引言

云計(jì)算是通過(guò)互聯(lián)網(wǎng)提供給企業(yè)或消費(fèi)者的靈活、高效益、可靠的IT服務(wù)交付平臺(tái)。NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院）提出：云計(jì)算是一種通過(guò)網(wǎng)絡(luò)，以便捷、按需的形式,從共享的可配置計(jì)算資源池（這些資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)）中獲取服務(wù)的業(yè)務(wù)模式。云計(jì)算業(yè)務(wù)資源應(yīng)該能夠通過(guò)簡(jiǎn)潔的管理或交互過(guò)程來(lái)快速地部署和釋放。

1云環(huán)境架構(gòu)

云計(jì)算模型通常包含五個(gè)特征、三個(gè)服務(wù)模式和四個(gè)部署模式。圖1所示是云計(jì)算環(huán)境架構(gòu)圖。

云計(jì)算的五個(gè)基本特征包括按需自助服務(wù)、廣泛的寬帶網(wǎng)絡(luò)接入、構(gòu)建資源池、快速?gòu)椥?、按使用量?jì)費(fèi)服務(wù)等。這五個(gè)基本特征基本處在云環(huán)境體系結(jié)構(gòu)中的首層。

云計(jì)算的三個(gè)關(guān)鍵云參考模式為基礎(chǔ)設(shè)施服務(wù)（IaaS），平臺(tái)服務(wù)（PaaS）和軟件服務(wù)（SaaS）。其中，基礎(chǔ)設(shè)施服務(wù)提供給消費(fèi)者的服務(wù)是對(duì)所有設(shè)施的利用，包括處理、存儲(chǔ)、網(wǎng)絡(luò)和其它基本的計(jì)算資源，用戶能夠部署和運(yùn)行任意軟件,

包括操作系統(tǒng)和應(yīng)用程序。消費(fèi)者不直接管理或控制任何云計(jì)算基礎(chǔ)設(shè)施，但能控制操作系統(tǒng)的選擇、儲(chǔ)存空間和部署的應(yīng)用，也有可能獲得有限制的網(wǎng)絡(luò)組件（例如，防火墻、負(fù)載均衡器等）的控制。平臺(tái)服務(wù)提供給消費(fèi)者的服務(wù)是把客戶采用提供的開發(fā)語(yǔ)言和工具（例如Java、python、.Net等）開發(fā)或收購(gòu)的應(yīng)用程序部署到供應(yīng)商的云計(jì)算基礎(chǔ)設(shè)施上去?？蛻舨恍枰芾砘蚩刂频讓拥脑苹A(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等，但客戶能控制應(yīng)用程序的部署，也可以控制運(yùn)行應(yīng)用程序的托管環(huán)境配置。軟件服務(wù)提供給客戶的服務(wù)是運(yùn)營(yíng)商運(yùn)行在云計(jì)算基礎(chǔ)設(shè)施上的應(yīng)用程序，用戶可以在各種設(shè)備上通過(guò)捜客戶端界面訪問(wèn)（如瀏覽器）。消費(fèi)者不需要管理或控制任何云計(jì)算基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等。PaaS和IaaS源于SaaS概念。PaaS和IaaS可以直接通過(guò)SOA/WebServices向平臺(tái)用戶提供服務(wù)，也可以作為SaaS模式的支撐平臺(tái)間接向最終用戶提供服務(wù)。三者之中，IaaS是歷史最悠久的云服務(wù)模式，已經(jīng)提供了各種各樣的產(chǎn)品和先進(jìn)的功能（包括自動(dòng)擴(kuò)展、按次使用、按需自助服務(wù)等）。這個(gè)模型代表在云環(huán)境中架構(gòu)的第二層。

云部署模式包括公共云、私有云、社區(qū)云和混合云。公共云是建立在一個(gè)或多個(gè)數(shù)據(jù)中心并由第三方供應(yīng)商操作和管理的，服務(wù)通過(guò)公共的基礎(chǔ)設(shè)施提供給多個(gè)用戶（云計(jì)算就是為多用戶服務(wù)的）；私有云也稱內(nèi)部云，用來(lái)描述建立在私有網(wǎng)絡(luò)上的類似云計(jì)算的產(chǎn)品，這些產(chǎn)品（通常是虛擬化和自動(dòng)化的）聲稱可以實(shí)現(xiàn)云計(jì)算的優(yōu)點(diǎn)，但不具有云計(jì)算所存在的不足，可以充分解決數(shù)據(jù)安全、企業(yè)管理和可靠性問(wèn)題;社區(qū)云主要是針對(duì)一個(gè)特定的客戶群；混合云的基礎(chǔ)設(shè)施是由兩個(gè)或兩個(gè)以上的云（私人、社區(qū)或公共云）組成，使用混合云計(jì)算模式，機(jī)構(gòu)應(yīng)當(dāng)在公共云上運(yùn)行非核心應(yīng)用程序,而在私有云上支持其核心程序以及內(nèi)部敏感數(shù)據(jù)。這個(gè)模型代表在云環(huán)境中架構(gòu)的第三層。

2云計(jì)算現(xiàn)狀

目前，Google、Amazon、微軟、IBM等ICT巨頭都在積極推動(dòng)云計(jì)算的研究和部署，比較成熟的云計(jì)算業(yè)務(wù)和應(yīng)用包括Google的AppEngine，Amazon的彈性計(jì)算云EC2和簡(jiǎn)單存儲(chǔ)服務(wù)S3,微軟的Azure云平臺(tái)，IBM的“藍(lán)云”等。

雖然云服務(wù)提供商可以提供用戶所需服務(wù)，但安全風(fēng)險(xiǎn)在云計(jì)算環(huán)境中顯得十分重要。2008和2009兩年IDC發(fā)布的調(diào)查報(bào)告顯示，云計(jì)算服務(wù)面臨的三個(gè)重大挑戰(zhàn)分別是服務(wù)的安全性、穩(wěn)定性和性能表現(xiàn)。2009年11月，F(xiàn)orresterResearch的調(diào)查結(jié)果顯示，51%的中小型企業(yè)尚未使用云服務(wù)的最主要原因是安全性和隱私問(wèn)題。

由此可見，客戶選擇云計(jì)算時(shí)的首要考慮因素是安全性。云計(jì)算由于用戶、信息資源的高度集中，其所帶來(lái)的安全事件后果與風(fēng)險(xiǎn)也較傳統(tǒng)應(yīng)用高出很多。2009年，Google、Microsoft,Amazon等公司的云計(jì)算服務(wù)均出現(xiàn)了重大故障,導(dǎo)致成千上萬(wàn)客戶的信息服務(wù)受到影響，進(jìn)一步加劇了業(yè)界對(duì)云計(jì)算服務(wù)安全的擔(dān)憂。

3云計(jì)算的安全風(fēng)險(xiǎn)與對(duì)策

通過(guò)對(duì)云計(jì)算的分析，本節(jié)基于云計(jì)算的實(shí)際，針對(duì)云計(jì)算中存在的安全威脅提出相應(yīng)解決對(duì)策。

3.1虛擬化級(jí)別攻擊

云計(jì)算是基于虛擬化技術(shù)的。云可通過(guò)如VMWare

/52物聯(lián)網(wǎng)技術(shù)2012年/第11期vSphere、MicrosoftVirtualPC、Xen等管理程序來(lái)實(shí)施。這種威脅的產(chǎn)生是因?yàn)殚_發(fā)者往往忽略了管理程序中的編碼漏洞。

通過(guò)IDS（入侵檢測(cè)系統(tǒng)）/IPS（入侵防御系統(tǒng)），并通過(guò)實(shí)施防火墻監(jiān)測(cè)，都可以減輕由虛擬化級(jí)別的漏洞而造成的安全威脅。

3.2云計(jì)算的濫用和惡意使用

云計(jì)算的濫用和惡意使用等威脅的引起是由于云計(jì)算環(huán)境中存在相對(duì)較弱的登記制度。云計(jì)算的注冊(cè)過(guò)程是，擁有有效信用卡的任何人都可以注冊(cè)，并使用該服務(wù)。這種情況會(huì)增大不愿透露姓名的垃圾郵件制造者、惡意代碼作者和罪犯來(lái)攻擊系統(tǒng)的機(jī)會(huì)。減輕這種類型威脅的方法如下：

（1）實(shí)施嚴(yán)格的首次注冊(cè)和驗(yàn)證過(guò)程;

⑵信用卡欺詐的監(jiān)測(cè)和協(xié)調(diào);

（3）對(duì)用戶的網(wǎng)絡(luò)流量進(jìn)行詳細(xì)反省；

（4）通過(guò)網(wǎng)絡(luò)監(jiān)督公共黑名單。

3.3內(nèi)部人員惡意操作

當(dāng)缺乏對(duì)云服務(wù)供應(yīng)商程序和流程的了解時(shí)，惡意內(nèi)部人員的風(fēng)險(xiǎn)將加大。企業(yè)應(yīng)該關(guān)注供應(yīng)商的信息安全和管理政策，強(qiáng)制使用嚴(yán)格的供應(yīng)鏈管理以及加強(qiáng)與供應(yīng)商的緊密合作。同時(shí)，還應(yīng)在法律合同中對(duì)工作要求有明確的指示，以規(guī)范云計(jì)算運(yùn)營(yíng)商處理用戶數(shù)據(jù)等這些隱蔽的過(guò)程。

3.4管理接口妥協(xié)

云服務(wù)提供商的客戶管理界面是通過(guò)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)的。在云計(jì)算服務(wù)中，較大的資源訪問(wèn)大多采用傳統(tǒng)的托管，云計(jì)算通過(guò)這些管理接口提供遠(yuǎn)程用戶訪問(wèn)。如果網(wǎng)頁(yè)瀏覽器存在漏洞，就有可能構(gòu)成嚴(yán)重的安全威脅。

為了減輕遠(yuǎn)程訪問(wèn)產(chǎn)生的威脅，安全協(xié)議應(yīng)該用來(lái)提供訪問(wèn)。此外，提供遠(yuǎn)程訪問(wèn)之前，還應(yīng)對(duì)網(wǎng)頁(yè)瀏覽器漏洞實(shí)施補(bǔ)丁管理。

3.5數(shù)據(jù)丟失或泄漏

數(shù)據(jù)丟失或泄漏會(huì)對(duì)企業(yè)造成不利影響。品牌或聲譽(yù)失去，客戶的信任受到削弱。數(shù)據(jù)丟失或泄漏可能是由于認(rèn)證、授權(quán)和審計(jì)控制不足，加密和軟件密鑰的使用不一致，數(shù)據(jù)中心的可靠性和災(zāi)難性恢復(fù)。

通過(guò)加密保護(hù)傳輸數(shù)據(jù)的完整性，可在設(shè)計(jì)和運(yùn)行時(shí)分析數(shù)據(jù)保護(hù)，實(shí)施強(qiáng)有力的密鑰生成、存儲(chǔ)和管理，以減輕由數(shù)據(jù)丟失或泄漏所產(chǎn)生的安全威脅。用戶可利用合同要求數(shù)據(jù)被釋放到資源池并提供備份和保留策略。

3.6賬戶或服務(wù)劫持

釣魚、挾持和欺詐是聞名于世的IT問(wèn)題。云計(jì)算又增加了一個(gè)新的威脅層面，“如果攻擊者獲得訪問(wèn)您的權(quán)限，便可

以竊聽您的活動(dòng)和交易，操縱數(shù)據(jù)，返回虛假信息并將您的賬戶定向到非法網(wǎng)站，而您的賬戶可能成為一個(gè)新攻擊者。”

為減輕上述威脅，應(yīng)盡可能使用用戶和服務(wù)器之間的賬戶證書共享，未經(jīng)授權(quán)的活動(dòng)不應(yīng)被允許，應(yīng)采用多因素認(rèn)證技術(shù)、嚴(yán)格的監(jiān)控檢測(cè)和安全政策，并應(yīng)清楚地了解SLA的云供應(yīng)商。

3.7不安全的接口和APIS

用戶一般會(huì)使用一套軟件的接口或APIS與云服務(wù)進(jìn)行交互。云服務(wù)的資源調(diào)配、管理、業(yè)務(wù)流程和監(jiān)測(cè)一般都使用這些接口。如果接口和APIS相對(duì)薄弱，如可重復(fù)使用的令牌或密碼、明文身份驗(yàn)證或傳輸內(nèi)容、不靈活的訪問(wèn)控制或不適當(dāng)?shù)氖跈?quán)及有限的監(jiān)視和記錄功能，都可能會(huì)受到各種安全威脅，如匿名訪問(wèn)。

為了減輕上述威脅，云服務(wù)要求提供商對(duì)接口的安全模型進(jìn)行分析。故應(yīng)實(shí)施強(qiáng)有力的身份驗(yàn)證和訪問(wèn)控制來(lái)對(duì)傳輸?shù)膬?nèi)容進(jìn)行加密，同時(shí)應(yīng)清楚地了解與API相關(guān)的依賴關(guān)系鏈。

3.8未知的風(fēng)險(xiǎn)

對(duì)用戶所使用的安全配置應(yīng)當(dāng)有所了解，無(wú)論是軟件的版本、代碼更新、安全做法、漏洞簡(jiǎn)介、入侵企圖，還是安全設(shè)計(jì)。要查清楚誰(shuí)在共享用戶的基礎(chǔ)設(shè)施，盡快獲取網(wǎng)絡(luò)入侵日志和重定向企圖中的相關(guān)信息。

4結(jié)語(yǔ)

隨著云計(jì)算技術(shù)的快速發(fā)展和更廣泛的應(yīng)用，云計(jì)算將會(huì)面臨更多的安全風(fēng)險(xiǎn)。為了保證企業(yè)應(yīng)用程序、數(shù)據(jù)的完整性和安全性，必須建立一道堅(jiān)固防線。這道防線包括防火墻、入侵檢測(cè)、完整性監(jiān)控、日志檢查和惡意軟件防護(hù)等。企業(yè)和服務(wù)提供商應(yīng)積極地保護(hù)云基礎(chǔ)設(shè)施來(lái)保證安全，以便企業(yè)利用云計(jì)算的優(yōu)勢(shì)領(lǐng)先其競(jìng)爭(zhēng)對(duì)手。雖然有幾個(gè)標(biāo)準(zhǔn)組織在研究云計(jì)算的安全問(wèn)題，但是，目前業(yè)界對(duì)云計(jì)算安全的解決并沒有統(tǒng)一的標(biāo)準(zhǔn)和解決方法。為了應(yīng)對(duì)不斷出現(xiàn)的安全威脅，需要不斷探索新的云安全解決方案，并逐漸建立行之有效的云安全防護(hù)體系，在最大程度上降低云計(jì)算系統(tǒng)的安全威脅，提高云服務(wù)的連續(xù)性，保障云計(jì)算應(yīng)用的健康、可持續(xù)發(fā)展。

20210926_614ffee77536d__云計(jì)算及其安全問(wèn)題研究