徐 波

(阜陽(yáng)職業(yè)技術(shù)學(xué)院工程科技學(xué)院，安徽阜陽(yáng)236031)

云計(jì)算是新興的，高效的商業(yè)計(jì)算模式。云計(jì)算從并行，分布式，效用，網(wǎng)格計(jì)算等概念發(fā)展而來，它的本質(zhì)是通過付費(fèi)使用的方式向企業(yè)和用戶提供所需要的各種服務(wù)，用戶只需按需付費(fèi)。云計(jì)算正深刻地改變著人們對(duì)軟件的認(rèn)識(shí)和使用模式。人們不需要再安裝特定的維護(hù)軟件，只需按需從互聯(lián)網(wǎng)上獲取需要的資源，按需進(jìn)行付費(fèi)。在IT界，云計(jì)算被認(rèn)為是引領(lǐng)未來產(chǎn)業(yè)變革的關(guān)鍵技術(shù)。

而隨著云計(jì)算技術(shù)的快速發(fā)展，其所帶來的安全問題也逐漸明顯，制約著云計(jì)算發(fā)展的步伐。很多公司因?yàn)樵朴?jì)算的安全問題而望而卻步。據(jù)IDC報(bào)告，74% 以上的用戶認(rèn)為云計(jì)算安全是云計(jì)算發(fā)展的主要瓶頸。

一、云計(jì)算安全

(一)云計(jì)算安全定義

隨著云計(jì)算的快速發(fā)展，其安全問題也日趨明顯，并成為制約云計(jì)算發(fā)現(xiàn)的瓶頸，云安全有以下含義:一是云計(jì)算自身的安全，如云計(jì)算服務(wù)安全、應(yīng)用安全，云計(jì)算數(shù)據(jù)安全等。本文所研究的云計(jì)算安全就是云計(jì)算自身的安全;二是安全云計(jì)算，指云計(jì)算在信息安全方面的應(yīng)用，主要是指利用云計(jì)算架構(gòu)，運(yùn)用云計(jì)算所提供的服務(wù)模式，實(shí)現(xiàn)信息的統(tǒng)一安全管理，360的云安全系統(tǒng)就是安全云計(jì)算。

(二)云計(jì)算安全現(xiàn)狀

針對(duì)當(dāng)前云計(jì)算存在的安全問題，為了推進(jìn)云計(jì)算安全研究的快速發(fā)展，增強(qiáng)互操作性與溝通性，國(guó)外成立了多個(gè)組織機(jī)構(gòu)，進(jìn)行云安全標(biāo)準(zhǔn)研究。云安全聯(lián)盟(CSA)是于2009年正式成立的云安全組織，其目的在于形成統(tǒng)一規(guī)范的云安全規(guī)則，進(jìn)行云計(jì)算安全的溝通，確保云的高可靠性。典型云計(jì)算安全體系架構(gòu)有以下含義:

1.CSA的云計(jì)算安全架構(gòu)。CSA是從云服務(wù)角度提出的，CSA描述了云計(jì)算三種服務(wù)模式之間的相互依賴性與層次關(guān)系，從而實(shí)現(xiàn)了由云服務(wù)模型到安全合規(guī)模型的映射。

2.可信云架構(gòu)。它是VMWare、EMC和Intel合作共同提出的一種云架構(gòu)。因此其具有的功能是十分強(qiáng)大的。在基礎(chǔ)設(shè)施上能夠利用Intel的可信技術(shù)進(jìn)行安全保障;云架構(gòu)成功啟動(dòng)后，又可以運(yùn)用VMWare的虛擬隔離技術(shù)進(jìn)行虛擬機(jī)安全保障，防止病毒與木馬的侵襲;RSA Envision對(duì)硬件層和虛擬層的安全數(shù)據(jù)進(jìn)行收集。

3.其他云安全框架。歐洲網(wǎng)絡(luò)和信息安全研究所(ENISA)針對(duì)云安全問題提出一個(gè)云計(jì)算信息安全保障框架。針對(duì)企業(yè)信息安全框架，IBM提出一種云計(jì)算安全框架。針對(duì)大型數(shù)據(jù)中心，思科提出一種云數(shù)據(jù)中心安全框架，以防御外來攻擊對(duì)數(shù)據(jù)中心的威脅。

三、云計(jì)算安全模型

解決云計(jì)算安全問題需從技術(shù)、監(jiān)管、標(biāo)準(zhǔn)、法律多方面探索，涉及范圍非常廣泛。本節(jié)僅從技術(shù)層面提出一個(gè)參考性云計(jì)算安全模型如圖1所示，擬為云計(jì)算安全提供主要的技術(shù)支撐。圖1的云計(jì)算安全模型能夠?qū)aaS，PaaS、SaaS三類平臺(tái)都適用，主要包含以下幾方面安全技術(shù)。

圖1 云計(jì)算安全模型

(一)加密技術(shù)

加密技術(shù)是保護(hù)數(shù)據(jù)安全性的重要手段，通過加密相當(dāng)于為數(shù)據(jù)又增加了一道屏障。由于云計(jì)算環(huán)境多租戶的特定性質(zhì)，云計(jì)算加密與單租戶環(huán)境中所使用的加密技術(shù)是不同的。

當(dāng)云計(jì)算進(jìn)行數(shù)據(jù)存儲(chǔ)時(shí)，通常會(huì)使用一個(gè)虛擬私有存儲(chǔ)架構(gòu)。在把數(shù)據(jù)發(fā)送至云計(jì)算之前對(duì)其進(jìn)行加密處理，而當(dāng)數(shù)據(jù)發(fā)送回來后對(duì)其進(jìn)行解密;對(duì)于存儲(chǔ)在IaaS應(yīng)用程序中數(shù)據(jù)的基本加密操作，可以在實(shí)例中使用卷標(biāo)加密，并把數(shù)據(jù)保存在第二個(gè)加密卷標(biāo)中。

(二)數(shù)據(jù)保護(hù)

人們對(duì)數(shù)據(jù)安全的意識(shí)越來越強(qiáng)，而如何保證云中數(shù)據(jù)的安全性與私密性也是云計(jì)算安全重點(diǎn)要解決的問題。利用環(huán)和組進(jìn)行簽名加密的方法來實(shí)現(xiàn)數(shù)據(jù)匿名的存儲(chǔ)，以此來保障數(shù)據(jù)的安全性。也可以針對(duì)搜索引擎，提出數(shù)據(jù)的匿名搜索引擎，搜索雙方可以交換數(shù)據(jù)，但它們卻并不知道搜索雙方搜索的內(nèi)容，確保了安全性。

(三)虛擬化安全

作為云計(jì)算架構(gòu)實(shí)施的基礎(chǔ)，虛擬化安全是云計(jì)算安全的基礎(chǔ)。虛擬化將應(yīng)用系統(tǒng)的不同層面進(jìn)行隔離，并使硬件資源對(duì)用戶透明，同時(shí)實(shí)現(xiàn)了應(yīng)用的集中管理。

云計(jì)算通過虛擬化技術(shù)對(duì)物理資源進(jìn)行動(dòng)態(tài)部署與管理。虛擬機(jī)安全、虛擬網(wǎng)絡(luò)安全和Hypervisor安全都會(huì)對(duì)云計(jì)算安全產(chǎn)生直接影響。因此，虛擬化安全是確保云計(jì)算環(huán)境安全的重要舉措。

在虛擬化的安全研究中，IBM提出一種名為sHype的安全Hypervisor架構(gòu)，該架構(gòu)通過對(duì)虛擬機(jī)之間的信息流進(jìn)行訪問控制，在虛擬機(jī)與宿主機(jī)安全的情況下實(shí)現(xiàn)了資源共享。Flavor Lombardi提出了ACPS架構(gòu)，通過保護(hù)基礎(chǔ)硬件設(shè)施的完整性來提升虛擬化安全。Terra基于TVMM(可信虛擬機(jī)監(jiān)視器)構(gòu)建可信虛擬機(jī)平臺(tái)，并且在此平臺(tái)上同時(shí)運(yùn)行不同安全等級(jí)的應(yīng)用。T.Garfirkel等人提出一種名為L(zhǎng)ivewire的入侵檢測(cè)系統(tǒng)，該系統(tǒng)通過硬件頁(yè)保護(hù)機(jī)制進(jìn)行虛擬機(jī)內(nèi)核狀態(tài)的監(jiān)控。A，Seshadri等人提出SecVisor系統(tǒng)，從硬件出發(fā)，通過硬件內(nèi)存保護(hù)機(jī)制達(dá)到虛擬機(jī)安全性目標(biāo)。

(四)可信云計(jì)算

N.Santos針對(duì)云計(jì)算終端無法驗(yàn)證等問題，提出一種可信云計(jì)算架構(gòu)，在這個(gè)平臺(tái)上，用戶在IaaS提供商提供的封閉沙箱內(nèi)執(zhí)行，對(duì)外界威脅進(jìn)行隔離，確保虛擬機(jī)的安全運(yùn)行，同時(shí)該架構(gòu)提供用戶啟動(dòng)虛擬機(jī)之前驗(yàn)證基礎(chǔ)設(shè)施服務(wù)提供商的服務(wù)的安全性。S.Berger等人從云中的基礎(chǔ)設(shè)施出發(fā)，為云中的虛擬環(huán)境提供可信計(jì)算，增強(qiáng)了虛擬機(jī)運(yùn)行的安全性。

［1］劉 鵬.云計(jì)算［M］.北京:電子工業(yè)出版社，2011.

［2］王 鵬，黃華峰，曹 珂.云計(jì)算:中國(guó)未來的 IT戰(zhàn)略［M］.北京:人民郵電出版社，2010.

［3］陳 龍，肖 敏.云計(jì)算安全:挑戰(zhàn)與策略［J］.數(shù)字通信，2010，(6).