趙玉梅

（六盤水職業(yè)技術(shù)學(xué)院 貴州 六盤水 553001）

0 引言

隨著云計算的快速發(fā)展，越來越多的企業(yè)和個人選擇將數(shù)據(jù)和應(yīng)用遷移到云端［1］。云計算通過虛擬化技術(shù)，實現(xiàn)計算資源的彈性擴(kuò)展和按需使用，極大地提高了資源利用效率，降低了使用成本。然而，云計算也帶來了數(shù)據(jù)和隱私安全的新挑戰(zhàn)。在公共云環(huán)境下，用戶數(shù)據(jù)和應(yīng)用易受到攻擊和泄露，給企業(yè)和個人帶來重大損失。為此，云服務(wù)提供商和企業(yè)用戶迫切需要加強(qiáng)云平臺和云應(yīng)用的安全防護(hù)能力。本文將系統(tǒng)研究云計算環(huán)境下的數(shù)據(jù)和隱私安全問題，探討加密、訪問控制、基礎(chǔ)設(shè)施安全、數(shù)據(jù)備份與恢復(fù)、安全監(jiān)控等方面的安全防護(hù)技術(shù)和機(jī)制，以期為云用戶提供安全可靠的云服務(wù)。

1 云計算概念及面臨的安全及隱私威脅

云計算作為一種新型的信息技術(shù)服務(wù)模式，提供了動態(tài)可擴(kuò)展、虛擬化的資源，大大降低了用戶的使用成本，推動了互聯(lián)網(wǎng)時代技術(shù)和商業(yè)模式的變革［2］。從技術(shù)上講，云計算服務(wù)模式主要包括軟件即服務(wù)（software as a service， SaaS）、平臺即服務(wù)（platform as a service， PaaS）和基礎(chǔ)設(shè)施即服務(wù)（infrastructure as a service，IaaS）。以IaaS為例，云提供商利用服務(wù)器虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化等技術(shù)，將底層物理基礎(chǔ)設(shè)施資源如服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備等池化，并以統(tǒng)一的云管理平臺軟件為基礎(chǔ)，動態(tài)架構(gòu)出規(guī)模巨大的虛擬機(jī)集群、虛擬存儲池、虛擬網(wǎng)絡(luò)，最終以“基礎(chǔ)設(shè)施即服務(wù)”的形式對外開放。用戶只需要在云管理平臺上進(jìn)行申請，就可以在幾分鐘內(nèi)獲取成百上千臺規(guī)模的虛擬機(jī)資源，并只需按實際使用量進(jìn)行計費。

但是，云計算多租戶共享的開放特性也給用戶的信息安全帶來了新的挑戰(zhàn)?；谔摂M化技術(shù)實現(xiàn)資源池化的公有云，存在來自不同用戶的虛擬機(jī)共存于同一物理服務(wù)器的情況。這使得用戶較易受到基礎(chǔ)設(shè)施層面的攻擊，比如可以通過定制化的側(cè)信道攻擊在不觸發(fā)安全監(jiān)控的情況下獲取同一臺物理服務(wù)器上其他虛擬機(jī)的加密密鑰、敏感數(shù)據(jù)等，造成用戶隱私數(shù)據(jù)的泄露。根據(jù)安全公司Venafi 近期發(fā)布的調(diào)查報告，有超過30%的企業(yè)公有云用戶表示自己所面臨的云安全風(fēng)險主要來自該類攻擊。此外，由于用戶缺乏對云基礎(chǔ)設(shè)施的實際控制權(quán)限，使得攻擊者也將云提供商的基礎(chǔ)管理平臺作為目標(biāo)。黑客可以通過植入惡意代碼的方式遠(yuǎn)程入侵云管理平臺，在獲得足夠的權(quán)限后，可以進(jìn)一步對云基礎(chǔ)設(shè)施實施破壞，比如在管理平臺植入后門、對用戶虛擬機(jī)環(huán)境進(jìn)行入侵修改等。這種攻擊已經(jīng)多次在知名公有云提供商體系中被披露和發(fā)現(xiàn)。除此之外，利用云環(huán)境實現(xiàn)的分布式拒絕服務(wù)攻擊（distributed denial of service， DDoS）也對云網(wǎng)絡(luò)的可用性和攻擊防御能力提出了更高要求。

2 云計算環(huán)境下的信息安全與隱私保護(hù)機(jī)制

2.1 數(shù)據(jù)加密和訪問控制

為保證云計算環(huán)境下的數(shù)據(jù)安全與隱私，首要的是通過加密機(jī)制確保用戶敏感數(shù)據(jù)的保密性［3］。當(dāng)前主流的加密算法包括對稱加密算法和非對稱加密算法。對稱加密算法使用相同的密鑰進(jìn)行加密和解密，速度更快，但密鑰管理和分發(fā)復(fù)雜。非對稱加密算法使用公鑰－私鑰對，通信雙方各持有一把密鑰，安全性更好。云計算環(huán)境下，可以采用混合加密模式，即使用對稱算法加密用戶數(shù)據(jù)，再用訪問方的公鑰加密該對稱密鑰。這樣既保證了效率，也不會泄露私鑰。具體實現(xiàn)上，可在數(shù)據(jù)上傳云端前就在用戶本地完成加密處理。同時還需要基于訪問控制，精確授權(quán)何種用戶角色可以訪問敏感數(shù)據(jù)。主流的訪問控制模型包括自主訪問控制（discretionary access control，DAC）、強(qiáng)制訪問控制（mandatory access control， MAC）和基于角色的訪問控制（role-based access control， RBAC）等。RBAC 通過將權(quán)限與角色而不是用戶直接關(guān)聯(lián)，實現(xiàn)更好管理。在云平臺上可以實現(xiàn)細(xì)粒度的RBAC 策略，比如訪問控制模型可以表示為一個四元組（S，O，OP，U），表示主體S 可以在對象O 上進(jìn)行OP 操作。主體和對象可以是任意粒度的實體，如用戶或角色、數(shù)據(jù)塊或文件等。操作也可以是任意粒度的讀寫訪問權(quán)限，這樣可實現(xiàn)精確訪問控制。

在云存儲的數(shù)據(jù)完整性保護(hù)方面，需要使用數(shù)字簽名等方法防止存儲數(shù)據(jù)的非授權(quán)修改。數(shù)字簽名基于非對稱加密和哈希（Hash）算法實現(xiàn)，用戶數(shù)據(jù)的哈希值用私鑰加密作為簽名。數(shù)據(jù)接收方可以使用發(fā)送方公鑰驗證簽名，確保完整性。簽名驗證的數(shù)學(xué)表達(dá)如式（1）所示。

式（1）中，PUa表示發(fā)送方公鑰，D是原文數(shù)據(jù)，S是簽名，Ver 表示驗證函數(shù)，Hash 是哈希函數(shù)，Dec 表示解密。只有確保數(shù)據(jù)未被修改，EQUAL 結(jié)果才會為真。

2.2 安全的云基礎(chǔ)設(shè)施和網(wǎng)絡(luò)保護(hù)

云計算基于虛擬化技術(shù)動態(tài)管理大規(guī)模虛擬化資源，因此保護(hù)云基礎(chǔ)設(shè)施安全至關(guān)重要。一方面，需要確保虛擬機(jī)和虛擬網(wǎng)絡(luò)的隔離性，避免不同用戶的虛擬資源相互可見或訪問。比如，可通過物理服務(wù)器上的Intel VT-x 指令集下的擴(kuò)展頁表（extended page tables， EPT）功能加強(qiáng)虛擬機(jī)操作系統(tǒng)（guest operating system， Guest OS）和虛擬機(jī)管理程序之間的隔離。EPT 允許硬件直接處理來自虛擬存儲器（virtual memory， VM）的內(nèi)存訪問，無需虛擬化軟件參與，從而提高性能和安全性［4－5］。

另一方面，云管理平臺自身也面臨威脅。黑客可以試圖利用未補(bǔ)丁的漏洞、社會工程學(xué)等方式入侵云管理平臺，獲取控制其底層基礎(chǔ)設(shè)施資源的能力。這類攻擊往往具有廣度，能夠影響很多租戶和終端用戶。為此云平臺需要自動化安全管理和加固準(zhǔn)入機(jī)制，如主機(jī)入侵檢測與防護(hù)系統(tǒng)、安全審計與合規(guī)檢查等，確保及時發(fā)現(xiàn)和防范威脅。比如入侵檢測系統(tǒng)可以通過匹配主機(jī)操作日志與已知攻擊模式特征，區(qū)別合法和可疑行為；也可以通過機(jī)器學(xué)習(xí)構(gòu)建正常行為基線，檢測異于基線的異常活動。

在網(wǎng)絡(luò)安全方面，云平臺需要部署防火墻、入侵檢測與防御系統(tǒng)等對東西向流量進(jìn)行全面監(jiān)控，并與威脅情報服務(wù)集成，主動屏蔽已知攻擊源。此外，可采用軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)，通過編程手段將網(wǎng)絡(luò)基礎(chǔ)設(shè)施虛擬化，從而打造基于安全策略的動態(tài)可編程網(wǎng)絡(luò)。不僅有助于提高網(wǎng)絡(luò)管理效率，也有助于快速響應(yīng)安全事件。

2.3 數(shù)據(jù)備份和災(zāi)難恢復(fù)

為防止數(shù)據(jù)丟失，云平臺首先需要提供自動化的數(shù)據(jù)備份和災(zāi)難恢復(fù)能力。主流的備份方法包括完全備份、差異備份和增量備份。完全備份將數(shù)據(jù)集全部內(nèi)容備份；差異備份保存最近一次完全備份之后發(fā)生改變的數(shù)據(jù)；增量備份僅備份上次增量備份之后修改過的數(shù)據(jù)。為平衡存儲效率和恢復(fù)速度，實踐中常采用完全備份加增量備份模式。

其次，云平臺上的備份系統(tǒng)需要確保異地容災(zāi)能力。即便某一區(qū)域數(shù)據(jù)中心發(fā)生災(zāi)難，也能通過其他中心的備份進(jìn)行服務(wù)故障轉(zhuǎn)移和數(shù)據(jù)恢復(fù)。為最小化服務(wù)中斷，備份系統(tǒng)可采用A-B 站雙活模式。A、B 兩個站點互為主備，同時提供服務(wù)并實時同步數(shù)據(jù)，一旦A 站故障，B 站快速接管A 的服務(wù)訪問。該模式的可用性計算如式（2）所示。

式（2）中，Ud表示站點間專線的不可用率，Uh和Ur分別表示A、B 站點自身的不可用率。通過設(shè)計合理的冗余結(jié)構(gòu)，可以將云服務(wù)和數(shù)據(jù)的可用性最大化。最后，云平臺需要提供基于快照的備份恢復(fù)能力。當(dāng)面對惡意軟件數(shù)據(jù)損壞、誤操作數(shù)據(jù)丟失等突發(fā)情況時，用戶可以選擇恢復(fù)到某一歷史時間點的系統(tǒng)備份快照，實現(xiàn)業(yè)務(wù)連續(xù)性。

2.4 安全審計和監(jiān)控

為全面評估云平臺安全防護(hù)狀況，首先需要實施安全審計和監(jiān)控。安全審計主要檢查云平臺是否符合安全相關(guān)的監(jiān)管法規(guī)和行業(yè)標(biāo)準(zhǔn)。其中云安全聯(lián)盟發(fā)布的云控制矩陣提供了詳細(xì)的云安全審計框架，覆蓋數(shù)據(jù)安全、基礎(chǔ)設(shè)施安全管理、計算環(huán)境安全、業(yè)務(wù)連續(xù)性管理、運營安全、法律合規(guī)等多個領(lǐng)域，幫助用戶客觀評估公有云安全風(fēng)險。而安全監(jiān)控主要通過分析各類日志和告警數(shù)據(jù)，實現(xiàn)對云基礎(chǔ)設(shè)施、網(wǎng)絡(luò)流量、用戶訪問行為的7×24 h 實時監(jiān)測。除了檢測已知威脅，還需要通過機(jī)器學(xué)習(xí)和關(guān)聯(lián)分析實現(xiàn)對未知威脅和內(nèi)部威脅的識別。具體來說，可建立包含網(wǎng)絡(luò)連接日志、進(jìn)程執(zhí)行日志、系統(tǒng)調(diào)用日志、文件訪問日志在內(nèi)的多類型安全日志倉庫，利用機(jī)器學(xué)習(xí)算法探測異常行為模式。比如通過非監(jiān)督學(xué)習(xí)算法如局部異常因子（local outlier factor， LOF）算法檢測異于大多數(shù)正常模式的數(shù)據(jù)點。獲得安全事件告警后，可以觸發(fā)自動化響應(yīng)機(jī)制，迅速阻斷攻擊并啟動恢復(fù)流程。

其次，為支撐云上大數(shù)據(jù)應(yīng)用的安全分析需求，市場上已出現(xiàn)基于Hadoop、Spark 等大數(shù)據(jù)平臺構(gòu)建的可擴(kuò)展安全監(jiān)控和分析系統(tǒng)。它們可以高效存儲和處理每天產(chǎn)生的數(shù)十億條異構(gòu)安全日志數(shù)據(jù)，并提供交互分析、可視化等功能，助力安全團(tuán)隊優(yōu)化防御策略。這類系統(tǒng)通常采用Hadoop 分布式文件系統(tǒng)（Hadoop distributed file system，HDFS）彈性擴(kuò)展存儲能力，并建立數(shù)據(jù)湖統(tǒng)一管理不同來源的安全數(shù)據(jù)。另外還會使用流式計算框架（如Storm、Flink）實現(xiàn)對海量日志的實時分析。

最后，提供結(jié)構(gòu)化查詢語言和機(jī)器學(xué)習(xí)算法，進(jìn)行歷史數(shù)據(jù)的關(guān)聯(lián)分析和安全模型訓(xùn)練。比如，可收集每天數(shù)十億條的域名系統(tǒng)（domain name system， DNS）查詢?nèi)罩?，使用機(jī)器學(xué)習(xí)算法分析用戶和域名查詢模式，發(fā)現(xiàn)異常行為。再配合網(wǎng)絡(luò)連接日志，判斷是否存在僵尸網(wǎng)絡(luò)（botnet）或命令與控制（command and control， C2）攻擊?；蛘呤褂肧park SQL 對身份認(rèn)證失敗日志進(jìn)行關(guān)聯(lián)分析，找出潛在的用戶名暴力破解攻擊。這類大數(shù)據(jù)安全分析系統(tǒng)可以全面提高云環(huán)境的威脅檢測和響應(yīng)能力。

3 云計算環(huán)境下的信息安全與隱私保護(hù)實踐案例

亞馬遜作為全球領(lǐng)先的云計算服務(wù)提供商，在產(chǎn)品技術(shù)和運營管理等多個層面實踐云計算環(huán)境下的數(shù)據(jù)安全與隱私保護(hù)，經(jīng)驗值得借鑒。

首先，在底層基礎(chǔ)設(shè)施安全方面，亞馬遜利用自主研發(fā)的Nitro 系統(tǒng)替換傳統(tǒng)的虛擬化平臺，去除管理程序?qū)庸裘?，直接運行硬件虛擬機(jī)。Nitro 系統(tǒng)通過現(xiàn)場可編程邏輯門陣列（field programmable gate array， FPGA）實現(xiàn)網(wǎng)絡(luò)、存儲等資源的硬件虛擬化與加速，增強(qiáng)云主機(jī)性能之余也提升了安全性。具體來說，Nitro 系統(tǒng)可以做到0.2 ms 的存儲延遲，每秒轉(zhuǎn)發(fā)超過100 萬的數(shù)據(jù)包。此外，亞馬遜還通過信任的路線圖規(guī)劃，推進(jìn)安全計算、可信執(zhí)行環(huán)境等下一代可信基礎(chǔ)設(shè)施技術(shù)的創(chuàng)新與落地。

其次，在數(shù)據(jù)安全方面，亞馬遜提供“數(shù)據(jù)加密引擎”等多種加密服務(wù)，使客戶應(yīng)用系統(tǒng)無感知地實現(xiàn)數(shù)據(jù)的加密，高效保護(hù)云上數(shù)據(jù)的機(jī)密性。同時還提供基于角色和策略的精細(xì)訪問控制服務(wù)，確保用戶身份和敏感操作行為的可見性與審計性。亞馬遜的數(shù)據(jù)加密引擎每秒可以加密1 GB 的存儲數(shù)據(jù)。

最后，在安全運營與服務(wù)方面，亞馬遜通過其云平臺提供了強(qiáng)大的安全功能。亞馬遜云服務(wù)（Amazon Web Services， AWS）特別重視云平臺的安全性，為用戶提供了全面的安全保障措施。比如，AWS 提供了DDoS 防護(hù)服務(wù)，幫助客戶抵御大規(guī)模的分布式拒絕服務(wù)攻擊。同時，AWS 的Web 應(yīng)用防火墻可以幫助保護(hù)Web 應(yīng)用程序免受Web 層面的攻擊。此外，AWS 還提供主機(jī)安全解決方案，確保用戶的服務(wù)器安全運行。服務(wù)和工具的綜合應(yīng)用，使得AWS 在處理潛在的安全威脅方面具有強(qiáng)大的能力，有效保護(hù)了用戶的數(shù)據(jù)和應(yīng)用。

4 結(jié)語

隨著云計算在行業(yè)中的廣泛應(yīng)用，其數(shù)據(jù)安全和隱私保護(hù)問題日益受到關(guān)注。本文系統(tǒng)研究了云計算環(huán)境下面臨的安全威脅，并提出了多層面的安全防護(hù)對策，包括數(shù)據(jù)加密和訪問控制、安全的云基礎(chǔ)設(shè)施和網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)備份和災(zāi)難恢復(fù)、安全監(jiān)控與審計等。這些機(jī)制能有效保護(hù)云平臺的數(shù)據(jù)機(jī)密性、完整性和可用性。在實踐部分，分析了亞馬遜在云安全領(lǐng)域的技術(shù)創(chuàng)新與全球認(rèn)證情況。可見，只有持續(xù)構(gòu)建全面、自動化、智能化的云安全體系，讓用戶對云服務(wù)的安全性保障更有信心，云計算產(chǎn)業(yè)才能持續(xù)健康發(fā)展。未來還需要進(jìn)一步加強(qiáng)法規(guī)與標(biāo)準(zhǔn)建設(shè)，促進(jìn)服務(wù)提供商、用戶和監(jiān)管部門形成云安全生態(tài)共同體。