云计算信息安全盘点

    云计算安全性的范围很广，包括技术、管理、立法、商业、企业持续服务等层面，而本文讨论的云计算信息安全问题是云计算安全性其中的一个问题。在这里不讨论云计算的可用性、持久性问题，也不涉及系统或者件基础本身的安全性，因为这些安全性问题已有很多成熟的解决方案。本文主要讨论云计算所带来的新技术而产生的新的信息安全风险问题。

    云计算的信息安全问题，主要是指部署在云端的数据的安全问题。作为用户，第一感觉是以前系统的所有数据都是自己掌控的，但是实施云之后，数据有很大一部分层面是对用户屏蔽了，用户自己掌控不了其中的安全性。云计算系统俨然成为一个黑盒子，那把数据放在这个黑盒子是否安全呢？

    排除本文讨论范围以外的，如可用性、内部管理、运营等问题，总结出云计算信息安全存在如下风险。

    （1）应用部署安全风险

    任何一个持有有效信用的人都可以注册并立即使用云平台，网络犯罪分子可以基于云平台部署各种攻击服务或各种恶意软件，攻击互联网上的任何用户，更严重的是，在云计算平台内部部署的恶意软件能直接从内部对云计算平台进行服务攻击、信息窃取等安全攻击。

    （2）API安全风险

    云平台的安全性很大程度上取决于API的安全性。用户使用这些API管理和交互相关服务，这些API的设计必须能够防御意外和有恶意企图的行为，避免产生安全漏洞以被网络犯罪分子所利用进行攻击。

    （3）虚拟化环境安全风险

    在IaaS层均需要充分利用虚拟化和共享技术实现动态可扩展功能，用户数据在云平台中是被动态分配的，利用这些技术并不能很安全地在多用户架构中提供强有力的隔离能力，这样就给攻击者带来了很多便利，利用不完善的访问控制、过度使用的共享技术，能把恶意程序传播到云平台的其他服务中。

    （4）数据访问权限风险

    从云计算的整体技术架构来看，除了中央数据服务器外，用户数据存储在哪片“云”上无人知晓，精准盗取数据的难度很大，但云计算的数据访问权限存在漏洞，就很容易产生风险。当用户把数据交给云计算服务商后，服务商则拥有了该数据的访问权限，云计算平台供应商由于自身管理原因，会导致偷窥、泄漏用户的数据和程序的风险。而由于云计算提供的服务面向所有公众，允许各种各类用户进行操作，若因为某些权限漏洞，致使非法用户得到数据，也将会使数据的安全性受到致命威胁。

    [page]（5）数据存储与传输安全风险

    由于云服务面向所有公众，其中不乏涉密信息，如果数据存储与传输得不到严格加密，一旦丢失，将会造成更严重的损失。另外在云计算中也无法像以前传统系统部署中通过安全域定义来实施安全边界和数据保护。

    4 云计算的信息安全方案

    上述分析的云计算信息安全风险，是自上而下，从应用到存储来分析的，需要对这些风险进行安全加固和规避，以提高云计算信息安全的保障。下面将从3个层面对云计算的信息安全风险进行安全方案的描述，分别是数据安全、应用安全、虚拟化安全网，然后再给出当前国内外关于云计算信息安全相关解决方案的成果。

    4.1数据安全

    数据安全是指保存在云服务系统上的原始数据信息的相关安全方案，包括数据传输、数据存储、数据隔离、数据加密和数据访问。

    （1）数据传输

    在云计算内部，除了服务本身需要的数据传输外，还有更多因动态调整而引起的数据传输。这部分数据面临的最大威胁是直接通过明文传输，而没有采用任何加密措施。在云计算内部的传输协议也应该能满足数据的完整性，因此应采取安全传输协议，但其当前的相关研究并不因云计算而有所改动，在这里就不再描述。

    （2）数据加密

    为了更好地加强云计算的安全性，需在数据存储上增加数据的私密性，既能保证文件的隐私性，又能实现数据的隔离和安全存储。如亚马逊的S3系统会在存储数据时自动生成一个MDS散列，免除了使用外部工具生成校验的繁冗，有效保证数据的完整性；如IBM设计出一个“理想格（ideal lattic）”的数学对象，可以对加密状态的数据进行操作。基于这些技术，企业可以根据不同的情况，选择不同的加密方式来满足不同的加密需要。

    （3）数据隔离

    云计算中并不是所有数据都适合进行数据加密，加密数据会影响数据服务的效率。对于PaaS和SaaS应用来说，为了强调运行效率等方面的“经济性”，非法访问还是会发生的，因此需要通过实施数据隔离来解决。在云计算环境下，系统的物理安全边界将会逐步消失，转而替代的是逻辑安全边界，因此应该采用VLAN或者分布式虚拟交换机等技术来实现系统数据的安全隔离。

    （4）数据访问

    数据访问tee的策略，也就是数据访问权限控制，可以通过安全认证的技术来解决。通过统一单点登录认证、资源认证、协同认证、不同安全域之间的认证或者多种认证方式相结合的形式，对用户身份进行严格审查，对数据进行操作前，一定要对操作者身份进行严格核查。另外在权限的合理分配方面也要做好规划和管理。而数据访问的监视和日志审计也必不可少，特别是对敏感信息的操作，要做到可溯源。

    4.2应用安全

    从云计算提供商的角度出发，描述从应用层面应当如何充分考虑来自外部的风险。

    （1）IaaS应用—虚拟化安全

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!