云计算安全总体框架与关键技术研究
云计算已经成为当前IT 界关注的热点话题,但云计算的发展也
面临许多关键性问题,而安全问题首当其冲,并且随着云计算的不断
普及,其重要性呈现逐步上升趋势,已成为制约云计算发展的核心因
素。因此,对云计算的安全进行系统研究显得迫切而重要。
1.云计算的概念与总体框架
1.1 云计算的概念
目前,业界对云计算的理解并不一致。简单地讲,可以从技术和
运营服务两个层面来理解其含义:
1)从技术层面看
云计算并不是一项技术,而是代表一系列计算方式发展趋势的综
合概念,是并行计算(parallel computing) 、分布式计算(dist
ributed computing) 和网格计算(grid computing)的发展。事实
上,云计算不是指一项独立的技术,而是在从C/S 结构、分布式计
算到网格计算、效用计算、SaaS 的计算方式发展大趋势下,一系列
包括虚拟化、按需服务在内的概念总和。
2)从运营层面看
云计算提供了按需租用计算能力的服务,对于外部使用者来说,
这种服务就像天上的云一样透明,不需要考虑其背后的实现细节,从
而可以专注于自身业务,有利于创新及节约成本。对整个行业来说,
这是一次革命性的创新。可以说,云计算不仅仅是技术的进一步发展,
更是一种业务模式的创新。如果用一个简单的公式来表达云计算,就
是:
云计算 =(基础设施+ 平台+ 软件+ 数据)* 服务(1)其中,
基础设施、平台、软件、数据可以理解为云计算的技术层面。但仅有
技术是不够的,还要具备良好的服务,两者是相乘的关系。即在同等
技术条件下,服务越好,云计算的价值就越大。
1.2 云计算总体框架
云计算的总体框架如图1 所示。图1 云计算总体框架图
从图1 可看出,云计算是一个复杂的体系,可以从以下几个层
面来论述。
1)从基础技术角度看,云计算是一系列技术的总和,这一点从
公式(1)可看出。
2)从性能上看,云计算有以下5 大特点:
(1)按需自助服务。消费者可按需方便地获得计算资源。
(2)泛在的网络访问。可通过各种网络渠道,以标准统一的机
制获取服务。
(3)动态资源池。资源可以被整合为一个动态资源池,以多租
户模式服务所有客户并动态分配。
(4)快速伸缩性。可以迅速、弹性地提高服务,既能快速扩展,
也能快速释放资源。
(5)可计量的服务。服务收费可以是基于计量的一次一付,也
可以针对不同服务需求计量和定价。
3)从服务模式看,云计算包含如下3 种模式:
(1)基础设施即服务(IaaS)。消费者通过Internet 可以从
完善的计算机基础设施获得服务。IaaS 通过网络向用户提供计算机
(物理机和虚拟机)、存储空间、网络连接、负载均衡和防火墙等基
本计算资源;用户在此基础上部署和运行各种软件,包括操作系统和
应用程序。
(2)平台即服务(PaaS)。将软件的开发、测试和部署平台作
为一种服务提供给客户。PaaS 平台通常包括操作系统、编程语言的
运行环境,数据库和 Web 服务器,用户在此平台上部署和运行自己
的应用。
(3)软件即服务(SaaS)。即通过Internet 提供软件,用户
无需购买软件,而是向服务商租用基于Web 的软件,以管理企业的
经营活动。
4)从部署模式看,云计算可以分为以下3 种模式:
(1)公有云。是由独立的第三方建设并运行,由若干企业和用
户共享使用的云环境。
(2)私有云。为某一客户单独构建和使用的云环境,该客户拥
有基础设施,并可以控制在此基础设施上部署应用程序的方式。
(3)混合云。把公用云模式与私有云模式结合在一起的云环境。
混合云有助于提供按需的、外部供应的扩展服务。可见,云计算是一
个复杂的体系,既是一系列IT 技术的融合,又包含多种服务模式。
2.云计算安全总体框架
作为一项新生事物,云计算的推广遇到诸多困难,其中遇到的最
大挑战是用户对安全问题的担忧。Gartner、IDC 等专业机构的调研
也表明,安全问题已成为阻碍云计算推广的最大障碍。鉴于云计算的
复杂性,它的安全问题也应该是一个涵盖技术、管理,甚至法律、法
规的综合体。
根据云计算平台的特点,构建了如图2 所示的云计算安全总体
框架:
图2 云计算安全总体框架
下面概要介绍该框架中每部分的含义。
2.1 云计算安全政策、法规、标准
传统的安全技术已经出现多年,相应的标准、法律、法规也都相
对成熟,但现在的云计算安全缺少标准,政策、法规也不健全。再加
上云计算自身的特点,数据可以存储在世界上任何一个国家,当出现
问题时,国家政策的不同也是云计算安全的一个重大挑战。
标准化是云计算安全发展的重要措施之一,但目前云计算安全研
究还处于起步阶段。国际上研究主力包括云安全联盟(CSA)、国际
电联(ITU)、IEEE 等组织,国内有中国通信标准化协会(CCSA)、
中国云计算技术与产业联盟(CCCTIA)等组织,但这些组织的研究也
都处于进行中,尚未形成获得一致认可的安全技术和标准。
2.2 IaaS层的安全风险与措施
IaaS 层处于云计算平台的最底层,为上层云应用提供安全数据
存储、计算等 IT 资源服务,是整个云计算体系安全的基石。IaaS 平
台既有传统数据中心的安全特性,更面临自身特有的安全风险。
一方面,IaaS 平台沿袭传统计算中心面临的安全问题,要采取
全面、严密的安全措施。例如,在物理层考虑厂房安全;在存储层考
虑数据加密、备份、归档、灾难恢复等;在网络层考虑DDoS 攻击、
数据传输机密性等;在数据层考虑数据库安全、数据的隐私性与访问
控制等;在应用层考虑程序完整性检验、访问控制与漏洞管理等。
另一方面,IaaS 平台大量采用虚拟化技术,包括虚拟服务器、
虚拟存储、虚拟网络,甚至虚拟交换机等,虚拟化安全成为其面临的
最大安全风险。虚拟化安全综合起来可以归结为以下两个方面:
1)虚拟化软件安全
该软件层直接部署于裸机之上,提供能够创建、运行和销毁虚拟
服务器的服务。云服务提供商应建立必要的安全控制措施,限制对于
Hypervisor 和其他形式的虚拟化层次的物理和逻辑访问。在laaS 服
务中,用户不能接入虚拟化软件层,该层由云服务提供商来操作、管
理。
2) 虚拟服务器安全
虚拟服务器或客户端面临着许多主机安全威胁,包括接入和管理
主机的密钥被盗、在脆弱的服务标准端口侦听、劫持未采取合适安全
措施的账户等。这就需要采取以下措施:
(1)选择具有TPM ( 可信计算平台模块)的虚拟服务器。
(2)安装时为每台虚拟服务器分配一个独立的硬盘分区,以便
进行逻辑隔离。
(3)每台虚拟服务器应采用VLAN 和不同IP 网段的方式进行逻
辑隔离,需要通信的虚拟服务器间的网络连接采用VPN 进行。
(4)进行有计划的备份,包括完整、增量或差量备份方式。
2.3 PaaS层的安全风险与措施
PaaS 层处于云计算平台的中间,它既依靠IaaS 平台提供的基
础资源,又为上层SaaS 提供应用平台,起到了承上启下的作用。
PaaS 的核心技术是分布式处理,主要解决云计算数据中心大规
模服务器群的协同工作。要提供PaaS 云计算服务,首先要在云计算
数据中心架设分布式处理平台,包括分布式文件系统、分布式计算、
分布式数据库等;其次,要对分布式处理平台进行封装,包括提供开
发环境(SDK)、API 接口和库等。因此,对PaaS 层来说,面临的
安全威胁主要包括:
1)分布式文件和数据库安全
基于云计算数据中心的分布式文件系统和分布式数据库系统构
建在大规模的廉价服务器集群上,从而面临诸多挑战。
(1)服务器的失效现象经常出现,需要解决系统的容错问题。
(2)服务器增减频繁,需要解决动态扩展问题。
(3)需要提供海量数据的存储和快速检索、读取能力。
(4)多用户同时访问,需要解决并发控制和存取效率等问题。
为了提升分布式文件系统的可靠性,目前的基本做法是采取冗余
存储的方式来解决,每份文件或数据在系统中保存多个备份。冗余存
储解决了数据的可靠性问题,但也带来了一致性问题,因为文件或数
据存储在多个不同的节点中,对文件或数据进行修改时必须确保对所
有副本都进行了修改,这就需要分布式同步机制对并发操作进行控
制。这些技术的复杂性都给数据的可靠和安全带来了巨大挑战。
2)用户接口和应用安全
对于PaaS 服务来说,来自客户端的可能是恶意的。如果PaaS 层
暴露过多接口,可能会给攻击者带来机会,如抢占CPU 时间、内存
空间和其他资源,也可能攻击其他用户,甚至会攻击底层平台等。因
此,如何检验用户的可靠性是PaaS 提供商面临的又一个巨大挑战。
用户基于PaaS 平台开发的软件最终也会部署在该平台上,Paa
S 提供商需要保证程序的可靠运行,尤其是保证不同应用之间的相互
隔离。这点与在SaaS 模式下遇到的挑战是相同的。另外,从技术上
看,目前PaaS 对底层资源的调度和分配采用“尽力而为”的机制,
如果一个平台上运行多个应用,就会存在资源分配、优先级配置等问
题。要解决这些问题,需要借助IaaS 层的虚拟化机制来实现多个应
用的资源调配和SLA 等。
2.4 SaaS层的安全风险与措施
传统的软件都部署在客户自己或租用的数据中心内,服务于特定
的用户,其安全控制相对简单。但在SaaS 模式下,成千上万的用户