关于云计算及其安全问题的综述
2024-01-09
来源:小侦探旅游网
\\\. 文章编号:1007—1423(2013)06—0012—04 DOI:10.3969 ̄.issn.1007-1423.2013.06.003 关于云计算及其安全问题的综述 王洪镇 . 谢立华 (华南农业大学信息学院,广州510642) 摘要:随着云计算的蓬勃发展,云计算的安全问题越来越受到关注。分析阐述现阶段云计算及其 安全问题研究领域和成果 重点对世界各地区高校在云计算领域上的研究及发展动向进行 论述。从安全对云计算的重要性说起,重点论述云计算安全问题对云计算发展的影响、总结 目前国际上关于云计算安全问题的研究现状。主要包括CSA.ENISA以及微软在云计算安 全方面所作的研究工作 关键词:云计算;云安全:互联网 0 引言 看他们与IT企业的合作情况和在“云计算”方面做的 最新研究 近十几年来.互联网技术迅猛发展。云计算能提供 提供安全、快速、便捷的数据存储和网络服务,使互联 网成为每一个用户的数据中心和计算中心.使用户使 用各种应用的平台从桌面转向Web 基于互联网开放 1.1清华大学(TsingHua Univeniv/) 2o08年6月10日.全球信息基础架构解决方案领 导者EMC公司宣布加入“道里”可信基础架构项目.致 力于云计算环境下关于信任和可靠度保证的全球研究 协作。作为中国顶尖的技术高校,清华大学与EMC公 司有着多个领域的合作.尤其在高性能计算集群和数 据中心方面.清华大学拥有大量的经验.所以项目的 WIKI网络服务器架设在清华大学 清华大学的研究重 点在于在云计算环境下探索安全保护技术.使其可应 用于保护基础物理设施以及在安全的基础上广泛共享 资源。 平等的特性以及校园年轻人对新知识的强烈渴望. Google公司和IBM公司发起了云计算的学术提倡.真 正把“云”带进了校园.并确定了北美的6所一流大学 作为引导组织,一时间.世界各大高校风起“云”涌。但 是在云计算环境中.用户不再拥有基础设施的硬件资 源,软件都运行在云中,业务数据也存储在云中,因此 云计算安全关系到云计算这种革命性的计算模式是否 能够被业界接受 1.2卡耐基梅隆大 ̄(Carnegie MeLon Univenity) 1 高校对云计算的研究 各大IT企业都和世界上的各大高校签订合作协 议.充分利用高校里的科研力量来进一步开发当今以 大规模计算为基础的研究计划。同时,这些合作计划也 为大学提供了相关硬件设备以及技术支援 笔者从世 界的各大高校中选取了较有代表性的几所大学.来看 卡耐基梅隆大学卡塔尔分校是“卡塔尔云计算计 划”的起点.这项首次将云计算技术引入中东地区的计 划旨在就构建云计算环境展开协作.共同开发云解决 方案,以帮助解决行业问题。卡耐基梅隆大学卡塔尔分 校与IBM公司合作,并得到安全可靠的服务器辅助.他 们将合作开发应用程序.以Hadoop程序设计模式为第 收稿日期:2012—01—31 修稿日期:2012-02—05 作者简介:王洪镇(1986一),男,广东汕头人,硕士,研究方向为现代信息安全、密码分析、云计算、云安全 @ 现代计算机2013.02下 / 一步.提高当地对这种新型程序设计模式的认识。此 外.他们还与其他大学共同确定了试验应用项目:地震 建模与石油天然气勘探:面向石油天然气行业的生产经 营一体化解决方案:阿拉伯语网络搜索引擎等。 1.3麻省理工学I ̄(MIT) 云计算在麻省理工学院是可以带来新一轮的软件 创新热潮的技术 而微软也把眼光放在了这上面,所以 微软与MIT共同启动了一项创新计划.要在云计算的 领域一展拳脚 虚拟化和云计算领域的一批专家在麻 省理工学院(MIT)召开的新兴技术大会上齐聚一堂,讨 论虚拟化云计算的未来发展方向。随着时间的推移,虚 拟化将成为大多数IT基础架构当中的一个关键部分。 随着云计算潮流愈演愈烈.虚拟化在很大程度上会与 其他技术融合在一起.而不再成为一门独立的技术领 域 所以MIT对于云计算的研究重点是让虚拟化和云 计算求同存异.相互补充.共同达到合理分配资源和提 高计算效率的目的。 2 安全对云计算的重要性 云计算发展从来就不是一帆风顺的 云计算中数 据的安全、用户隐私保护以及云计算平台的稳定性、云 计算的监管等几个方面所构成的云计算安全问题成了 阻碍云计算进一步发展的重要因素。目前,各个公司所 部署和开发的云计算业务运行也不够稳定.部分云计 算业务提供商比较频繁地出现数据安全方面的问题, 在2009年7~8月期间.Google的云计算平台频频发生 故障。2009年4月.微软Azure云计算平台彻底崩溃, 使相关用户损失了大量的数据。凡此种种。也更加剧了 用户在数据安全和隐私保护方面对使用云计算业务和 相关应用方面的忧虑 从目前云计算的发展来看,用户数据的安全、用户 隐私信息的保护问题、数据的异地存储以及云计算自 身的稳定性等诸多安全和云计算监管方面的问题,直 接关系到了云计算业务被用户的接受程度。进而成为 了影响云计算业务发展的最重要因素。 3 云计算安全的研究现状 目前,对云计算进行研究和部署的组织,据ITU—T 的云计算焦点组(FG—Cloud)所给出的一个数据有27 家之多,主要包括CSA(云计算安全联盟),DMTF(分布 式管理工作组),SNrA(存储网络行业协会),OGF( ̄放 网格计算论坛),OCC(开放云计算联盟),OASIS(结构 信息标准化促进组织),TM Forum(TM论坛),IErlT(互 联网工程任务组),ITU(国际电信联盟),E1’SI(欧洲电 信标准化协会),OMG(对象管理组织),ENISA(欧洲网 络和信息安全研究所),ISACA(国际信息系统审计协 会)以及微软.IBM这样的ICT巨头公司。具体到云计 算安全方面问题的研究.则主要是CSA和ENISA以及 微软等几个组织和公司积极进行研究和云计算安全方 面的部署 下面侧重介绍CSA和ENISA以及以微软为 代表的国际研究组织和ICT巨头公司在云计算安全的 研究进展以及相应的一些研究成果。 3.1 CSA CSA(Cloud Security Alliance,云安全联盟)在2009 年成立后.迅速获得了业界的广泛认可,和ISACA, OWASP等业界组织建立了合作关系.很多国际知名公 司成为其企业成员 目前.CSA在云计算安全方面列举 并分析了所面临的7个最大的安全威胁。尽管只是7 个问题.但是其中任何一个都可能导致安全风险、法律 通知和诉讼问题的出现 以下是CSA所研究得出的云 计算面临的7个安全问题以及可能的解决办法。 ①对云的不良使用问题 IaaS(基础设施即服务)供 应商对登记程序管理不严 任何一个持有有效信用卡 的人都可以注册并立即使用云服务。通过这种不良的 滥用.网络犯罪分子可以进行攻击或发送恶意软件。云 供应商需要有严格的首次注册制度和验证过程.并监 督公共黑名单和客户网络活动 ⑦不安全的API 通常云服务的安全性和能力取 决于API的安全性.用户用这些API管理和交互相关 服务 这些API接El的设计必须能够防御意外和恶意 企图的政策规避行为.以确保强用户认证、加密和访问 控制的有效 ③恶意的内部人员。当缺乏对云供应商程序和流 程认识的时候.恶意内部人员的风险就会加剧 企业应 该了解供应商的信息安全和管理政策.强迫其使用严 格的供应链管理以及加强与供应商的紧密合作 同时. 还应在法律合同中对工作要求有明确的指定说明.以 规范云计算运营商处理用户数据等这些隐蔽的过程 ④共享技术的问题。IaaS厂商用在基础设施中并 不能安全地在多用户架构中提供强有力的隔离能力 现代计算机 2013.02下 @ 云计算供应商使用虚拟化技术来缩小这一差距.但是 由于安全漏洞存在的可能性.企业应该监督那些未经 授权的改动和行为.促进补丁管理和强用户认证的实 行。 ⑤数据丢失或泄漏。降低数据泄漏的风险。意味着 实施强有力的API访问控制以及对传输过程的数据进 行加密。 ⑥账户或服务劫持。如果攻击者控制了用户账户 的证书,那么他们可以为所欲为,窃听用户的活动、交 易.将数据变为伪造的信息。将账户引NtP法的网站。 企业应该屏蔽用户和服务商之间对账户证书的共享. 在需要的时候使用强大的双因素认证技术 ⑦未知的风险。了解用户所使用的安全配置,无论 是软件的版本、代码更新、安全做法、漏洞简介,入侵企 图还是安全设计 查清楚谁在共享用户的基础设施.尽 快获取网络入侵日志和重定向企图中的相关信息 3.2 ENISA ENISA(European Network and Information Security Agency.欧洲网络和信息安全研究所)是负责欧盟内部 各个国家网络与信息安全的一个研究机构.负责为欧 盟内各个国家在网络与信息安全的问题提出建议和指 导安全方面的实践活动等 在ENISA关于云计算安全的研究中.主要的研究 成果是从企业的角度出发.对云计算可能带来的好处 以及安全方面的风险 ENISA建议当企业要把数据交 给云计算服务商托管时.该如何做才能把风险降到最 低。ENISA在报告中指出,云计算的好处很明显.就是 内容和服务随时都可存取.而企业也可降低成本.因为 不必再花冤枉钱管理超过需求的数据中心容量.而是 可以根据具体的需求调整用量.并依照实际用量付费。 通过使用云计算提供商提供的云计算服务.企业不必 维护某些硬件或软件.同时也可以“解放”企业内部的 IT资源。但是目前.企业仍对云计算望而却步.首要的 问题是安全性 企业质疑.是否能够放心把企业的数 据、甚至整个商业架构.交给云计算服务供货商。 云计算虽然号称24h全天候提供服务.但其数据 中心也可能因故障停机 这将导致他们只依赖一家服 务供货商.万一数据与服务必须移交给另一家服务供 货商,可能遭遇问题。再者,把数据搬上云,企业可能面 临主管当局审查方面的挑战。有些云服务供应商还可 现代计算机2013.02下 能确实没有依照顾客的吩咐.把数据完全、妥善地删除 干净。 因此.ENISA在报告中建议.企业必须做风险评 估.比较数据存在云中和存储在自己内部数据中心的 潜在风险.比较各家云服务供应商,把选择缩减到几 家,并取得优选者的服务水平保证。应该清楚指定哪些 服务和任务由公司内部的IT人员负责、哪些服务和任 务交由云服务供应商负责。ENISA的报告指出.如果选 对云计算供应商。数据存在云中是非常安全的.甚至比 内部的安全维护更固若金汤、更有弹性、更能快速执 行.也可以更有效率地部署新的安全更新.并维持更广 泛的安全诊断 3.3微软 相对于Google.Amaz0n以及IBM等推动云计算发 展的先驱者.微软在云计算安全的研究方面走在了前 面。微软分析了云计算所面临的安全方面的挑战,并基 于微软所提供的云计算架构给出了相应的安全方面的 防护建议 微软所分析的云计算所主要面临的安全挑 战,主要包括以下几个方面: ①服务提供商与用户之间在云计算模式下建立起 一种互相依赖的关系 用户与云计算提供商之间的依 赖关系.是以云计算业务提供商所提供业务的安全性 和可用性为前提的 为了保证所提供业务的安全性和 可用性.云计算业务提供商必须能够提供一种可信任 的云计算架构来承载云计算运营商所提供给用户的诸 多云计算业务 ②应用模式的多样化和用户规模的不断增长。云 计算模式下.由于技术的创新和用户需求的变化.使得 运营在互联网上的业务和应用模式变得更加多样化. 数量会呈爆炸式增长。因此.在这样一种业务和应用提 供模式下.整个互联网环境无论内部还是外部都面临 着巨大的扩展压力 如何应对云计算时代业务和应用 急速增长环境下的安全问题.是未来云计算时代互联 网需要考虑和解决的一个重要问题 ③云计算系统攻击和云中信息的非法获取或使 用。云计算环境下,由于数据的集中存储,一旦云计算 系统被攻击.那么产生的数据丢失和隐私信息泄露将 会更为严重 云计算运营商所享有的超级用户角色如 果监管不严或者是被滥用.也会对用户数据的安全造 成威胁.比如说可能造成用户数据和隐私信息的非法 ? 获取等 【5]ITU-T FG-Cloud.http://www.itu.int/ITU—T/ofcusgroups/cloud 【6]Cloud Security Alliance.http://www.cloudsecurityalliance.org [7]Cloud Security Alliance.Security Guidance for Critical Areas of Focus in Cloud Computing:http:llwww.cloudsecurity— alliance.org/csaguide.pdf / ④复杂的合法规则性需求。由于每个国家都有权 利制定相应的法律来规定和限制互联网领域云计算业 务的提供和使用.而不同国家所制订和执行的法律之 间.在规定的条款以及执行的力度上差别很大.这就对 跨国运营的云计算提供商提出了比较大的挑战。 [8]Cloud Security Alliance.Top Threats to Cloud Computing V1.0.http://www.cloudsecurityalliance.org/topthreats/csath— reats.v1.0.pdf 4 结语 随着云计算技术的快速发展和更广泛应用.云计 算将会面临更多的安全风险。虽然有几个标准组织在 研究云计算安全.但是目前业界对云计算安全的解决 并没有统一的标准和解决方法。不少公司推出云计算 安全的产品,但是创新力度明显不够,而且通常只能解 决一小方面的问题。云计算安全的研究目前大多数是 存在于企业.要解决云计算安全的诸多问题.少不了学 【9]ENISA.http://www.enisa.europa.eu 【10]ENISA.Cloud Computing Information Assurance Framework. http://www.enisa.europaeu/act/rm/files/deliverables/cloud computing-information-assurance—framework — 【1 llENISA.Beneifts.Risks and Recommendations for Informa— tion Security.http://www.enisa.europa.eu/act/rm/files/deliver— ables/cloud-computing——risk——assessment/atdownload/full _Repoa 术界的参与.未来需要企业和学术界共同解决云计算 的安全问题。推动云计算的发展。 参考文献 【12]Securing Microsoft S Cloud Infrastructure.http://www.global— oundatfionservicescom/security/documents/SecuringtheMS— CloudMay09.pdf [13]Tim M,Subra K,Shahed LCloud Security and Privacy.USA: O Reilly&Associates,2009 [1】冯登国,张敏,张妍,徐震.云计算安全研究[J].软件学报, 2011,22(1):71 ̄83 [2]Michael Armbrust,Armando Fox.Abore the Clouds,2009—2— 10 [14]Cloud Security Alliance.Security Guidance for Critical Ar— eas Offocus in Cloud Computing v2.1.http://cloudsecurityal— liance.orS/csaguide.pdf [3]胡炜,钟卫连.浅谈云计算的网络安全问题[J].中国科技信 [15]Tim Mather.Subra Kumaraswamy.Shahed Latif.Cloud Secu— rityand Parivacy[M].O Reilly Media.Inc.2009 息。2008(23)  ̄]NIST.http://csrc.nist.gov/gr0ups/SNS/cloud—computing/index. html Summary of Cloud Computing and Its Security Problems WANG Hong-zhen ,XIE Li-hua (Department of Informatics,South China Agricultural University,Guangzhou 5 10642) Abstract:With the development of cloud computing,cloud computing security problems are more and more attention.Analyzes the present stage of cloud computing and its security problems and achievements.DisCUSSES computing research and development trends in the field of cloud in different regions of the wodd.Starting from the importance of the security of cloud computing, analyzes the influence of the development of cloud computing,cloud computing security issues summarized on international security issues of cloud computing research,mainly including CSA,ENISA and Microsoft in cloud computing for security research. Keywords:Cloud Computing;Cloud Security;Internet 现代计算机 2013.02下