1 什么是云計算安全？

在互聯(lián)網(wǎng)快速發(fā)展的今天，網(wǎng)絡(luò)的安全是不可回避的問題，尤其是各種安全威脅對業(yè)務(wù)系統(tǒng)的潛在危害逐漸放大的今天，任何IT系統(tǒng)的建設(shè)都很難忽視安全問題的存在。而各種“私有云”或是“公有云”的數(shù)據(jù)中心建設(shè)，安全、高效的業(yè)務(wù)交付也是其成功的基礎(chǔ)和必備的要求。每一刻建設(shè)的環(huán)節(jié)，包括物理環(huán)境的搭建過程、云計算業(yè)務(wù)系統(tǒng)的構(gòu)建、服務(wù)器存儲資源池的部署，以及系統(tǒng)的運(yùn)營操作等，都是安全風(fēng)險的潛在制造者和影響系統(tǒng)安全交付的因素。來自Forrester Consulting 2011年的調(diào)查報告顯示（如圖1所示），在云計算的部署過

程中，對于安全的擔(dān)憂已經(jīng)成為用戶選擇云計算服務(wù)時的重要參考。

圖1 云計算部署過程中用戶關(guān)注點(diǎn)調(diào)查

作為處于云計算產(chǎn)業(yè)鏈中的主要參與者，企業(yè)客戶、云計算服務(wù)商、云計算設(shè)備供應(yīng)商等對于云安全都有自身的理解：對服務(wù)商而言，如何建設(shè)安全的云計算環(huán)境，如何給客戶提供高安全性的SLA保證是其關(guān)注的重點(diǎn)；對于企業(yè)客戶而言，其關(guān)注的是自身業(yè)務(wù)系統(tǒng)保存或使用的核心數(shù)據(jù)的安全，這些數(shù)據(jù)一旦泄漏或者丟失將損害到企業(yè)的核心競爭力�？梢钥闯�，盡管各自關(guān)注的視角有所不同，但是其本質(zhì)都是在關(guān)注整個云計算業(yè)務(wù)系統(tǒng)的安全，這也是我們對于云安全的定義，接下來我們將基于這個角度對云計算的安全風(fēng)險進(jìn)行分析。

2 云計算環(huán)境下的安全風(fēng)險

在云計算的建設(shè)過程中，每個建設(shè)環(huán)節(jié)都可能導(dǎo)致安全問題，諸如物理機(jī)房環(huán)境的安全、網(wǎng)絡(luò)的安全、應(yīng)用系統(tǒng)的安全、數(shù)據(jù)存儲的安全、管理平臺的安全等。拋掉物理環(huán)境的安全不談，其他幾個環(huán)節(jié)可能導(dǎo)致的安全風(fēng)險可以歸結(jié)為以下幾個方面。

1）用戶數(shù)據(jù)泄露或丟失

這是目前云計算用戶最為擔(dān)心的安全風(fēng)險，也是用戶數(shù)據(jù)泄露的重要途徑。用戶數(shù)據(jù)在云計算環(huán)境中進(jìn)行傳輸和存儲時，用戶本身對于自身數(shù)據(jù)在云中的安全風(fēng)險并沒有實(shí)際的控制能力，數(shù)據(jù)安全完全依賴于服務(wù)商，如果服務(wù)商本身對于數(shù)據(jù)安全的控制存在疏漏，則很可能導(dǎo)致數(shù)據(jù)泄露或丟失�，F(xiàn)階段可能導(dǎo)致安全風(fēng)險的有以下幾種典型情況：

由于服務(wù)器的安全漏洞導(dǎo)致黑客入侵造成的用戶數(shù)據(jù)丟失；

由于虛擬化軟件的安全漏洞造成的用戶數(shù)據(jù)被入侵的風(fēng)險；

數(shù)據(jù)在傳輸過程中沒有進(jìn)行加密導(dǎo)致信息泄露；

加密數(shù)據(jù)傳輸?shù)敲荑�管理存在缺失導(dǎo)致數(shù)據(jù)泄露；

不同用戶的數(shù)據(jù)傳輸之間沒有進(jìn)行有效隔離導(dǎo)致數(shù)據(jù)被竊��；

用戶數(shù)據(jù)在云中存儲沒有進(jìn)行容災(zāi)備份等。

從這個角度看，云計算服務(wù)商在向用戶推薦云計算服務(wù)時，需要和企業(yè)用戶簽署服務(wù)質(zhì)量保證協(xié)議，并從技術(shù)和管理兩個方面向用戶進(jìn)行安全保證，以減輕用戶對于數(shù)據(jù)安全的擔(dān)憂。

2）用戶應(yīng)用不能安全交付

云計算服務(wù)商在運(yùn)行維護(hù)過程中，需要對整個云計算中心的服務(wù)器存儲網(wǎng)絡(luò)等資源進(jìn)行運(yùn)維管理。在這個過程中，任何運(yùn)維管理環(huán)節(jié)的問題，都可能對用戶的應(yīng)用造成損害，如因?yàn)榕渲梅矫娴氖韬�，造成用戶的虛擬化計算資源不足以正常運(yùn)行業(yè)務(wù)系統(tǒng)；因?yàn)榫W(wǎng)絡(luò)安全的配置錯誤導(dǎo)致互聯(lián)網(wǎng)連接不通；因?yàn)榉⻊?wù)商對公共安全風(fēng)險如DDOS攻擊防護(hù)不足導(dǎo)致用戶對外的業(yè)務(wù)交付出現(xiàn)故障等。

3）內(nèi)部人員數(shù)據(jù)竊取

企業(yè)的核心數(shù)據(jù)在云計算環(huán)境中的存儲，離不開管理員的操作和審核，如果服務(wù)商內(nèi)部的管理出現(xiàn)疏漏，將可能導(dǎo)致內(nèi)部人員私自竊取用戶數(shù)據(jù)，從而對用戶的利益造成損害。在這種情況下，除了通過技術(shù)的手段加強(qiáng)數(shù)據(jù)操作的日志審計之外，嚴(yán)格的管理制度和不定期的安全檢查十分必要。云計算服務(wù)供應(yīng)商有必要對工作人員的背景進(jìn)行調(diào)查并制定相應(yīng)的規(guī)章制度避免內(nèi)部人員“作案”，并保證系統(tǒng)具備足夠的安全操作的日志審計能力，在保證用戶數(shù)據(jù)安全的前提下，滿足第三方審計單位的合規(guī)性審計要求。

4）用戶身份認(rèn)證的安全

云計算服務(wù)商在對外提供服務(wù)的過程中，需要同時應(yīng)對多租戶的運(yùn)行環(huán)境，保證不同用戶只能訪問企業(yè)本身的數(shù)據(jù)、應(yīng)用程序和存儲資源。在這種情況下，運(yùn)營商必須要引入嚴(yán)格的身份認(rèn)證機(jī)制，不同的云計算租戶有各自的帳號密碼管理機(jī)制。如果運(yùn)營商的身份認(rèn)證管理機(jī)制存在缺陷，或者運(yùn)營商的身份認(rèn)證管理系統(tǒng)存在安全漏洞，則可能導(dǎo)致企業(yè)用戶的帳號密碼被仿冒，從而使得“非法”用戶堂而皇之的對企業(yè)數(shù)據(jù)進(jìn)行竊取。因此如何保證不同企業(yè)用戶的身份認(rèn)證安全，是保證用戶數(shù)據(jù)安全的第一道屏障。

3 云計算環(huán)境下安全防護(hù)的差異化分析

基于云計算環(huán)境下的安全風(fēng)險分析，在云計算安全的建設(shè)過程中，需要針對這些安全風(fēng)險采取有針對性的措施進(jìn)行防護(hù)。和傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)方式相比，云計算環(huán)境下的安全建設(shè)有其明顯的特點(diǎn)，主要存在以下幾個方面的差異。

3.1 云計算環(huán)境下一般性安全風(fēng)險的特點(diǎn)

在云計算的建設(shè)過程中，盡管其在業(yè)務(wù)模型或者服務(wù)器虛擬化等方面有了革命性的變化，但是其應(yīng)用系統(tǒng)本身以及用戶訪問的行為并沒有發(fā)生本質(zhì)的變化：服務(wù)器業(yè)務(wù)系統(tǒng)的安全交付、用戶訪問的安全隔離和控制、網(wǎng)絡(luò)本身對DDoS等惡意流量的攻擊防護(hù)、病毒蠕蟲、惡意代碼和釣魚網(wǎng)站等安全威脅仍然存在。因此，云計算的安全防護(hù)首先需要考慮的是如何對這部分常規(guī)安全風(fēng)險進(jìn)行防護(hù)。從這個角度看，傳統(tǒng)的防火墻和入侵防御等產(chǎn)品形態(tài)仍然適合，而且涉及到的技術(shù)支撐和設(shè)備的防護(hù)部署思路可以繼續(xù)借鑒。當(dāng)然，在云計算環(huán)境下，因?yàn)橄到y(tǒng)流量模型的相對集中，對于安全設(shè)備的性能和擴(kuò)展性等方面有了一些新的要求，系統(tǒng)需要支持更高性能的安全防護(hù)，尤其是當(dāng)安全作為一種服務(wù)對外提供的環(huán)境下，更需要安全資源池在高性能可擴(kuò)展方面提供相應(yīng)的保障。

3.2 虛擬化技術(shù)引發(fā)的新的安全風(fēng)險

服務(wù)器虛擬化是現(xiàn)階段云計算數(shù)據(jù)中心實(shí)施最為廣泛的技術(shù)，基于服務(wù)器的虛擬化技術(shù)，可以將單臺物理服務(wù)器虛擬出多臺虛擬機(jī)并獨(dú)立安裝各自的操作系統(tǒng)和應(yīng)用程序，從而有效提升服務(wù)器本身的利用效率。在這種模型下該虛擬化技術(shù)將可能導(dǎo)致以下三個方面的新安全風(fēng)險，并進(jìn)而影響到單個物理服務(wù)器或全體虛擬機(jī)的運(yùn)行安全。

1）虛擬化軟件各種底層應(yīng)用程序的安全漏洞。

以VMware、Citrix和微軟的虛擬化應(yīng)用程序ESX/XEN/Hyper-V為代表的虛擬化應(yīng)用程序本身可能存在的安全漏洞將影響到整個物理主機(jī)的安全。黑客在利用漏洞入侵到主機(jī)系統(tǒng)之后，可以對整個主機(jī)上的虛擬機(jī)進(jìn)行任意的配置破壞，從而導(dǎo)致系統(tǒng)不能對外提供業(yè)務(wù)，或者是將相關(guān)數(shù)據(jù)進(jìn)行竊取。同時，針對以vCenter為代表的虛擬機(jī)配置管理程序，考慮到其涉及到全部虛擬機(jī)的安全，因此針對這類管理平臺軟件的安全漏洞攻擊，也是新的安全風(fēng)險。

2）虛擬機(jī)應(yīng)用程序的安全漏洞。

這些應(yīng)用程序是云服務(wù)交付的核心組成，包括Web前端的應(yīng)用程序、各種中間件應(yīng)用程序及數(shù)據(jù)庫程序等，即使在傳統(tǒng)網(wǎng)絡(luò)安全環(huán)境下，他們?nèi)匀粫驗(yàn)榫幊碳夹g(shù)的缺陷而存在多個安全漏洞，在云計算環(huán)境下，這些安全漏洞會繼續(xù)存在，典型如各種Web會話控制漏洞、會話劫持漏洞及各種注入攻擊漏洞。同時為了適應(yīng)或使用虛擬化環(huán)境下的各種API管理接口，也可能產(chǎn)生一些新的安全漏洞。

3.3 云計算虛擬機(jī)流量交換的安全新風(fēng)險

在虛擬化環(huán)境下，單臺物理服務(wù)器上可以虛擬化出多個完全獨(dú)立的虛擬機(jī)并運(yùn)行不同的操作系統(tǒng)和應(yīng)用程序，各虛擬機(jī)之間可能存在直接的二層流量交換，而這種二層交換并不需要經(jīng)過外置的二層交換機(jī)，管理員對于該部分流量既不可控也不可見，從而面臨新的問題（如圖2所示）：

1）管理員如何判斷VM虛擬機(jī)之間的訪問是否符合預(yù)定的安全策略，如何實(shí)現(xiàn)對這些VM之間的流量訪問進(jìn)行允許或禁止的安全策略設(shè)置？

2）如果該VM之間的流量互訪被允許，如何判斷這些訪問流量是否存在攻擊行為？是否存在針對WEB應(yīng)用層安全漏洞的攻擊？云計算環(huán)境下的安全防護(hù)需要有針對性的解決方案。

圖2 虛擬機(jī)流量交換安全風(fēng)險示意圖

3.4 云的終端安全接入及訪問控制的風(fēng)險

傳統(tǒng)的網(wǎng)絡(luò)安全模型中，針對網(wǎng)絡(luò)終端用戶的安全接入和訪問控制也有成熟的解決方案，但是在云計算環(huán)境下，對于云端用戶的安全接入和訪問控制，出現(xiàn)了一些新的要求，特別是在IaaS的服務(wù)模型出現(xiàn)后，服務(wù)商需要為每個用戶提供自助服務(wù)管理界面，需要針對不同企業(yè)或類型的租戶提供差異化的用戶身份認(rèn)證管理授權(quán)策略，確保“合法”的用戶訪問正確的服務(wù)器，同時也需要在用戶訪問行為的日志記錄和安全事件的報告分析方面提供差異化的解決方案，為此參與該解決方案的用戶認(rèn)證網(wǎng)關(guān)、AAA認(rèn)證授權(quán)平臺在相關(guān)的多實(shí)例多域支持方面有更加嚴(yán)格的要求。薄弱的用戶驗(yàn)證機(jī)制，或者是單因素的用戶密碼驗(yàn)證很可能產(chǎn)生安全隱患，而云自助服務(wù)管理門戶的潛在安全漏洞又將導(dǎo)致各種未經(jīng)授權(quán)的非法訪問，從而產(chǎn)生新的安全風(fēng)險。

結(jié)束語

在建設(shè)云計算的過程中，只要分析清楚當(dāng)前環(huán)境中可能存在的安全風(fēng)險，并通過技術(shù)和管理的手段，制定相應(yīng)的安全建設(shè)的框架，就可以最大程度的實(shí)現(xiàn)云計算環(huán)境的系統(tǒng)安全，保證云計算業(yè)務(wù)的安全交付。