2007年年底,云计算开始受到关注并迅速得以发展,其发展前景十分广阔。2007年,IBM推出“蓝云”计算平台。除了我们所熟知的IT巨头的云计算平台外,开源云计算平台更是被认为是IT的发展趋势。2008年11月25日,中国电子学会专门成立了云计算专家委员会。2009年5月22日,中国电子学会组织的首届中国云计算大会隆重举行。2009年9月10日,在阿里巴巴10周年庆典会上,阿里巴巴云计算团队以独立身份出现,而且命名为“阿里云”的子公司正式成立。......
2023-11-18
云安全研究现状及应用实践
【摘要】:但有关云计算安全的研究还处于起步阶段,业界尚未形成相关标准。2)促进对云计算安全最佳做法的独立研究。美国的知名市场研究分析公司Gartner在2008年发布了一份《云计算安全风险评估》[13]研究报告。该三大挑战排名与IDC于2008年进行的云计算服务调查结论完全一致。该报告讨论了云计算系统的部署为系统安全所带来的优势和挑战,分析了云计算系统的安全风险和相应的安全建议。
从2006年云计算概念的提出发展至今,云计算经历了定义逐渐清晰、应用逐渐增多和产业逐渐形成的各个阶段。但有关云计算安全的研究还处于起步阶段,业界尚未形成相关标准。目前,主要有如下三种类型的组织或人员对其进行研究:
1.非营利机构
对云安全研究最为活跃的组织是在2009年RSA大会上宣布成立的一个非营利性组织云安全联盟(CSA)。该组织专注于云计算的安全体系及安全标准等领域,其宗旨如下:
1)提供用户和供应商对云计算必要的安全需求和保证书的同样认识水平。
2)促进对云计算安全最佳做法的独立研究。
3)发起正确使用云计算和云安全解决方案的宣传和教育计划。
4)创建有关云安全保证的问题和方针的明细表。
目前,CSA已获得了业界如Google、Microsoft和VMware等公司和组织的广泛认可。
至今,云安全联盟已完成《云计算面临的严重威胁》《云控制矩阵》《关键领域的云计算安全指南》[11]等研究报告,并发布了云计算安全定义。这些报告从多个方面强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案,对形成云安全行业规范具有重要影响。
CSA作为业界比较认可的云安全研究论坛,在2011年11月发布了第三版云计算服务的安全实践手册《云计算关键领域安全指南》。该指南从架构、治理和实施3个部分、14个关键域对云安全进行了深入阐述,重点讨论了当企业部署云计算系统时面临的安全风险并且给出相应的安全建议。在当前尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下,该指南是一份重要的参考文献,对业界有着重大的影响[12]。CSA与HP共同列出了云计算安全问题的七个方面,具体如下:
(1)云计算滥用 近年来越来越多的网络犯罪者已开始通过云端服务进行不法行为。例如云计算已被利用来提供密码破解的服务,只要能获取系统的账号密码数据文件,并将其中的MD5散列值取出,通过现成的云端服务,即可分析出该散列值可能代表的密码组合,进而取得系统内部的任何账号密码。
(2)共享技术漏洞 资源共享虽可节省闲置资源的浪费,达到节能目的,但同时也衍生出数据保密的问题。云端服务使用虚拟化的技术,将物理资源同时分配给多个用户共享,虽然每一位使用者都是使用独立的计算空间,但若其物理隔离机制出现漏洞,黑客便可以通过此漏洞读取其内存或者存储在空间中的数据。
(3)内鬼难防 当所有的信息服务都移转到云端空间时,管理的责任同时也部分移转到云端服务供应商身上。因此,若云端服务供应商内部存有居心不良的工作人员,便可能对存放在云端服务平台的信息造成危害。这方面的风险是使用者无法预测的。
(4)账号或服务劫持 云服务的认证机制主要是通过因特网的方式,用户输入账号密码来进行身份确认。一旦用户账号遭到窃取或者信息传输的过程遭到攻击重设,都会导致第三方取代合法用户而取得该系统的完整控制权。由于用户无法通过重设物理系统来进行紧急应变,所以一旦账号密码外泄或服务被挟持,其损害程度及影响范围可以说是无法评估的。
(5)不安全的应用程序接口 用户使用特定的通信接口与应用程序访问云端服务,因此,当通信接口或是应用程序发生安全漏洞时,都会影响用户访问服务的安全,造成数据在未经授权的状况下,被第三方访问或修改。
(6)数据丢失和泄露 云服务供应商所提供的安全防护机制,必须要能确保用户的数据不会受到未经授权的访问。若发生数据毁损情况时,云端服务供应商必须要有完善的数据备份机制,才能降低数据遗失的风险。(www.chuimin.cn)
(7)未知的风险 服务透明性问题使用户仅使用Web前端交互界面,并不知道供应商使用哪种平台或者提供哪些安全机制,换言之,用户无法知晓云服务提供商是否按其承诺履行了服务协议。另外,云服务随着信息技术的进步,也在不断地改变其服务形态,所以未知的困难以及可预见的安全问题将会越来越多。
美国的知名市场研究分析公司Gartner在2008年发布了一份《云计算安全风险评估》[13]研究报告。该报告指出云计算使IT行业拥有着庞大的市场前景,但是云计算服务对于个人或者企业等使用者来说,面临着特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持以及长期生存性七大潜在的安全风险问题[14]。
2009年,IDC发布的一项调查报告表明,云服务面临安全性、稳定性和性能问题三大挑战。其中安全性是最受关注的问题[14]。该三大挑战排名与IDC于2008年进行的云计算服务调查结论完全一致。2009年3月年美国信息系统审计和控制协会(ISACA)发布了《Cloud Computing:Business Benefits with Security,Governance and Assurance Perspectives》[15]。该报告讨论了云计算系统的部署为系统安全所带来的优势和挑战,分析了云计算系统的安全风险和相应的安全建议。
欧洲网络与信息安全局(European Network and Information Security Agency,ENISA)在云计算安全方面的主要研究成果是从企业的角度出发分析云计算可能带来的好处以及安全方面的风险。ENISA在2009年已经提出一份名为云端服务风险评估的报告,此份报告也被推出业界第一个云端服务风险标准的云端安全联盟所引用。这份报告里面清楚定义了35个云端计算架构下的风险、53个弱点、23个可能受影响的资产、各个资产重要性还有各风险的发生率和影响,并和过去传统信息系统架构做比较。2010年,ENISA发布的云计算安全白皮书《Cloud Computing Information Assurance Framework》[16]指出:在同样的投资额度下,云计算将安全防护资源集中和统一管理,这使得访问控制和安全控制流程更加流畅,比各个企业独立维护的安全防护系统更加全面和稳定,但是云计算系统的使用也会带来很多安全问题,如数据处理和保护的不透明性。
2.云服务提供商
许多云服务提供商如Amazon、IBM和Microsoft等纷纷根据自己云平台的特性,提出相应的云安全解决方案和安全策略。主要方法包括身份认证、安全审查、数据加密及系统冗余等手段来提高云计算平台的稳健性、可用性和用户数据的安全性。例如2011年,Google公司向全球开放两步认证机制来控制信息访问,以便提高云计算的安全性。Microsoft的云计算平台Azure配置了一种称为“Sydney”的安全计划,帮助企业用户在服务器和Azure云之间交换数据,以解决虚拟化、多租户环境中的安全性。EMC、Intel和VMware等公司联合宣布了一个“可信云体系架构”的合作项目,并提出了一个概念证明系统。该项目将Intel的可信执行技术、VMware的虚拟隔离技术、RSA的enVision安全信息与事件管理平台技术相结合,构建了一种从下至上值得信赖的多租户服务器集群。开源云计算平台Hadoop引入Kerberos安全认证技术对共享商业敏感数据的用户加以认证与访问控制,阻止非法用户对Hadoop集群的非授权访问等。
3.学术研究
针对云计算面临的安全挑战,国内外安全专家纷纷对云计算及其安全性展开了研究。
(1)基础设施安全 基础设施服务是新兴的云计算时代的重要服务之一。然而,许多新的威胁和攻击都是针对基础设施服务。参考文献[17]揭示了在第三方云计算窃取信息的可能性。在他们的研究中,他们发现了Amazon映射计算服务EC2实例的几个规则。这些规则使他们在云基础设施中,即同一物理计算机上成功发现两个驻留的实例,进而通过虚拟机漏洞盗取信息。除了云基础设施的脆弱性,研究人员还发现Amazon机器镜像AMI也存在隐私风险。
为了应对这些威胁,研究人员从工业界和学术界已经提出了多种解决方案。比如,IBM公司的研究人员为Xen虚拟化环境提出并实现了虚拟可信平台模块(TPM),来探讨在云环境中TPM的使用。
国内外研究学者和云计算服务提供商也提出了自己的安全框架与技术标准。比如针对云计算安全体系与技术框架。冯登国等给出了一种云计算安全框架[10]。该框架包含了云计算服务体系、云计算安全标准及测评体系两大部分,可以为用户的安全目标提供技术支撑。
(2)存储安全 许多云安全研究是以数据为中心的安全性研究,其重点是机密性、完整性以及访问控制。为了保护云存储中外包数据的保密性,参考文献[18]提出了一个通过密码技术保证云存储的总体思路,并设计实现了一个加密云存储系统CS2[19]。该系统支持对密文的关键字搜索。参考文献[20]提出了双层加密思想,实现外包数据的保密性和访问控制,即内层加密保护数据机密性,外层加密用于访问控制目的。此外,许多研究人员研制和开发了服务于数据安全性的数据加密工具。例如,参考文献[21]提供了一个对加密数据进行审计的实用工具,参考文献[22,23,24]研究了基于加密数据的搜索工具。
为了支持在第三方云存储的外包数据存储完整性检查,参考文献[25]中开发了一个基于证明的云存储系统CloudProof。它支持客户进行数据的完整性验证、写操作串行化和保持数据的新鲜度。Dimitrios Zissis和Dimitrios Lekkas提出了一种结合公钥基础设施(PKI)、轻量目录访问协议(LDAP)和单点登录(SSO)等技术的云计算解决方案[26]。该方案引入可信的第三方提供安全认证,并根据云计算系统分层的特性,分别给物理层、基础设施即服务、平台即服务和软件即服务提供安全认证。
2009年,IBM研究员开发了一种全同态加密方案,该方案使得云应用在不解密数据的状态下处理数据[27]。若该项技术进入实用化阶段,就可以解决云中的数据在整个生命周期中的加密问题。
有关云安全深度剖析:技术原理及应用实践的文章
- 详细阅读
-
云测试研究进展及应用实践详细阅读
云测试是在云计算研究中迅速崛起的一个领域,近年来已经获得了相当高的重视[9]。CloudTest通过EC2的云端基础设施服务模拟成千上万个使用者,对网站或Web应用程序发出请求,以测试网站或Web应用程序的性能。CloudTest能及时将测试结果如响应时间、模拟的使用者量等数据以可视化的图表形式展现给测试者。此时,为了获得强大的运算能力只需要租用云测试服务进行测试即可。目前,尽管在云测试的理论和T具开发方面已经取得一定成果。......
2023-11-18
-
云安全深度剖析:虚拟化与云计算应用实践详细阅读
正是因为虚拟化技术的种种优势,虚拟化技术已经逐步成为云计算服务的主要支撑技术。可以说,虚拟化和云计算正在共同重塑数据中心格局,云数据中心通过服务器虚拟化和应用虚拟化等形式,不但能有效提高各种资源的利用率,同时也赋予了业务管理更大的灵活性。随着需求的增长与云计算技术的出现,虚拟化和云计算聚焦于统一存储。......
2023-11-18
-
云计算的优势:云安全的技术原理及应用实践详细阅读
对云服务提供商而言,由于云计算服务不需要将软件安装在用户的计算机中,降低了商业软件被破解的风险。就目前的情况来看,云计算正在颠覆世界各地企业的IT消费方式,采用云计算模式可带来许多好处和优势。云计算服务供应商承担对云计算平台和服务进行全天候的监控和维护。用户可以在权限许可下共享云计算平台中的数据。这一特性使得云计算服务能够允许云端的节点出现错误甚至是崩溃。......
2023-11-18
-
云标准化组织-云安全深度剖析:技术原理及应用详细阅读
国内外研究和制订云计算安全标准的组织有很多。目前,全世界已经有50多个标准组织宣布加入云计算标准的制订行列。②以CSA和云计算互操作论坛等为代表的专门致力于进行云计算标准化的新兴标准组织。......
2023-11-18
-
云计算的定义与应用实践详细阅读
云计算是一种概念性的说法,而非专指某特定的信息系统。具体来讲,NIST提供的云计算定义中包括了五个基本特征、三个云服务模型和四个云部署模型,如图1-2所示。图1-2 NIST提供的云计算定义需要指出的是,由于考虑的角度不同,业界对云计算的提法也稍有不同。IBM、Google和Amazon等公司也都从自身角度出发给出了云计算的定义。综上所述,云计算将所有的计算资源集中起来,并由软件实现自动管理,无须人为参与。......
2023-11-18
-
Google云平台概述及应用实践详细阅读
作为最大的云计算技术的使用者,Google搜索引擎所使用的是分布在200多个节点、超过100万台的服务器的支撑上建立起来的Google云计算平台,而且其服务器设施的数量还在迅速增加。Google已经发布的云应用有Google Docs、Google Apps和Google Sites等。Google App Engine是Google在2008年4月发布的一个平台。用户编写的应用程序可以在Google的基础架构上部署和运行,而且Google提供应用程序运行及维护所需要的平台资源。因此,大多数现存的Web应用程序,若未经修改均不能直接在Google App Engine上运行。......
2023-11-18
-
云计算实体:云安全深度剖析及实践详细阅读
由图1-16可知,NIST的云计算参考架构定义了云计算中的5个主要参与者:云消费者、云提供者、云审计者、云代理和云载体。每个参与者都是参与云计算中事务或流程以及执行任务的一个实体。云代理 云代理是一个能够协调云提供者和云消费者两者关系的实体。......
2023-11-18
相关推荐