1 什么是云計(jì)算安全？

在互聯(lián)網(wǎng)快速發(fā)展的今天，網(wǎng)絡(luò)的安全是不可回避的問題，尤其是各種安全威脅對(duì)業(yè)務(wù)系統(tǒng)的潛在危害逐漸放大的今天，任何IT系統(tǒng)的建設(shè)都很難忽視安全問題的存在。而各種“私有云”或是“公有云”的數(shù)據(jù)中心建設(shè)，安全、高效的業(yè)務(wù)交付也是其成功的基礎(chǔ)和必備的要求。每一刻建設(shè)的環(huán)節(jié)，包括物理環(huán)境的搭建過程、云計(jì)算業(yè)務(wù)系統(tǒng)的構(gòu)建、服務(wù)器存儲(chǔ)資源池的部署，以及系統(tǒng)的運(yùn)營(yíng)操作等，都是安全風(fēng)險(xiǎn)的潛在制造者和影響系統(tǒng)安全交付的因素。來自Forrester Consulting 2011年的調(diào)查報(bào)告顯示（如圖1所示），在云計(jì)算的部署過

程中，對(duì)于安全的擔(dān)憂已經(jīng)成為用戶選擇云計(jì)算服務(wù)時(shí)的重要參考。

圖1 云計(jì)算部署過程中用戶關(guān)注點(diǎn)調(diào)查

作為處于云計(jì)算產(chǎn)業(yè)鏈中的主要參與者，企業(yè)客戶、云計(jì)算服務(wù)商、云計(jì)算設(shè)備供應(yīng)商等對(duì)于云安全都有自身的理解：對(duì)服務(wù)商而言，如何建設(shè)安全的云計(jì)算環(huán)境，如何給客戶提供高安全性的SLA保證是其關(guān)注的重點(diǎn)；對(duì)于企業(yè)客戶而言，其關(guān)注的是自身業(yè)務(wù)系統(tǒng)保存或使用的核心數(shù)據(jù)的安全，這些數(shù)據(jù)一旦泄漏或者丟失將損害到企業(yè)的核心競(jìng)爭(zhēng)力。可以看出，盡管各自關(guān)注的視角有所不同，但是其本質(zhì)都是在關(guān)注整個(gè)云計(jì)算業(yè)務(wù)系統(tǒng)的安全，這也是我們對(duì)于云安全的定義，接下來我們將基于這個(gè)角度對(duì)云計(jì)算的安全風(fēng)險(xiǎn)進(jìn)行分析。

2 云計(jì)算環(huán)境下的安全風(fēng)險(xiǎn)

在云計(jì)算的建設(shè)過程中，每個(gè)建設(shè)環(huán)節(jié)都可能導(dǎo)致安全問題，諸如物理機(jī)房環(huán)境的安全、網(wǎng)絡(luò)的安全、應(yīng)用系統(tǒng)的安全、數(shù)據(jù)存儲(chǔ)的安全、管理平臺(tái)的安全等。拋掉物理環(huán)境的安全不談，其他幾個(gè)環(huán)節(jié)可能導(dǎo)致的安全風(fēng)險(xiǎn)可以歸結(jié)為以下幾個(gè)方面。

1）用戶數(shù)據(jù)泄露或丟失

這是目前云計(jì)算用戶最為擔(dān)心的安全風(fēng)險(xiǎn)，也是用戶數(shù)據(jù)泄露的重要途徑。用戶數(shù)據(jù)在云計(jì)算環(huán)境中進(jìn)行傳輸和存儲(chǔ)時(shí)，用戶本身對(duì)于自身數(shù)據(jù)在云中的安全風(fēng)險(xiǎn)并沒有實(shí)際的控制能力，數(shù)據(jù)安全完全依賴于服務(wù)商，如果服務(wù)商本身對(duì)于數(shù)據(jù)安全的控制存在疏漏，則很可能導(dǎo)致數(shù)據(jù)泄露或丟失。現(xiàn)階段可能導(dǎo)致安全風(fēng)險(xiǎn)的有以下幾種典型情況：

由于服務(wù)器的安全漏洞導(dǎo)致黑客入侵造成的用戶數(shù)據(jù)丟失；

由于虛擬化軟件的安全漏洞造成的用戶數(shù)據(jù)被入侵的風(fēng)險(xiǎn)；

數(shù)據(jù)在傳輸過程中沒有進(jìn)行加密導(dǎo)致信息泄露；

加密數(shù)據(jù)傳輸?shù)�是密鑰管理存在缺失導(dǎo)致數(shù)據(jù)泄露；

不同用戶的數(shù)據(jù)傳輸之間沒有進(jìn)行有效隔離導(dǎo)致數(shù)據(jù)被竊��；

用戶數(shù)據(jù)在云中存儲(chǔ)沒有進(jìn)行容災(zāi)備份等。

從這個(gè)角度看，云計(jì)算服務(wù)商在向用戶推薦云計(jì)算服務(wù)時(shí)，需要和企業(yè)用戶簽署服務(wù)質(zhì)量保證協(xié)議，并從技術(shù)和管理兩個(gè)方面向用戶進(jìn)行安全保證，以減輕用戶對(duì)于數(shù)據(jù)安全的擔(dān)憂。

2）用戶應(yīng)用不能安全交付

云計(jì)算服務(wù)商在運(yùn)行維護(hù)過程中，需要對(duì)整個(gè)云計(jì)算中心的服務(wù)器存儲(chǔ)網(wǎng)絡(luò)等資源進(jìn)行運(yùn)維管理。在這個(gè)過程中，任何運(yùn)維管理環(huán)節(jié)的問題，都可能對(duì)用戶的應(yīng)用造成損害，如因?yàn)榕渲梅矫娴氖韬�，造成用戶的虛擬化計(jì)算資源不足以正常運(yùn)行業(yè)務(wù)系統(tǒng)；因?yàn)榫W(wǎng)絡(luò)安全的配置錯(cuò)誤導(dǎo)致互聯(lián)網(wǎng)連接不通；因?yàn)榉��?wù)商對(duì)公共安全風(fēng)險(xiǎn)如DDOS攻擊防護(hù)不足導(dǎo)致用戶對(duì)外的業(yè)務(wù)交付出現(xiàn)故障等。

3）內(nèi)部人員數(shù)據(jù)竊取

企業(yè)的核心數(shù)據(jù)在云計(jì)算環(huán)境中的存儲(chǔ)，離不開管理員的操作和審核，如果服務(wù)商內(nèi)部的管理出現(xiàn)疏漏，將可能導(dǎo)致內(nèi)部人員私自竊取用戶數(shù)據(jù)，從而對(duì)用戶的利益造成損害。在這種情況下，除了通過技術(shù)的手段加強(qiáng)數(shù)據(jù)操作的日志審計(jì)之外，嚴(yán)格的管理制度和不定期的安全檢查十分必要。云計(jì)算服務(wù)供應(yīng)商有必要對(duì)工作人員的背景進(jìn)行調(diào)查并制定相應(yīng)的規(guī)章制度避免內(nèi)部人員“作案”，并保證系統(tǒng)具備足夠的安全操作的日志審計(jì)能力，在保證用戶數(shù)據(jù)安全的前提下，滿足第三方審計(jì)單位的合規(guī)性審計(jì)要求。

4）用戶身份認(rèn)證的安全

云計(jì)算服務(wù)商在對(duì)外提供服務(wù)的過程中，需要同時(shí)應(yīng)對(duì)多租戶的運(yùn)行環(huán)境，保證不同用戶只能訪問企業(yè)本身的數(shù)據(jù)、應(yīng)用程序和存儲(chǔ)資源。在這種情況下，運(yùn)營(yíng)商必須要引入嚴(yán)格的身份認(rèn)證機(jī)制，不同的云計(jì)算租戶有各自的帳號(hào)密碼管理機(jī)制。如果運(yùn)營(yíng)商的身份認(rèn)證管理機(jī)制存在缺陷，或者運(yùn)營(yíng)商的身份認(rèn)證管理系統(tǒng)存在安全漏洞，則可能導(dǎo)致企業(yè)用戶的帳號(hào)密碼被仿冒，從而使得“非法”用戶堂而皇之的對(duì)企業(yè)數(shù)據(jù)進(jìn)行竊取。因此如何保證不同企業(yè)用戶的身份認(rèn)證安全，是保證用戶數(shù)據(jù)安全的第一道屏障。

3 云計(jì)算環(huán)境下安全防護(hù)的差異化分析

基于云計(jì)算環(huán)境下的安全風(fēng)險(xiǎn)分析，在云計(jì)算安全的建設(shè)過程中，需要針對(duì)這些安全風(fēng)險(xiǎn)采取有針對(duì)性的措施進(jìn)行防護(hù)。和傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)方式相比，云計(jì)算環(huán)境下的安全建設(shè)有其明顯的特點(diǎn)，主要存在以下幾個(gè)方面的差異。

3.1 云計(jì)算環(huán)境下一般性安全風(fēng)險(xiǎn)的特點(diǎn)

在云計(jì)算的建設(shè)過程中，盡管其在業(yè)務(wù)模型或者服務(wù)器虛擬化等方面有了革命性的變化，但是其應(yīng)用系統(tǒng)本身以及用戶訪問的行為并沒有發(fā)生本質(zhì)的變化：服務(wù)器業(yè)務(wù)系統(tǒng)的安全交付、用戶訪問的安全隔離和控制、網(wǎng)絡(luò)本身對(duì)DDoS等惡意流量的攻擊防護(hù)、病毒蠕蟲、惡意代碼和釣魚網(wǎng)站等安全威脅仍然存在。因此，云計(jì)算的安全防護(hù)首先需要考慮的是如何對(duì)這部分常規(guī)安全風(fēng)險(xiǎn)進(jìn)行防護(hù)。從這個(gè)角度看，傳統(tǒng)的防火墻和入侵防御等產(chǎn)品形態(tài)仍然適合，而且涉及到的技術(shù)支撐和設(shè)備的防護(hù)部署思路可以繼續(xù)借鑒。當(dāng)然，在云計(jì)算環(huán)境下，因?yàn)橄到y(tǒng)流量模型的相對(duì)集中，對(duì)于安全設(shè)備的性能和擴(kuò)展性等方面有了一些新的要求，系統(tǒng)需要支持更高性能的安全防護(hù)，尤其是當(dāng)安全作為一種服務(wù)對(duì)外提供的環(huán)境下，更需要安全資源池在高性能可擴(kuò)展方面提供相應(yīng)的保障。

3.2 虛擬化技術(shù)引發(fā)的新的安全風(fēng)險(xiǎn)

服務(wù)器虛擬化是現(xiàn)階段云計(jì)算數(shù)據(jù)中心實(shí)施最為廣泛的技術(shù)，基于服務(wù)器的虛擬化技術(shù)，可以將單臺(tái)物理服務(wù)器虛擬出多臺(tái)虛擬機(jī)并獨(dú)立安裝各自的操作系統(tǒng)和應(yīng)用程序，從而有效提升服務(wù)器本身的利用效率。在這種模型下該虛擬化技術(shù)將可能導(dǎo)致以下三個(gè)方面的新安全風(fēng)險(xiǎn)，并進(jìn)而影響到單個(gè)物理服務(wù)器或全體虛擬機(jī)的運(yùn)行安全。

1）虛擬化軟件各種底層應(yīng)用程序的安全漏洞。

以VMware、Citrix和微軟的虛擬化應(yīng)用程序ESX/XEN/Hyper-V為代表的虛擬化應(yīng)用程序本身可能存在的安全漏洞將影響到整個(gè)物理主機(jī)的安全。黑客在利用漏洞入侵到主機(jī)系統(tǒng)之后，可以對(duì)整個(gè)主機(jī)上的虛擬機(jī)進(jìn)行任意的配置破壞，從而導(dǎo)致系統(tǒng)不能對(duì)外提供業(yè)務(wù)，或者是將相關(guān)數(shù)據(jù)進(jìn)行竊取。同時(shí)，針對(duì)以vCenter為代表的虛擬機(jī)配置管理程序，考慮到其涉及到全部虛擬機(jī)的安全，因此針對(duì)這類管理平臺(tái)軟件的安全漏洞攻擊，也是新的安全風(fēng)險(xiǎn)。

2）虛擬機(jī)應(yīng)用程序的安全漏洞。

這些應(yīng)用程序是云服務(wù)交付的核心組成，包括Web前端的應(yīng)用程序、各種中間件應(yīng)用程序及數(shù)據(jù)庫程序等，即使在傳統(tǒng)網(wǎng)絡(luò)安全環(huán)境下，他們?nèi)匀粫?huì)因?yàn)榫幊碳夹g(shù)的缺陷而存在多個(gè)安全漏洞，在云計(jì)算環(huán)境下，這些安全漏洞會(huì)繼續(xù)存在，典型如各種Web會(huì)話控制漏洞、會(huì)話劫持漏洞及各種注入攻擊漏洞。同時(shí)為了適應(yīng)或使用虛擬化環(huán)境下的各種API管理接口，也可能產(chǎn)生一些新的安全漏洞。

3.3 云計(jì)算虛擬機(jī)流量交換的安全新風(fēng)險(xiǎn)

在虛擬化環(huán)境下，單臺(tái)物理服務(wù)器上可以虛擬化出多個(gè)完全獨(dú)立的虛擬機(jī)并運(yùn)行不同的操作系統(tǒng)和應(yīng)用程序，各虛擬機(jī)之間可能存在直接的二層流量交換，而這種二層交換并不需要經(jīng)過外置的二層交換機(jī)，管理員對(duì)于該部分流量既不可控也不可見，從而面臨新的問題（如圖2所示）：

1）管理員如何判斷VM虛擬機(jī)之間的訪問是否符合預(yù)定的安全策略，如何實(shí)現(xiàn)對(duì)這些VM之間的流量訪問進(jìn)行允許或禁止的安全策略設(shè)置？

2）如果該VM之間的流量互訪被允許，如何判斷這些訪問流量是否存在攻擊行為？是否存在針對(duì)WEB應(yīng)用層安全漏洞的攻擊？云計(jì)算環(huán)境下的安全防護(hù)需要有針對(duì)性的解決方案。

圖2 虛擬機(jī)流量交換安全風(fēng)險(xiǎn)示意圖

3.4 云的終端安全接入及訪問控制的風(fēng)險(xiǎn)

傳統(tǒng)的網(wǎng)絡(luò)安全模型中，針對(duì)網(wǎng)絡(luò)終端用戶的安全接入和訪問控制也有成熟的解決方案，但是在云計(jì)算環(huán)境下，對(duì)于云端用戶的安全接入和訪問控制，出現(xiàn)了一些新的要求，特別是在IaaS的服務(wù)模型出現(xiàn)后，服務(wù)商需要為每個(gè)用戶提供自助服務(wù)管理界面，需要針對(duì)不同企業(yè)或類型的租戶提供差異化的用戶身份認(rèn)證管理授權(quán)策略，確保“合法”的用戶訪問正確的服務(wù)器，同時(shí)也需要在用戶訪問行為的日志記錄和安全事件的報(bào)告分析方面提供差異化的解決方案，為此參與該解決方案的用戶認(rèn)證網(wǎng)關(guān)、AAA認(rèn)證授權(quán)平臺(tái)在相關(guān)的多實(shí)例多域支持方面有更加嚴(yán)格的要求。薄弱的用戶驗(yàn)證機(jī)制，或者是單因素的用戶密碼驗(yàn)證很可能產(chǎn)生安全隱患，而云自助服務(wù)管理門戶的潛在安全漏洞又將導(dǎo)致各種未經(jīng)授權(quán)的非法訪問，從而產(chǎn)生新的安全風(fēng)險(xiǎn)。

結(jié)束語

在建設(shè)云計(jì)算的過程中，只要分析清楚當(dāng)前環(huán)境中可能存在的安全風(fēng)險(xiǎn)，并通過技術(shù)和管理的手段，制定相應(yīng)的安全建設(shè)的框架，就可以最大程度的實(shí)現(xiàn)云計(jì)算環(huán)境的系統(tǒng)安全，保證云計(jì)算業(yè)務(wù)的安全交付。