云计算安全体系技术框架研究

在现阶段，随着我国计算机的迅速发展和普及，被定义为一种新的互联网计算机技术的云计算慢慢凸显出来，广泛运用于现代社会生产实践中。

一、前言

如今越来越丰富的市场数据，正在打消人们对于“云”概念的怀疑。越来越多的成功部署案例，表明云计算不再是漂浮在头顶上一团虚无缥缈的水气。目前，对云计算的定义和特点、应用等存在各种不同的看法和流派，较为公认的一个云计算描述是美国技术和标准研究院（NIST）的五个关键特征，按需的自服务、宽带接入、虚拟池化的资源、快速弹性架构、可测量的服务。

随着云计算的部署和实施，云计算服务的提供者需要考虑一个亟待解决的问题，即如何在保障云计算平台自身安全的基础上，更好的为客户提供服务。

二、云计算面临的主要安全威胁

一般而言，要解决安全问题，应该先正确的识别其安全威胁。云安全联盟CSA在2010年3月份发表的研究成果一一云计算的七大威胁，获得了广泛的引用和认可，相关分析阐述如下:

2.1 云计算的滥用、恶用、拒绝服务攻击

一是针对云计算服务的拒绝服务攻击，会导致整个平台的不可用；二是利用云计算的强大服务能力，对其他系统发起的攻击将是致命的，云计算服务很容易成为溢用、恶意使用服务的温床，在2010年 Defcon大会上， David Bryan公开演示了，如何在 Amazon的EC2云计算服务平台上，以6美元的成本对目标网站发起致命的拒绝服务攻击。另外，利用云计算服务来破解密码、构建僵尸网络等恶意使用案例也屡有报道

2.2 不安全的接口和API

云计算服务商需要提供大量的网络接口和API，整合上下游、发展业务伙伴、甚至直接提供业务。但是，从业界的安全实践来看，开发过程的安全测试、运行过程中的渗透测试等，不管从测试工具还是测试方法等，针对网络接口和API都还不够成熟，这些通常工作于后台相对安全环境的功能被开放出来后，带来了额外的安全入侵入口。

2.3 恶意的内部员工

Verizon Business最新的数据泄漏调查报告(DBR2010)显示,48%的数据泄漏是由于恶意的内部人士所为。对于云计算服务而言，有权限、有能力接触并处理用户数据的人员范围进一步扩大，这种访问权限范围的扩大，增加了恶意的“内部员工”滥用数据和服务、甚至实施犯罪的可能性

2.4 共享技术产生的问题

资源的虚拟池化和共享是云计算的根本，但是这种共享并不是没有代价的。最为典型的代价就是安全上的不足。事实上，针对虚拟层( hypervisor)的安全研究己经被广为重视，从2007年开始，主流的虚拟层( hypervisor)软件常有漏洞被披露。

2.5 数据泄漏

数据泄漏是云计算、尤其是公共“云”最为广泛的担忧之一。很多威胁场景都可能会导致云中的数据的丢失和泄漏，如：密钥的丢失会导致事实上的数据毁坏。

2.6 账号和服务劫持

在云环境中，如果攻击者能够获得你的账号信息，他们可以窃听你的活动和交易、操纵处理的数据、返回假冒的信息、将你的客户导向到假冒的站点，并且被“劫持”的服务和账号可能会被利用来发起新的攻击，并利用你的网络“信誉”或“信用”。

2.7 未知的风险场景

由于技术发展的不平衡，以及云计算服务商和用户之间的信息不对称性，使得云计算的用户处在大量的未知安全风险中。当然，云计算面临的安全威胁还有很多，比如大量迅猛涌现的WEB安全漏洞、潜在的合同纠纷和法律诉讼等等，此处不再赘述。

三、云计算平台安全技术体系框架

依据云安全联盟(CSA)的观点:IaaS是所有云服务的基础，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上；在不同云服务模型中，提供商和用户的安全职责有着很大的不同。具体来说，laaS提供商负责解决物理安全、环境安全和虚拟化安全这些安全控制,用户则负责与IT系统(事件)相关的安全控制，包括操作系统、应用和数据;PaaS提供商负责物理安全、环境安全、虚拟化安全和操作系统等的安全，而用户则负责应用和数据的安全；SaaS提供商不仅负责物理和环境安全，还必须解决基础设施、应用和数据相关的安全控制。此处云计算框架图，我们给出一种云计算平台安全技术体系框架，如图1所示：

图一：平台安全技术体系框架

四、云计算安全成熟案例借鉴

4.1 IBM 云计算安全架构

IBM 基于其企业信息安全框架给出了一个云计算安全架构，云计算安全架构从资源的角度分为 5 个方面。

1). 用户认证与授权：授权合法用户进入系统和访问数据，拒绝非授权的访问。

2). 流程管理：对需要在云计算中心运行的项目比如资源的申请、变更、监控及使用进 行流程化的管理。

3). 多级权限控制：对云计算资源的访问和管理涉及多个安全领域，每一个安全领域都需要进行权限控制，一般分为以下几级：机房管理和维护人员，云计算管理员，云计算维护员，系统管理员。

4). 数据隔离和保护：针对使用统一共享的存储设备为多用户提供存储的情况，需要通过存储自身的安全措施、LunMasking、Lun Mapping 等功能管理数据的访问权限，从而对客户所有的数据和信息进行安全保护。对存放于完全不同的存储格式中的数据进行发现、归类、保护和监控，并提供对关键的知识产权和敏感的企业信息的保护。对于存储在云计算平台的数据，可采用快照、备份、容灾等重要保护手段确保客户重要数据的安全。对于数据备份用户可通过专门的软件对其文件、数据库按照用户设定的备份策略进行自动备份及恢复，包括在线或离线备份。提供对操作系统级的整体备份从而进一步保护用户数据及运行环境。

5). 服务器隔离：对于重要的应用，通过双机备份的形势来保障应用的可靠性，实现虚拟机之间的热迁移，从而保证应用的连续性；从安全角度考虑，通过虚拟化解决方案的分区组件，实现所有虚拟计算机之间 CPU、存储和网络资源的隔离，这样进程、动态连接库及应用程序不会影响同一台服务器上其他虚拟服务器的应用。

6). 存储隔离：对于数据存储的安全，可以采用单独的存储设备，从而从物理层面隔离数据，确保数据安全；也可采用虚拟统一存储，通过划分 LUN，并设置 LUN 访问权限来从逻辑层保护数据的访问安全。

7). 网络隔离：通过 VLAN 保证网络的安全性和隔离性。VLAN 的隔离性由交换机及各主机上的虚拟化引擎保证。VLAN 提供数据链路层的隔离，可以保证一个 VLAN 的帧不会发给另一个 VLAN。VLAN 通过虚拟机的 MAC 地址对虚拟机进行标识，即使用户手动改变虚拟机IP 地址，他也无法变更虚拟机所处的 VLAN。云计算管理服务器以及各物理主机本身处于一个独立的 VLAN，防止云计算的用户从自己的项目环境侵入管理环境。

8). 系统灾备：云计算系统以集中灾备的方式帮助平台使用者尽快恢复业务和数据，客户可在本地同城或异地建立远距离的容灾中心，容灾中心与云计算中心通过专用网络相连，以便传输应用或数据。

4.2 思科云数据中心安全架构

思科提出的云数据中心安全框架描述了云数据中心的威胁模型以及可减少安全风险的措施。此外，该框架还显示了控制合规和 SLA 组件的关系。思科认为，云数据中心的安全关键在于要在架构的每一层实现，而不是事后考虑或者作为一个组成模块。

威胁：包括服务崩溃，入侵，数据泄漏，数据披露，数据修改，以及身份窃取和假冒。

云数据中心可视性：包括身份识别、监控和关联分析。

云数据中心保护：包括虚拟机加固、虚拟机隔离、网络隔离和强制。

云数据中心控制：云数据中心的安全架构的控制方面有多个维度，从对数据的控制供应到访问管理系统，在这部分需要考虑安全基线、数据划分、加密策略、虚拟操作系统的管理和访问、强认证、身份和访问管理、单点登录、完整性监控等。

合规和服务水平协议 SLA ：云数据中心安全架构的合规和 SLA 是多方面的。比如对于数据和系统的合规必须考虑分类需求和隔离。审计和风险、隐私需求评估。云数据中心的架构和安全交付应该映射 SLA 的内容。

4.3 Amazon EC2 安全架构

Amazon EC2 安全架构在多个层次上提供安全保障：宿主系统的操作系统层次，guest 操作系统，防火墙，签名 API 调用。目标是保护 Amazon EC2 中的数据不被未授权的系统或用户拦截。

宿主操作系统：访问管理平台的业务管理员需要使用多因子认证方式访问特意建造的管理主机。这些管理主机是特别设计、建造、配置和加固的，以保护云管理平台。所有到管理主机的访问都被写入日志并被审计。当员工不在有访问管理平台的业务需求时，他对这些主机及相关系统的的特权和访问将被撤销。

Guest 操作系统（虚拟化操作系统）：由用户完全控制。

用户有用 root 权限，对账户服务和应用有管理员控制权限。

用户一般应禁止基于密码的访问方式，而使用多因子认证的方式来确认使用者的身份。

防火墙：Amazon EC2 提供了一个完整的防火墙解决方案，默认防火墙的设置是 deny，用户需要开放自己的端口。可以从协议、服务端口、源 IP 或 CIDR 块等角度来做限制。

Hypervisor ：Amazon EC2 使用高度定制化的Xenhypervisor，在guest 和hyperbisor 之间完全隔离。

实例隔离：同一物理机上运行的不同实例通过Xenhypervisor 相互隔离。

五、总结

本文在分析了云计算架构和其面临的主要安全威胁，给出了一种云计算安全技术体系框架以及一些可供借鉴的成熟云计算安全架构，希望可以为云计算平台安全体系的建设提供一个有益的参考和借鉴。

——END——

（编辑：南京站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!