?

云計算安全體系技術(shù)框架探索

毛沖

（江西廣播電視大學(xué)，江西南昌330046）

摘要：在現(xiàn)階段，隨著云計算廣泛運用于現(xiàn)代社會生產(chǎn)實踐中，如何保障云計算平臺自身安全成為一個亟待解決的問題。從云計算的相關(guān)概念出發(fā)，簡單闡述了云計算下網(wǎng)絡(luò)安全技術(shù)運用的意義，并且對其現(xiàn)狀進行了系統(tǒng)、全面的分析。希望可以為云計算平臺安全技術(shù)體系的建設(shè)，提供一個有益的參考和借鑒。

關(guān)鍵詞：云計算；安全威脅；安全體系；技術(shù)框架；實現(xiàn)方法

前言

如今越來越豐富的市場數(shù)據(jù)，正在打消人們對于“云”概念的懷疑。越來越多的成功部署例，表明云計算不再是漂浮在頭頂上一團虛無縹緲的水氣。目前，對云計算的定義和特點、應(yīng)用等存在各種不同的看法和流派，較為公認(rèn)的關(guān)于云計算描述是美國技術(shù)和標(biāo)準(zhǔn)研究院（NIST）的五個關(guān)鍵特征，按需的自服務(wù)、寬帶接入、虛擬池化的資源、快速彈性架構(gòu)、可測量的服務(wù)。［1］

隨著云計算的部署和實施，云計算服務(wù)的提供者需要考慮一個亟待解決的問題，即如何在保障云計算平臺自身安全的基礎(chǔ)上，更好地為客戶提供服務(wù)。本文將針對這個問題，給出一種云計算安全技術(shù)體系框架，旨在為云計算平臺安全技術(shù)體系的建設(shè)，提供一個有益的參考和借鑒。

1　云計算面臨的主要安全威脅

一般而言，要解決安全問題，應(yīng)該先正確的識別其安全威脅。云安全聯(lián)盟CSA于2010年發(fā)布云計算領(lǐng)域的7個安全威脅，獲得了廣泛的引用和認(rèn)可，相關(guān)分析闡述如下：

1.1云計算的濫用、惡用、拒絕服務(wù)攻擊

多年來，DDOS一直都是互聯(lián)網(wǎng)的一大威脅。而在云計算時代，許多企業(yè)會需要一項或多項服務(wù)保持7×24小時的可用性，在這種情況下這個威脅顯得尤為嚴(yán)重。DDoS引起的服務(wù)停用會讓服務(wù)提供商失去客戶，還會給按照使用時間和磁盤空間為云服務(wù)付費的用戶造成慘重?fù)p失。雖然攻擊者可能無法完全摧垮服務(wù)，但是“還是可能讓計算資源消耗大量的處理時間，以至于對提供商來說運行成本大大提高，只好被迫自行關(guān)掉服務(wù)。”

1.2不安全的接口和API

API對一般云服務(wù)的安全性和可用性來說極為重要。企業(yè)和第三方因而經(jīng)常在這些接口的基礎(chǔ)上進行開發(fā)，并提供附加服務(wù)。CSA在報告中表示：“這為接口管理增加了復(fù)雜度。由于這種做法會要求企業(yè)將登錄資料交給第三方，以便相互聯(lián)系，因此其也加大了風(fēng)險。”

1.3惡意的內(nèi)部員工

不懷好意的內(nèi)部人員，這些人可能是在職或離任的員工、合同工或者業(yè)務(wù)合作伙伴。他們會不懷好意地訪問網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)。在云服務(wù)設(shè)計不當(dāng)?shù)膱鼍跋?，不懷好意的?nèi)部人員可能會造成較大的破壞。對于云計算服務(wù)而言，有權(quán)限、有能力接觸并處理用戶數(shù)據(jù)的人員范圍進一步擴大，這種訪問權(quán)限范圍的擴大，增加了惡意的“內(nèi)部員工”濫用數(shù)據(jù)和服務(wù)、甚至實施犯罪的可能性。在云服務(wù)提供商完全對數(shù)據(jù)安全負(fù)責(zé)的場合下，權(quán)限控制在保證數(shù)據(jù)安全方面有著很大作用。CSA方面認(rèn)為：“就算云計算服務(wù)商實施了加密技術(shù)，如果密鑰沒有交由客戶保管，那么系統(tǒng)仍容易遭到不懷好意的內(nèi)部人員攻擊?！?/p>

1.4共享技術(shù)產(chǎn)生的問題

資源的虛擬池化和共享是云計算的根本，但是這種共享并不是沒有代價的。云服務(wù)提供商經(jīng)常共享基礎(chǔ)設(shè)施、平臺和應(yīng)用程序，并以一種靈活擴展的方式來交付服務(wù)。CSA在報告中表示：“共享技術(shù)的安全漏洞很有可能存在于所有云計算的交付模式中，無論構(gòu)成數(shù)據(jù)中心基礎(chǔ)設(shè)施的底層部件(如處理器、內(nèi)存和GPU等)是不是為多租戶架構(gòu)(IaaS)、可重新部署的平臺(PaaS)或多用戶應(yīng)用程序(SaaS)提供了隔離特性?！?/p>

1.5數(shù)據(jù)泄漏

要是多租戶云服務(wù)數(shù)據(jù)庫設(shè)計不當(dāng)，哪怕某一個用戶的應(yīng)用程序只存在一個漏洞，都可以讓攻擊者獲取這個用戶的數(shù)據(jù)，而且還能獲取其他用戶的數(shù)據(jù)。要應(yīng)對數(shù)據(jù)丟失和數(shù)據(jù)泄露方面的威脅，難就難在其有可能造成“拆東墻補西墻”般的效果。CSA報告認(rèn)為：“你落實到位的措施可能可以緩解一種威脅，但是會加大遭遇另一種威脅的風(fēng)險?！庇脩艨梢詫?shù)據(jù)進行加密，以減小泄露的風(fēng)險，不過一旦用戶丟失了加密密鑰，就再也無法查看數(shù)據(jù)了。反過來說，如果用戶決定對數(shù)據(jù)進行異地備份以減小數(shù)據(jù)丟失風(fēng)險，卻就又加大了數(shù)據(jù)泄露的幾率。

1.6賬號和服務(wù)劫持

CSA認(rèn)為，云計算在這方面增添了一個新的威脅。如果黑客獲取了企業(yè)的登錄資料，其就有可能竊聽相關(guān)活動和交易，并操縱數(shù)據(jù)、返回虛假信息，將企業(yè)客戶引到非法網(wǎng)站。

1.7未知的風(fēng)險場景

由于技術(shù)發(fā)展的不平衡，以及云計算服務(wù)商和用戶之間的信息不對稱性，使得云計算的用戶處在大量的未知安全風(fēng)險中。當(dāng)然，云計算面臨的安全威脅還有很多，比如大量迅猛涌現(xiàn)的Web安全漏洞、潛在的合同糾紛和法律訴訟等等，此處不再贅述。

2　云計算平臺安全技術(shù)體系框架

依據(jù)云安全聯(lián)盟（CSA）的觀點［2］：IaaS是所有云服務(wù)的基礎(chǔ)，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上；在不同云服務(wù)模型中，提供商和用戶的安全職責(zé)有著很大的不同。具體來說，IaaS提供商負(fù)責(zé)解決物理安全、環(huán)境安全和虛擬化安全這些安全控制，而用戶則負(fù)責(zé)與IT系統(tǒng)（事件）相關(guān)的安全控制，包括操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；PaaS提供商負(fù)責(zé)物理安全、環(huán)境安全、虛擬化安全和操作系統(tǒng)等的安全，而用戶則負(fù)責(zé)應(yīng)用和數(shù)據(jù)的安全；SaaS提供商不僅負(fù)責(zé)物理和環(huán)境安全，還必須解決基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)相關(guān)的安全控制。

此處，我們給出一種云計算平臺安全技術(shù)體系框架，如圖1所示。

圖1　云計算平臺安全技術(shù)體系框架

3　云計算安全體系在ICT云平臺中的實踐

3.1建設(shè)背景

ICT云平臺將為客戶業(yè)務(wù)應(yīng)用系統(tǒng)提供統(tǒng)一的硬件平臺、網(wǎng)絡(luò)資源、安全保障和運維服務(wù)，所有平臺和網(wǎng)絡(luò)由云平臺統(tǒng)一提供、統(tǒng)一托管、統(tǒng)一維護，從而加強資源共享，減少重復(fù)建設(shè)，營造共建共享、互聯(lián)互通、綜合應(yīng)用的網(wǎng)絡(luò)平臺的建設(shè)及運行環(huán)境。

3.2ICT云平臺現(xiàn)狀

目前ICT系統(tǒng)組網(wǎng)結(jié)構(gòu)如下圖所示：

圖2　ICT系統(tǒng)組網(wǎng)結(jié)構(gòu)

3.3ICT云平臺安全建設(shè)思路

根據(jù)前文所述云計算所面臨的安全風(fēng)險，同時結(jié)合現(xiàn)有網(wǎng)絡(luò)拓?fù)?，在?gòu)建云計算平臺安全架構(gòu)時，應(yīng)該充分結(jié)合業(yè)務(wù)特點來系統(tǒng)地進行規(guī)劃，考慮資源池外圍物理實體以及資源池虛擬化平臺環(huán)境的各類安全需求和特性，從而達(dá)到各類安全產(chǎn)品、安全管理、整體安全策略的統(tǒng)一，發(fā)揮最大的效率。解決思路如下：

1)安全防護系統(tǒng)：入侵檢測、流量清洗和阻止DDoS攻擊；

2)防護設(shè)備提供虛擬補丁,保障平臺和業(yè)務(wù)系統(tǒng)持續(xù)運行;

3)服務(wù)器主機健康性檢查；

4)數(shù)據(jù)庫日志監(jiān)控，防止對數(shù)據(jù)庫的非法操作；

5)系統(tǒng)漏洞掃描和安全性評估；

6)網(wǎng)頁掛馬檢測；

7)對文件的細(xì)粒度的訪問控制體系；

8)可審計和可追溯系統(tǒng)；

9)應(yīng)用進程保護與數(shù)據(jù)私密性保護系統(tǒng)；

10)在系統(tǒng)建設(shè)完成之后，對網(wǎng)絡(luò)與信息安全產(chǎn)品與方案進行評測。

3.4ICT云平臺安全設(shè)計

針對不同的網(wǎng)絡(luò)邊界設(shè)計如下分層防護設(shè)計

圖3　分層防護設(shè)計圖

3.5ICT云平臺安全防護部署思考

訪問控制系統(tǒng)的安全目標(biāo)是將云平臺與不可信任域進行有效地隔離與訪問授權(quán)，訪問控制系統(tǒng)應(yīng)根據(jù)各業(yè)務(wù)的安全級別要求和全網(wǎng)安全策略控制出入網(wǎng)絡(luò)的信息流，并且系統(tǒng)本身具有較強的抗攻擊能力。

訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。

安全域的邊界防護和訪問控制通過部署高性能的下一代防火墻來實現(xiàn)，下一代防火墻比傳統(tǒng)狀態(tài)檢測防火墻的優(yōu)勢在于，可以基于應(yīng)用層的攻擊行為分析和防護，通過對江西移動各業(yè)務(wù)平臺的業(yè)務(wù)數(shù)據(jù)流進行篩選分析，制定嚴(yán)格的區(qū)域邊界防護策略，實現(xiàn)對安全域的邊界防護和訪問控制，是云平臺的第一道安全防線。

1)核心交換域部署流量清洗中心

ICT云平臺因其業(yè)務(wù)的特殊性，在互聯(lián)網(wǎng)出口部署DDOS攻擊防護平臺，可以在業(yè)務(wù)系統(tǒng)遭受DDOS攻擊初期進行快速預(yù)警，在不影響正常業(yè)務(wù)的前提下，清洗掉異常流量，并在檢測平臺確認(rèn)攻擊事件后，迅速實施防護干預(yù)。

2)核心生產(chǎn)域部署Web應(yīng)用防火墻

ICT云平臺一般都是采用Web的方式來對外提供各類服務(wù)，特別是在Web 2.0的技術(shù)趨勢下，75％以上的攻擊都瞄準(zhǔn)了網(wǎng)站（Web）。這些攻擊可能導(dǎo)致資源池平臺服務(wù)提供商遭受聲譽和經(jīng)濟損失，可能造成惡劣的社會影響。Web應(yīng)用防護技術(shù)通過深入分析和解析HTTP的有效性、提供安全模型只允許已知流量通過、應(yīng)用層規(guī)則、基于會話的保護，可檢測應(yīng)用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護資源池平臺的Web服務(wù)器，確保資源池平臺Web應(yīng)用和服務(wù)免受侵害。

與傳統(tǒng)防火墻/IPS系統(tǒng)相比較，Web應(yīng)用防護技術(shù)將提供一種安全運維控制手段，基于對HTTP/HTTPS流量的雙向分析，為Web應(yīng)用提供實時的防護。

通過已有Web漏洞掃描系統(tǒng)（WVSS）與Web應(yīng)用防護系統(tǒng)可以實現(xiàn)安全聯(lián)動，第一時間識別安全風(fēng)險，并及時更新Web應(yīng)用防護策略，實現(xiàn)虛擬補丁功能。

Web應(yīng)用防護技術(shù)將以一個可閉環(huán)又可循環(huán)的方式去降低潛在的威脅，對于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事后的彌補，形成環(huán)環(huán)相扣的動態(tài)安全防護。

3)身份認(rèn)證

通過部署在接入維護域的堡壘機，對來自移動內(nèi)部、第三方的運維人員統(tǒng)一進行身份認(rèn)證、帳號分配、權(quán)限授權(quán)，主動實現(xiàn)對人員、帳號、資產(chǎn)、權(quán)限和操作的關(guān)聯(lián)性管理，對運維過程實現(xiàn)可控可管，是云平臺的第三道安全防線，并同時滿足集團規(guī)范中對系統(tǒng)接入安全的要求。

4)全網(wǎng)安全審計

通過在核心交換區(qū)部署安全審計，對核心應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器進行行為審計，可以有效掌握網(wǎng)絡(luò)安全狀態(tài)，預(yù)防敏感涉密信息外泄，實現(xiàn)對內(nèi)部網(wǎng)絡(luò)信息的整體智能關(guān)聯(lián)分析、評估、調(diào)查及安全事件的準(zhǔn)確跟蹤定位，為整體安全策略的制定提供權(quán)威可靠的支持。

5)頁面防篡改

通過在web服務(wù)器系統(tǒng)上部署web防火墻主機版(HWAF),可有效的防止頁面文件被惡意篡改,通過核心內(nèi)嵌技術(shù),直接在服務(wù)器框架接口上進行過濾,防止新型的SQL注入和跨站攻擊,從而實現(xiàn)了ICT云平臺從內(nèi)到外完整的防護措施.

4　總結(jié)

本文在分析了云計算架構(gòu)和其面臨的主要安全威脅，并給出了一種云計算安全技術(shù)體系框架，希望可以為云計算平臺安全技術(shù)體系的建設(shè)，提供一個有益的參考和借鑒。

參考資料：

［1］The NIST Definition of Cloud Computing［EB/OL］http: //csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

［2］CSA. Security Guidance for Critical Areas of Focus in Cloud Computing V2.1［EB/OL］http://www.cloudsecurityalliance.org/csaguide.pdf

［3］CSA. Top Threats to Cloud Computing V1.0［EB/OL］http://www.cloudsecurityalliance.org/topthreats/csathreats. v1.0.pdf

責(zé)任編輯：羅義

[作者簡介]毛沖（1983-），男，江西南昌人，講師，碩士，研究方向：網(wǎng)絡(luò)技術(shù)。

[收稿日期]2015-1-07

中圖分類號：TP3

文獻標(biāo)識碼：A

文章編號：1008-3537（2015）02-0086-04