《全球云计算安全研究综述_张健》由会员分享,可在线阅读,更多相关《全球云计算安全研究综述_张健(4页珍藏版)》请在金锄头文库上搜索。
1、电信网技术 2010 年 9 月第 9 期网 络 技 术AnalysisonCloudComputingDevelopmentAbstract Fromcloudcomputingconceptwasproposed,there hasbeenvariousservice operatorsprovide cloudservice andsome test beds are also established. This article analyze international cloud computing business development as well asdomestic,an
2、dgivesomesuggestionsforChinesecloudcomputingdevelopment.Keywords cloudcomputing, development, bubble(收稿日期 :2010-08-15)!1 云计算目前的发展自 2006 年被 Google 提出之后 , 云计算的概念就在 ICT 产业界产生了巨大反响 ,Google,IBM,微软 ,亚马逊 ,英特尔等 ICT 巨头公司纷纷投以很大的财力和物力 ,积极跟进云计算的研究以及云计算业务和应用的部署等 。 关于云计算的理解 ,定义目前就有几十种 。在诸多的云计算定义中 , 得到业界最广泛接受的 ,是2
3、009 年由美国国家标准和技术研究院 (NIST)组织云计算产业界的主要厂商 , 经过多次讨论研究后提出的 ,具体如下 :云计算是一种通过网络以便捷 、按需的形式从共享的可配置的计算资源池 (这些资源包括网络 、服务器 、存储 、应用和服务 )中获取服务的业务模式 。 云计算业务资源应该支持通过简洁的管理或交互过程快速的部署和释放 。NIST 所给出的定义 , 从根本上规范了云计算的业务模式和特征 。 NIST 所给出的定义中还包含了云计算的 5 个基本特征 ,如按需自助服务 ,广泛的宽带网络接入 ,构建资源池 ,快速弹性 ,供可测量的 ,按使用量计费的服务等 。 根据云的使用范围 、运营模式
4、不同 ,描述了云的 4 种部署模式 (公有云 、私有云 、社区云和混合云 )。目前 , 云计算主要是由 Google,Amazon, 微软 ,IBM 等 ICT 巨头在积极推动研究和部署 ,比较成熟的云计算业务和应用包括 Google 的 App Engine,Amazon 的弹性计算云 EC2 和简单存储服务 S3,微软的 Azure 云平台 ,IBM 的 “蓝云 ”等 。2 安全对云计算的重要性目前的云计算发展也不是一帆风顺 。 云计算中数据的安全 、 用户隐私保护以及云计算平台的稳定性 、云计算的监管等几个方面所构成的云计算安全问题全 球 云 计 算 安 全 研 究 综 述张 健 工业和
5、信息化部电信研究院通信标准研究所工程师摘 要 从安全对云计算的重要性说起 , 重点论述了云计算安全问题对云计算发展的影响 、总结了目前国际上关于云计算安全问题的研究现状 ,主要包括 CSA,ENISA 以及微软在云计算安全方面所作的研究工作 ,并指出与云计算安全问题的解决 ,需要从技术 、标准 、法律等多个方面综合考虑 。关键词 云计算 云安全 云安全联盟15 TELECOMMUNICATIONS NETWORK TECHNOLOGY No.9 NETWORK TECHNOLOGY成了阻碍云计算进一步发展的重要因素 。根据云计算的定义和相关概念的理解 ,云计算的操作模式是将用户数据和相应的计算
6、任务交给全球运行的服务器网络和数据库系统 。 用户数据的存储 ,以及用户数据的处理和保护等操作 ,都是在 “云 ”中完成的 。这样 , 就不可避免地使用户的数据处于一种可能被破坏和窃取的不安全状态 , 并且也有更多更详细的个人隐私信息曝露在网络上 ,存在非常大的泄露风险 。云计算的出现彻底打破了地域的概念 ,资源的跨地域存储与本地化监管之间的矛盾将会被激化 。 相比目前传统的数据存储和处理方式 ,云计算时代的数据存储和处理 ,对于用户而言 ,变得非常不可控 。 “云 ”对于用户来说 ,就相当于是一个黑匣子 ,用户不知道自己的数据存贮在什么地方以及可能在哪些服务器来处理等 。云计算这样的一种数据
7、存储和处理方式 ,对于数据私密性不强的用户来说 ,可能还不是问题 。 但是对于数据私密性要求比较高的用户来说 ,能不能保证其数据和隐私信息的安全 ,就会成为这种类型用户是否选择云计算的一个重要前提条件 。而目前 ,各个公司所部署和开发的云计算业务运行也不够稳定 ,部分云计算业务提供商比较频繁地出现数据安全方面的问题 , 在 2009 年 78 月期间 ,Google 的云计算平台频频发生故障 。 2009 年 4 月 ,微软 Azure 云计算平台彻底崩溃 , 使相关用户损失了大量的数据 。 凡此种种 ,也更加剧了用户在数据安全和隐私保护方面对使用云计算业务和相关应用方面的忧虑 。从目前云计算
8、的发展来看 , 用户数据的安全 、用户隐私信息的保护问题 、数据的异地存储以及云计算自身的稳定性等诸多安全和云计算监管方面的问题 ,直接关系到了云计算业务被用户的接受程度 ,进而成为了影响云计算业务发展的最重要因素 。3 目前全球对云计算安全的研究现状目前 ,对云计算进行研究和部署的组织 ,据 ITU-T的云计算焦点组 (FG-Cloud)所给出的一个数据有 27家之多 ,主要包括 CSA(云计算安全联盟 ),DMTF(分布式管理工作组 ),SNIA (存储网络行业协会 ),OGF(开放网格计算论坛 ),OCC(开放云计算联盟 ),OASIS(结构信息标准化促进组织 ),TMForum(TM
9、论坛 ),IETF(互联网工程任务组 ),ITU(国际电信联盟 ),ETSI(欧 洲 电 信 标 准 化 协 会 ),OMG (对 象 管 理 组 织 ),ENISA(欧洲网络和信息安全研究所 ),ISACA(国际信息系统审计协会 ) 以及微软 ,IBM 这样的 ICT 巨头公司 。 具体到云计算安全方面问题的研究 , 则主要是CSA 和 ENISA 以及微软等几个组织和公司积极进行研究和云计算安全方面的部署 。下面本文就从云计算安全的角度出发 ,分别介绍CSA 和 ENISA 以及以微软为代表的国际研究组织和ICT 巨头公司在云计算安全的研究进展以及相应的一些研究成果 。3.1 CSACSA
10、(CloudSecurityAlliance,云安全联盟 )在 2009年成立后 , 迅速获得了业界的广泛认可 , 和 ISACA,OWASP 等业界组织建立了合作关系 , 很多国际知名公司成为其企业成员 。目前 ,CSA 在云计算安全方面列举并分析了所面临的 7 个最大的安全威胁 。 尽管只是 7 个问题 ,但是其中任何一个都可能导致安全风险 、法律通知和诉讼问题的出现 。以下是 CSA 所研究得出的云计算面临的7 个安全问题以及可能的解决办法 。(1) 对云的不良使用IaaS(基础设施即服务 )供应商对登记程序管理不严 。 任何一个持有有效信用卡的人都可以注册并立即使用云服务 。 通过这种
11、不良的滥用 ,网络犯罪分子可以进行攻击或发送恶意软件 。 云供应商需要有严格的首次注册制度和验证过程 ,并监督公共黑名单和客户网络活动 。(2) 不安全的 API通常云服务的安全性和能力取决于 API 的安全性 , 用户用这些 API 管理和交互相关服务 。 这些 API接口的设计必须能够防御意外和恶意企图的政策规避行为 ,以确保强用户认证 、加密和访问控制的有效 。(3) 恶意的内部人员当缺乏对云供应商程序和流程认识的时候 ,恶意内部人员的风险就会加剧 。 企业应该了解供应商的信16 电信网技术 2010 年 9 月第 9 期网 络 技 术息安全和管理政策 ,强迫其使用严格的供应链管理以及加
12、强与供应商的紧密合作 。 同时 ,还应在法律合同中对工作要求有明确的指定说明 ,以规范云计算运营商处理用户数据等这些隐蔽的过程 。(4) 共享技术的问题IaaS 厂商用在基础设施中并不能安全地在多用户架构中提供强有力的隔离能力 。 云计算供应商使用虚拟化技术来缩小这一差距 ,但是由于安全漏洞存在的可能性 , 企业应该监督那些未经授权的改动和行为 ,促进补丁管理和强用户认证的实行 。(5) 数据丢失或泄漏降低数据泄漏的风险 , 意味着实施强有力的 API访问控制以及对传输过程的数据进行加密 。(6) 账户或服务劫持如果攻击者控制了用户账户的证书 ,那么他们可以为所欲为 ,窃听用户的活动 、交易
13、,将数据变为伪造的信息 ,将账户引到非法的网站 。 企业应该屏蔽用户和服务商之间对账户证书的共享 ,在需要的时候使用强大的双因素认证技术 。(7) 未知的风险了解用户所使用的安全配置 , 无论是软件的版本 、代码更新 、安全做法 、漏洞简介 ,入侵企图还是安全设计 。 查清楚谁在共享用户的基础设施 ,尽快获取网络入侵日志和重定向企图中的相关信息 。3.2 ENISAENISA(European Network and Information SecurityAgency,欧洲网络和信息安全研究所 )是负责欧盟内部各个国家网络与信息安全的一个研究机构 ,负责为欧盟内各个国家在网络与信息安全的问题
14、提出建议和指导安全方面的实践活动等 。在 ENISA 关于云计算安全的研究中 ,主要的研究成果是从企业的角度出发 ,对云计算可能带来的好处以及安全方面的风险 。ENISA 建议当企业要把数据交给云计算服务商托管时 ,该如何做才能把风险降到最低 。 ENISA 在报告中指出 ,云计算的好处很明显 ,就是内容和服务随时都可存取 ,而企业也可降低成本 ,因为不必再花冤枉钱管理超过需求的数据中心容量 ,而是可以根据具体的需求调整用量 ,并依照实际用量付费 。 通过使用云计算提供商提供的云计算服务 ,企业不必维护某些硬件或软件 , 同时也可以 “解放 ” 企业内部的 IT 资源 。 但是目前 ,企业仍对
15、云计算望而却步 ,首要的问题是安全性 。 企业质疑 ,是否能够放心把企业的数据 、甚至整个商业架构 ,交给云计算服务供货商 。云计算虽然号称 24h 全天候提供服务 ,但其数据中心也可能因故障停机 。 这将导致他们只依赖一家服务供货商 ,万一数据与服务必须移交给另一家服务供货商 ,可能遭遇问题 。 再者 ,把数据搬上云 ,企业可能面临主管当局审查方面的挑战 。 有些云服务供应商还可能确实没有依照顾客的吩咐 ,把数据完全 、妥善地删除干净 。因此 ,ENISA 在报告中建议 , 企业必须做风险评估 ,比较数据存在云中和存储在自己内部数据中心的潜在风险 ,比较各家云服务供应商 ,把选择缩减到几家
16、,并取得优选者的服务水平保证 。 应该清楚指定哪些服务和任务由公司内部的 IT 人员负责 、哪些服务和任务交由云服务供应商负责 。 ENISA 的报告指出 ,如果选对云计算供应商 , 数据存在云中是非常安全的 ,甚至比内部的安全维护更固若金汤 、更有弹性 、更能快速执行 , 也可以更有效率地部署新的安全更新 ,并维持更广泛的安全诊断 。3.3 微软相对于 Google,Amazon 以及 IBM 等推动云计算发展的先驱者 ,微软在云计算安全的研究方面走在了前面 。 微软分析了云计算所面临的安全方面的挑战 ,并基于微软所提供的云计算架构给出了相应的安全方面的防护建议 。微软所分析的云计算所主要面临的安全挑战 ,主要包括以下几个方面 :(1) 服务提供商与用户之间在云计算模式下建立起一种互相依赖的关系用户与云计算提供商之间的依赖关系 , 是以云计算业务提供商所提供业务的安全性和可用性为前提的 。 为了保证所提供业务的安全性和可用性 ,云计算
