gòu)建的公有云的完整性和可用性是最重要，也是最關(guān)鍵的。一個(gè)有漏洞的虛擬化軟件會(huì)暴露所有的業(yè)務(wù)域給惡意的入侵者。

（2）虛擬服務(wù)器安全

虛擬服務(wù)器位于虛擬化軟件之上，對(duì)于物理服務(wù)器的安全原理與實(shí)踐也可以被運(yùn)用到虛擬服務(wù)器上，當(dāng)然也需要兼顧虛擬服務(wù)器的特點(diǎn)。下面將從物理機(jī)選擇、虛擬服務(wù)器安全和日常管理三方面對(duì)虛擬服務(wù)器安全進(jìn)行闡述。

應(yīng)選擇具有TPM安全模塊的物理服務(wù)器，TPM安全模塊可以在虛擬服務(wù)器啟動(dòng)時(shí)檢測(cè)用戶(hù)密碼，如果發(fā)現(xiàn)密碼及用戶(hù)名的Hash序列不對(duì)，就不允許啟動(dòng)此虛擬服務(wù)器。因此，對(duì)于新建的用戶(hù)來(lái)說(shuō)，選擇這些功能的物理服務(wù)器來(lái)作為虛擬機(jī)應(yīng)用是很有必要的。如果有可能，應(yīng)使用新的帶有多核的處理器，并支持虛擬技術(shù)的CPU，這就能保證CPU之間的物理隔離，會(huì)減少許多安全問(wèn)題。

安裝虛擬服務(wù)器時(shí)，應(yīng)為每臺(tái)虛擬服務(wù)器分配一個(gè)獨(dú)立的硬盤(pán)分區(qū)，以便將各虛擬服務(wù)器之間從邏輯上隔離開(kāi)來(lái)。虛擬服務(wù)器系統(tǒng)還應(yīng)安裝基于主機(jī)的防火墻、殺毒軟件、IPS（IDS）以及日志記錄和恢復(fù)軟件，以便將它們相互隔離，并與其他安全防范措施一起構(gòu)成多層次防范體系。

對(duì)于每臺(tái)虛擬服務(wù)器應(yīng)通過(guò)VLAN和不同的IP網(wǎng)段的方式進(jìn)行邏輯隔離。對(duì)需要相互通信的虛擬服務(wù)器之間的網(wǎng)絡(luò)連接應(yīng)當(dāng)通過(guò)VPN的方式來(lái)進(jìn)行，以保護(hù)它們之間網(wǎng)絡(luò)傳輸?shù)陌踩?。?shí)施相應(yīng)的備份策略，包括它們的配置文件、虛擬機(jī)文件及其中的重要數(shù)據(jù)都要進(jìn)行備份，備份也必須按一個(gè)具體的備份計(jì)劃來(lái)進(jìn)行，應(yīng)當(dāng)包括完整、增量或差量備份方式。

在防火墻中，盡量對(duì)每臺(tái)虛擬服務(wù)器做相應(yīng)的安全設(shè)置，進(jìn)一步對(duì)它們進(jìn)行保護(hù)和隔離。將服務(wù)器的安全策略加入到系統(tǒng)的安全策略當(dāng)中，并按物理服務(wù)器安全策略的方式來(lái)對(duì)等。

從運(yùn)維的角度來(lái)看，對(duì)于虛擬服務(wù)器系統(tǒng)，應(yīng)當(dāng)像對(duì)一臺(tái)物理服務(wù)器一樣地對(duì)它進(jìn)行系統(tǒng)安全加固，包括系統(tǒng)補(bǔ)丁、應(yīng)用程序補(bǔ)丁、所允許運(yùn)行的服務(wù)、開(kāi)放的端口等。同時(shí)嚴(yán)格控制物理主機(jī)上運(yùn)行虛擬服務(wù)的數(shù)量，禁止在物理主機(jī)上運(yùn)行其他網(wǎng)絡(luò)服務(wù)。如果虛擬服務(wù)器需要與主機(jī)進(jìn)行連接或共享文件，應(yīng)當(dāng)使用VPN方式進(jìn)行，以防止由于某臺(tái)虛擬服務(wù)器被攻破后影響物理主機(jī)。文件共享也應(yīng)當(dāng)使用加密的網(wǎng)絡(luò)文件系統(tǒng)方式進(jìn)行。需要特別注意主機(jī)的安全防范工作，消除影響主機(jī)穩(wěn)定和安全性的因素，防止間諜軟件、木馬、病毒和黑客的攻擊，因?yàn)橐坏┪锢碇鳈C(jī)受到侵害，所有在其中運(yùn)行的虛擬服務(wù)器都將面臨安全威脅，或者直接停止運(yùn)行。

對(duì)虛擬服務(wù)器的運(yùn)行狀態(tài)進(jìn)行嚴(yán)密的監(jiān)控，實(shí)時(shí)監(jiān)控各虛擬機(jī)當(dāng)中的系統(tǒng)日志和防火墻日志，以此來(lái)發(fā)現(xiàn)存在的安全隱患。對(duì)不需要運(yùn)行的虛擬機(jī)應(yīng)當(dāng)立即關(guān)閉。

4 云計(jì)算安全現(xiàn)狀

云計(jì)算應(yīng)用安全研究目前還處于起步階段，業(yè)界尚未形成相關(guān)標(biāo)準(zhǔn)，目前主要的研究組織主要包括CSA（cloud security alliance，云安全聯(lián)盟）、CAM （common assurance metric– beyond the cloud）等相關(guān)論壇。

為推動(dòng)云計(jì)算應(yīng)用安全的研究交流與協(xié)作發(fā)展，業(yè)界多家公司在2008年12月聯(lián)合成立了CSA，該組織是一個(gè)非贏利組織，旨在推廣云計(jì)算應(yīng)用安全的最佳實(shí)踐，并為用戶(hù)提供云計(jì)算方面的安全指引。CSA在2009年12月17日發(fā)布的《云計(jì)算安全指南》，著重總結(jié)了云計(jì)算的技術(shù)架構(gòu)模型、安全控制模型以及相關(guān)合規(guī)模型之間的映射關(guān)系，從云計(jì)算用戶(hù)角度闡述了可能存在的商業(yè)隱患、安全威脅以及推薦采取的安全措施。目前已經(jīng)有越來(lái)越多的IT企業(yè)、安全廠商和電信運(yùn)營(yíng)商加入到該組織。

另外，歐洲網(wǎng)絡(luò)信息安全局（ENISA）和CSA聯(lián)合發(fā)起了CAM項(xiàng)目。CAM項(xiàng)目的研發(fā)目標(biāo)是開(kāi)發(fā)一個(gè)客觀、可量化的測(cè)量標(biāo)準(zhǔn)，供客戶(hù)評(píng)估和比較云計(jì)算服務(wù)提供商安全運(yùn)行的水平，CAM計(jì)劃于2010年底提出內(nèi)容架構(gòu)，并推向全球。

許多云服務(wù)提供商，如Amazon、IBM、Microsoft等紛紛提出并部署了相應(yīng)的云計(jì)算安全解決方案，主要通過(guò)采用身份認(rèn)證、安全審查、數(shù)據(jù)加密、系統(tǒng)冗余等技術(shù)及管理手段來(lái)提高云計(jì)算業(yè)務(wù)平臺(tái)的健壯性、服務(wù)連續(xù)性和用戶(hù)數(shù)據(jù)的安全性。另外，在電信運(yùn)營(yíng)商中Verizon也已經(jīng)推出了云安全特色服務(wù)。

在IT殺毒產(chǎn)業(yè)中，云安全的概念提出后，其發(fā)展迅速，瑞星、趨勢(shì)、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛(wèi)士、卡卡上網(wǎng)安全助手等都推出了云安全解決方案。瑞星基于云安全策略開(kāi)發(fā)的2009新品，每天攔截?cái)?shù)百萬(wàn)次木馬攻擊，其中1月8日更是達(dá)到了765萬(wàn)余次。趨勢(shì)科技云安全已經(jīng)在全球建立了5大數(shù)據(jù)中心，幾萬(wàn)部在線服務(wù)器。據(jù)悉，云安全可以支持平均每天55億條點(diǎn)擊查詢(xún)，每天收集分析2.5億個(gè)樣本，資料庫(kù)第一次命中率就可以達(dá)到99%。借助云安全，趨勢(shì)科技現(xiàn)在每天阻斷的病毒感染最高達(dá)1 000萬(wàn)次。

從上可知，目前的云安全產(chǎn)品主要來(lái)自于傳統(tǒng)的IT殺毒軟件廠商，其產(chǎn)品也主要集中在應(yīng)用的安全領(lǐng)域，要實(shí)現(xiàn)云安全指南中定義的關(guān)鍵領(lǐng)域的安全保障，還需要云平臺(tái)提供商，系統(tǒng)集成商，云服務(wù)提供商，殺毒軟件廠商等的共同努力。

1 Sanjay Ghemawat,Howard Gobioff,Shun-Tak Leung.The google file system.http://labs.google.com/papers/gfs-sosp2003.pdf

2 Mike Burrows.The chubby lock service for loosely-coupled distributed systems.http://labs.google.com/papers/chubby-osdi06.pdf

3 Michael Armbrust,Armando Fox,Rean Griffith,et al.Above the clouds:a berkeley wiew of cloud computing.Communication Magazine,2009

4 IBM虛擬化與云計(jì)算小組.虛擬化與云計(jì)算.北京：電子工業(yè)出版社，2009

5 MichaelMiller著.姜進(jìn)磊，孫瑞志，向勇等譯.云計(jì)算.北京：機(jī)械工業(yè)出版社，2009

6 葉偉等.互聯(lián)網(wǎng)時(shí)代的軟件革命—SaaS架構(gòu)設(shè)計(jì).北京：電子工業(yè)出版社，2009

7 劉黎明.云計(jì)算—第三次IT產(chǎn)業(yè)變革，http://labs.chinamobile.com/mblog/74856_1794

8 尼古拉斯·卡爾.IT不再重要.北京：中信出版社，2008

9 李德毅.云計(jì)算：從圖靈計(jì)算到網(wǎng)絡(luò)計(jì)算.2009云計(jì)算中國(guó)論壇，2009

10 范承工.搶云市場(chǎng)先機(jī)，迎產(chǎn)業(yè)洗牌，http://storage.it168.com/a2009/0526/577/000000577295.shtml,2009

11 陳全,鄧倩妮.云計(jì)算及其關(guān)鍵技術(shù).計(jì)算機(jī)應(yīng)用,2009(9)

12 葉偉等.互聯(lián)網(wǎng)時(shí)代的軟件革命—SaaS架構(gòu)設(shè)計(jì).北京：電子工業(yè)出版社，2009

13 電信運(yùn)營(yíng)商將主導(dǎo)企業(yè)云計(jì)算市場(chǎng)，http://labs.chinamobile.com/mblog/57950_11090

14 中電信搶灘云計(jì)算在上海開(kāi)建“信息銀行”.http://www.ezcom.cn/Article/16813

15 中國(guó)電信推能力開(kāi)放平臺(tái)，http://www.cww.net.cn/news/html/2009/12/3/2009123 158512299.html

16 尹愛(ài)昊.通過(guò)業(yè)務(wù)開(kāi)放提升網(wǎng)絡(luò)價(jià)值，http://www.cww.net.cn/tech/html/2009/6/25/20096 25134607610.html

17 張為民,唐劍峰,羅治國(guó)等.云計(jì)算深刻改變未來(lái).北京：科學(xué)出版社,2009

18 王鵬.走近云計(jì)算.北京：人民郵電出版社,2009

19 Peter Fingar,王靈俊.云計(jì)算:21世紀(jì)的商業(yè)平臺(tái).北京：電子工業(yè)出版社,2009

20 王鵬.云計(jì)算的關(guān)鍵技術(shù)與應(yīng)用實(shí)例.北京：人民郵電出版社,2010

21 劉鵬.云計(jì)算.北京：電子工業(yè)出版社,2010

22 王鵬,黃華峰,曹珂.云計(jì)算:中國(guó)未來(lái)的IT戰(zhàn)略.北京：人民郵電出版社,2010

Key Security Technologies on Cloud Computing

Zhang Yunyong,Chen Qingjin,Pan Songbai,Wei Jinwu
（China Unicom Research Institute，Beijing 100048，China）

Cloud computing is a new method sharing infrastructure which provides the usage of service,application,information and infrastructure composed of “resource pool” computing,network,information and storage.The features of cloud computing directly impact the security threats of its environment and relative security policies,which include the self-service on demand,broadband access,visualization resource pool,quick elastic architecture,measurable services and multi-tenant.Cloud computing could definitely introduce positive effect because it has multiple benefits from scale economy to application availability.Nowadays,more and more enterprise users are ready to be involved in the cloud circle with the support of cloud computing providers and advocates.However,cloud computing also brings some new security issues.The security problem is very important since a large number of users share the IT infrastructure.In this paper,the specific cloud computing security requirement and solution are analyzed.The current status of international and domestic research and products are presented.

cloud computing,visualization,security,credibility

2010－08－17）