杜全勝
(1.安徽淮北煤電技師學院,安徽淮北 235000;2.安徽礦業(yè)職業(yè)技術學院,安徽淮北 235000)
云計算環(huán)境下信息安全分析與對策研究
杜全勝1,2
(1.安徽淮北煤電技師學院,安徽淮北 235000;2.安徽礦業(yè)職業(yè)技術學院,安徽淮北 235000)
短短幾年,云計算從誕生之初的計算機學術理論,發(fā)展成為信息技術的新革命,它為互聯(lián)網用戶提供強大和高效的計算應用服務。但是信息安全問題成為了制約其發(fā)展的絆腳石,解決云計算的信息安全問題成為了眾多云計算組織和專家研究的焦點。本文主要針對云計算所面臨的安全風險進行分析,以及提供了一些對策以供參考。
云計算 信息安全 網絡
近幾年,云計算由當初的信息技術領域的學術焦點,轉變?yōu)槠髽I(yè)和用戶大規(guī)模應用的計算機技術的新型革命,其被稱為IT產業(yè)革命的第三次變革。云計算以“網絡就是計算機”的創(chuàng)新思維,將跨越地域與空間的計算軟硬件資源鏈接為一個整體,提供了一個超大規(guī)模的的信息存儲與計算中心,為無數的互聯(lián)網用戶提供近乎無限的信息存儲和計算服務。當然,和其他新技術一樣,云計算不免要遇到制約其發(fā)展的諸多問題,而信息安全則是最重要的關鍵性問題。并且從近幾年云計算諸多安全事件的發(fā)生來看,信息安全問題呈逐步上升的態(tài)勢,愈發(fā)減緩了云計算應用和普及的腳步。
云計算(Cloud Computing)這個新名詞誕生于2007年,不同的組織和專家都試圖對云計算進行定義,對于云計算的解釋,也是眾口不一。在目前,比較被大家所認可的是美國國家標準與技術研究院(NIST)對云計算的定義:云計算是一種按使用量付費的模式,這種模式提供可用的、便捷的、按需的網絡訪問,進入可配置的計算資源共享池(資源包括網絡,服務器,存儲,應用軟件,服務),這些資源能夠被快速提供,只需投入很少的管理工作,或與服務供應商進行很少的交互。
云計算的體系架構大致分為三層,由下到上分別為基礎管理層、應用接口層和訪問層?;A管理層負責解決計算軟硬件資源的共享問題,應用接口層所注重的是為用戶提供服務的方式方法,而訪問層則具體來實現(xiàn)用戶所需要的各種應用。
云計算是一個很具有包容性的概念,它的計算模型囊括了分布式計算、網格計算、并行計算等多種計算模式,它所提供的是超大規(guī)模的分布式網絡環(huán)境,而它的核心則是強大的數據存儲和虛擬軟硬件服務。云計算的特點如下:
(1)高可靠性:計算節(jié)點同構可互換、數據多副本容錯等多種措施是云計算的可靠性保障,因此,相對于傳統(tǒng)計算機網絡終端而言,它的可靠性級別當然要更高。(2)超大規(guī)模:云計算服務是基于大規(guī)模的計算服務節(jié)點而構成的,這個系統(tǒng)的規(guī)模相較傳統(tǒng)的計算規(guī)模而言,顯然是更加巨大近乎無限的。例如,谷歌的云計算服務器夸張的擁有量達到100萬臺,而微軟、IBM等云計算供應商的服務器也達到幾十萬之多。(3)高可擴展性:云的即插即用模式決定了云規(guī)模的動態(tài)增減特性,資源的可擴展和用戶的規(guī)模增長都是可以輕松實現(xiàn)的。(4)通用性:云計算所提供的服務并不針對單一或是特定的應用,在云計算平臺上,云計算服務商可以搭建變化萬千的應用服務,同時這些應用的種類也是不受限制的。(5)跨地域式的資源整合:云計算能夠將不同空間和地域的資源進行統(tǒng)一的整合,把跨地域的資源整合成一個整體來對用戶提供服務,并且通過先進的技術來實現(xiàn)計算節(jié)點間的負載均衡。(6)廉價性:對于云計算的用戶而言,云計算最吸引人的好處之一是用戶不必再對應用需求進行高昂的軟硬件投資和后續(xù)繁雜的管理維護,只要使用廉價的節(jié)點即可加入云計算環(huán)境進行應用操作,其他一切交給云計算服務商來解決,用戶只需關注自己的應用即可,這種模式即解決了資金的大量投入問題,也節(jié)省了用戶大量的精力。
任何計算機新技術都會面臨諸多的問題和挑戰(zhàn),在云計算自然也不例外。各類問題,如云計算的組織和公司眾多,如何制定統(tǒng)一的標準來執(zhí)行;云計算需要穩(wěn)定和高速的計算機網絡來支持,如何保證網絡的高速高可靠性,顯然不是云計算提供商單方面能解決的問題。當然,正如計算機網絡從誕生到發(fā)展應用,網絡安全一直在困擾和威脅著網絡應用,云計算的安全問題也成為制約其發(fā)展的最大絆腳石,安全可靠是用戶檢驗云計算的是否能夠采用的最大依據。云計算安全除了傳統(tǒng)計算機網絡中的的信息安全風險以外,龐大的規(guī)模,各類支撐技術如虛擬化技術、多租戶技術所帶來的新風險,使得云計算信息安全風險的負責度和等級較之傳統(tǒng)計算機網絡要更高。其主要存在的安全風險大致如下:
在云計算環(huán)境下,大量虛擬化技術及資源池化技術的運用,使得云計算資源池內的硬件資源如服務器、存儲設備等硬件基礎設施高度整合,同時終端用戶龐大的數量和應用需求,使得無法象傳統(tǒng)計算機網絡那樣來清晰界定安全邊界,因此必須要調整傳統(tǒng)的網絡邊界防護手段,實現(xiàn)對用戶服務的安全保障。
云計算環(huán)境下,用戶的應用需求都要由云來實現(xiàn),用戶只是通過一個簡單的終端連入云,無論是數據的存儲傳輸還是數據處理都是交由云計算來完成。無論是數據的傳輸過程還是處理過程都要完全依賴計算機網絡來完成,計算機網絡所面臨的各類風險也不可避免的轉嫁到云計算的信息傳輸環(huán)節(jié)。
云計算的信息傳輸是使用的加密技術多是SSL,但它僅僅是在網絡傳輸上對數據進行加密,在服務器和存儲設備上進行數據存儲和處理時并沒有有效的保護措施。并且在數據得處理階段,肯定是已解密的數據才能進行處理,因此在這一環(huán)節(jié)的數據保護很難做到無安全風險。另外,用戶數據一旦從終端傳送到“云”中以后,用戶將不再清楚自己的數據被存到了哪兒,也即脫離了用戶的控制,完全由云計算供應商來進行管理,就好比是把命運交到了別人手上,用戶即使擔心數據安全,也無能為力去做任何事情。
云計算環(huán)境下,就數據處理和資源管理而言,云服務器所面臨的壓力和負責度要遠大于傳統(tǒng)的網絡服務器。所有的用戶服務需求都要由云服務器和存儲設備來處理和實現(xiàn),同時云環(huán)境又必須要求開放的網絡環(huán)境,以及多架構多用戶的應用場景,這自然也帶來了更多的安全隱患。
為了解決網絡邊界模糊所帶來的安全隱患,相應的防護技術如防火墻、入侵檢測系統(tǒng)等腰進行相應的強化改造,以適應云計算環(huán)境下的信息安全需求。云計算環(huán)境下,虛擬防火墻技術是通常采用的做法,它可以將一個物理防火墻進行虛擬劃分,能對每個虛擬防火墻建立單獨的操作權限和進程,通過虛擬防火墻,管理員可以隨時進行云計算操作的監(jiān)控和策略調整,不同的業(yè)務使用不同的虛擬防火墻進行監(jiān)控和保護,就能大大的降低安全風險。另外,對企業(yè)客戶而言,可以通過私有云來保證重要且關鍵也無得數據和應用安全性。企業(yè)客戶可以單獨建立一個私有云,私有云可以是為一個客戶,也可以是針對客戶的某個關鍵性業(yè)務來服務,它能夠提供對更加安全的云計算環(huán)境。私有云的部署主要有兩種方式,一種是部署在企業(yè)數據中心的防火墻內,另一種是部署在一個安全的主機托管機構。即私有云可以由企業(yè)自己的 IT 機構來建立,也可以交由云提供商來建立。
云計算的數據傳輸主要是兩種方式,一種是用戶與云服務器和存儲設備的數據傳輸,另一種是在云資源池內,不同虛擬機之間所進行的數據傳輸。無論是前者還是后一種傳輸方式,都在在數據的傳輸過程進行加密解密,也即數據離開傳送之前必須進行加密,到了接收端后再進行解密。云計算數據傳輸所使用的加密技術主要是基于SSL協(xié)議來實現(xiàn)。而針對安全級別要求高的應用,還可以采取同態(tài)加密機制來保證數據傳輸的安全。
前面的分析清晰的描述了數據傳輸和存儲的方式,數據在云存儲設備中是不會進行加密的。這時,數據的機密性和完整性都無法得到保障。因此云計算的使用中,用戶必須對重要和機密數據進行加密,再進行云計算傳輸和處理。當然加密會降低數據的使用效率,用戶就必須在加密前對數據進行機密等級評估,確定是否要對數據進行加密。
要保證云服務器的安全,首先要做好云服務器的黑客攻擊及病毒防護系統(tǒng)的構建,并保證系統(tǒng)補丁的及時升級。當然云計算機的先進模式和傳統(tǒng)計算機防護模式不同,可以在云服務器中安裝病毒防護系統(tǒng)的虛擬服務器,并在其他系統(tǒng)中安裝分布式探測引擎,達到防護系統(tǒng)查殺和升級的分布式處理。同時,云服務器自身的操作系統(tǒng)安全對也是不容忽視的,具有更先進的安全訪問控制機制的云操作系統(tǒng)更應該要優(yōu)先考慮。
云計算是今后的發(fā)展將是無可限量的,隨著它的應用和普及,信息安全問題無法忽視。無論是對企業(yè)用戶,還是對云計算供應商而言,信息安全問題都是必須清醒認識和認真對待解決的。只有克服了信息安全問題,云計算才能為用戶提供更高效更可靠的應用服務。
[1]沈昌祥.云計算安全[J].信息安全與通信保,2010(12):12-15.
[2]黨衛(wèi)紅.云計算的安全防護策略分析與研究[J].讀與寫雜志,2010(5):79.
[3]黃志宏,巫莉莉,張波.基于云計算的網絡安全威脅及防范[J].重慶理工大學學報,2012(8):26.