《云计算安全体系架构研究》由会员分享,可在线阅读,更多相关《云计算安全体系架构研究(7页珍藏版)》请在金锄头文库上搜索。
1、云计算安全体系架构研究云计算安全体系架构研究摘要:云计算代表了当前 IT 领域向集约化、规模化、专业化、弹性化发展的主流趋势。在提供前所未有的巨大效能的同时,其安全问题在技术、标准、法律、监管等各个方面都带来了新的挑战,云计算安全研究的重要性与紧迫性已经刻不容缓。本文从云计算面临的安全问题入手,详细介绍了当前主流的云计算安全模型和关键技术。最后通过一个云安全架构的例子来阐述现阶段我们重点的研究领域和需要改进的方向。关键词:网络安全;云计算;云计算安全;数据安全;安全组织1引言随着网络进入更加自由和灵活的Web2.0 时代,云计算的概念及应用风起云涌。所谓云计算,就是利用虚拟化技术建立统一的基础
2、设施、服务、应用及信息的资源池,以分布式技术对各种基础设施资源池进行有效组织和运用的一种运行模式。云计算的出现使得公众客户获得低成本、高性能、快速配置和海量化的计算服务成为可能,其资源可共享并按需自服务、快速弹性伸缩的特点也使得中小企业甚至个人企业可以低成本实现信息化管理和协同工作、迅速提升产业升级加速和中小企业的经营效率成为现实。对于国家来说,云计算的大规模应用会让各层面的计算效率得到提升,单位计算消耗的能源更少,从而使得碳排放更低。正如一件新鲜事物在带给我们易处的同时,也会带来问题一样,云计算在带给我们规模经济、高可用性益处的同时,其核心技术特点( 虚拟化、资源共享、分布式等) 也决定了它
3、自诞生之日起就在安全性上存在着天然隐患。例如当数据、信息存储在物理位置不确定的“云端”,服务安全、数据安全与隐私安全如何保障,这些问题是否会威胁到个人、企业,甚至国家的信息安全,以及虚拟化模式下业务的可用性如何保证等。云安全已经成为当前云计算应用发展的重要研究课题。2云计算的体系结构云计算的体系结构由 5 部分组成,分为应用层,平台层,资源层,用户访问层和管理层,云计算的本质是通过网络提供服务,所以其体系结构以服务为核心。如图一。云计算有三种服务模式:软件即服务(SaaS) ,平台即服务(PaaS),基础设施即服务(IaaS)。图一 体系结构云软件即服务(SaaS):提供给消费者的功能是使用在
4、云基础设施上运行的,由提供者提供应用程序。这些应用程序可以被各种不同的客户端设备访问,通过像web 浏览器这样的瘦客户端界面访问。消费者不直接管理或控制底层云基础设施,包括网络,服务器,操作系统,存储,甚至单个应用的功能,但有限的特定客户的应用程序配置的设置则可能是个例外。云平台即服务(PaaS):提供给消费者的功能是将消费者创建或获取的应用程序,利用提供者指定的编程语言和工具部署到云的基础设施上。消费者虽然不直接管理或控制包括网络,服务器,运行系统,存储,甚至单个应用的功能在内的底层云基础设施,但可以控制部署的应用程序,也有可能配置应用的托管环境。云基础设施即服务(IaaS):提供给消费者的
5、功能是,消费者不仅可以租用处理,存储,网络和其他基本的计算资源,还能够在上面部署和运用任意软件,包括操作系统和应用程序。消费者虽然不管理或者控制底层的云基础设施,但可以控制操作系统,存储,部署的应用,也有可能选择网络组件(例如主机防火墙) 。我们把这三种服务模式成称为 SPI 服务,是指位于云物理基础设施上广泛使用的三类功能。3云安全和传统安全云安全和传统安全的异同。相同点:第一目标是相同的,保护信息、数据的安全和完整;第二保护对象相同,保护计算、网络、存储资源的安全性;第三采用的技术类似,比如传统的加解密技术、安全检测技术等。不同点:比如云计算服务模式导致的安全问题,虚拟化带来的技术和管理问
6、题等。云安全主要面临来至于技术,管理和法律风险三个方面的挑战。挑战包括:(1)数据集中,聚集的用户、应用和数据资源更方便黑客发动集中的攻击,事故一旦产生影响范围广,后果严重。(2)传统基于物理安全边界的防护机制在云计算的环境难以得到有效的应用。(3)基于云的业务模式,给数据安全的保护提出了更高的要求。(4)云计算的系统非常大,发生故障的时候,如果快速的定位问题的所在,挑战也很大。(5)云计算的开放性对接口安全提出新的要求(6)管理方面,挑战在于管理权方面,云计算数据的管理权和所有权是分离的,比如公有云服务方面,是否给供应商提供一些高权限的管理;还有就是在企业和服务提供商之间需要在安全方面达成一
7、致;还有就是在协同和管理上的一些问题。比如发生攻击时的联动,对运营管理的模式提出了一些要求;还有监管方面的挑战等(7)在法律风险方面主要是地域性的问题。云计算应用引发了地域性弱,信息流动性大的特点,在信息安全监管、隐私保护等方面可能存在法律风险。4 云计算安全技术研究4.1 身份管理身份是云运营安全中的关键元素。对于有访问验证需要的云组件,这个信息必须是正确和可用的。要求如下:(1) 必须实施控制措施,从而保护省份信息的保密性,完整性和可用性。(2) 实施身份管理系统,支持验证云人员的需求。(3) 实施身份管理系统,支持验证较大的规模云租户和用户需求。(4) 考虑使用联合身份系统,允许用户群体
8、的身份移植,为内部访问以及租户和用户访问提供单一机制。联合身份管理系统会允许客户和第三方身份提供商或者可能适合的领域之间的互通性。(5) 根据策略和法律要求,在注册时间内验证用户的身份。(6) 确保身份对应的服务取消后,保存用户的历史信息以便将来的法律调查。(7) 对用户实施由云提供商人员验证身份声明的方法。4.2 数据安全云数据安全锁包含的内容圆圆不止简单的数据加密那么简单。为了实现高效的云数据安全,局不能仅仅依赖于合理的防范措施,必须对各种防范措施进行全盘考虑,使其构成一道弹性的屏障,并同时为静态数据和动态数据提供安全保护。4.2.1 数据存储安全用户把数据存储于云计算环境中,数据的安全和
9、隐私保护会是用户首要关心的问题。一方面,网络黑客会通过技术手段可能对用户数据造成很大威胁;另一方面,云服务提供商的内部管理人员拥有更好的权限,对用户数据安全以及隐私保护存在潜在威胁,必须采取有的效措施避免拥有特权账户的人员对用户数据照成可能破坏。用户在客户端对比较敏感数据进行加密可以大大降低数据泄密带来的风险。201 1 年 4 月到6 月索尼网站先后遭到多起黑客攻击,黑客就是利用 Sony Pictures 站点网页的安全漏洞进行 SQL 注入攻击。数据残留是数据在被以某种形式擦除后所残留的数据碎片,这些碎片有可能被用来重建原始数据 。云服务提供商应保证,在释放用户存储空间后并在重新分配给其
10、他用户使用前将存储介质上保留信息完全清除。同时还要向用户提供完善的数据备份与灾难恢复功能 J,这些在保证数据安全方面将发挥重要作用。访问控制方面,必须灵活融合多类访问控制方法,如基于属性和基于凭证的方法。4.2.2 数据传输安全在非专用或分布式网络环境中,用户对在网络中交换数据所使用的通信信道控制能力很弱,通常没有。如果正在交换的数据没有安全地进行交换,则在这种情况进行认证的意义不大。为保证数据在传输过程中的安全性,通常采用的方法有两种:一种通过传输层安全性实现,通过使用加密网络通信信道,如使用虚拟专用网络(VPN)在用户和数据中心节点之间提供安全通道,从而确保传输的数据是安全的;二是使用数据
11、层的安全性,不对通信信道进行加密,而是对所交换的数据进行加密。在分布式系统中第二种方法效率更高,很容易实现对公共网络上分发的数据进行加密。不管使用哪种方法,作为云安全的一部分,都应该确保加密机制是安全的,这可能需要经常地修改密钥和密码,利用公钥私钥系统可以简化信息交换以及以后使用新的密钥更新信息的过程。同时也必须考虑信息安全要求和加密技术对网络运行负荷带来的负面影响,如资源开销、传输延迟等,要寻找安全需要与代价间的平衡。5 Amazon EC2 实例亚马逊弹性计算云(EC2,Elastic Compute Cloud)是一个让使用者可以租用云端电脑运行所需应用的系统。EC2 借由提供 Web
12、服务的方式让使用者可以弹性地运行自己的 Amazon 机器映像档,使用者将可以在这个虚拟机器上运行任何自己想要的软件或应用程式。提供可调整的云计算能力。它旨在使开发者的网络规模计算变得更为容易。图二是一个使用 EC2 来部署应用的例子。图中蓝色圆角框代表虚拟机,它用多台虚拟机组成一个应用的集群,即灰色框内,在这个集群的前端有一个 HAProxy 作为 Load Balencer(负载均衡)之用。另外还用了数据库集群,分 Master 和 Salve,同时在这台虚拟机上还安装了 Memcacher(分布式内存对象缓存系统)作为缓冲服务器,最终的数据持久化到 S3 中。基于 EC2 平台的例子有很
13、多,例如 Dynamo。EC2 平台的推出,主要解决了一下几个问题:(1) 数据均衡分布的问题。(2) 数据冲突的问题。(3) 强大的容错机制。(4) 成员资格及错误检测。图二 EC2 实例6 结束语随着云计算的发展越来越快速,云计算的广阔前景不可估量,但云计算面临的安全风险也与日俱增。为了保持云计算健康可持续的发展,必须尽快解决安全隐患。虽然目前有标准组织在研究云计算安全和制定相应的标准,但是任然缺乏一个统一的标准。现今有很多公司都在退出云计算的安全产品,但是只能解决一个很小方面的问题。云计算的问题要得到解决必须要让企业和学术界联合起来,共同解决云计算的安全问题。参考文献:1 王鹏走进云计算北京:人民邮电出版社,20092 美查尔斯巴布科克(CharlesBabcock)著.云革命M.丁丹,译.北京:东方出版社,2011,1.3 Cloud Security Alliance. Security guidance for critical areas of focus in cloud computing v2.1,http:/cloudsecurityalliance.org/csaguide.pdf3 刘鹏.云计算(第二版)M.北京:电子工业出版社,2011,5.
