基于云計(jì)算的網(wǎng)絡(luò)安全的探析

卞曉光

（遼寧郵電規(guī)劃設(shè)計(jì)院有限公司 遼寧 110179）

1 云計(jì)算概述

云計(jì)算是一種分布式計(jì)算技術(shù)，它是利用網(wǎng)絡(luò)上的資源，將其整合成“云”，從而成為一種超級計(jì)算的模式?！霸啤蓖ǔＪ怯捎?jì)算服務(wù)器、寬帶資源、存儲服務(wù)器等大型服務(wù)器集群組成。對于用戶而言們，不需要煩惱底層的具體細(xì)節(jié)，這樣能夠更加專注自己的業(yè)務(wù)，有利于降低成本。根據(jù)云計(jì)算服務(wù)的對象服務(wù)對象可以將云計(jì)算分為公有云、私有云、混合云，根據(jù)云計(jì)算的服務(wù)類型可以將其分為軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）、基礎(chǔ)架構(gòu)即服務(wù)（IaaS）[1]。

圖1 云計(jì)算分類模型

2 云計(jì)算安全問題分析

云計(jì)算的服務(wù)模式從底層的IaaS模式到頂層的SaaS模式會向客戶提供不同的接口服務(wù)，在這個(gè)過程當(dāng)中，用戶會接觸到不同的資源，這就造成了在不同的服務(wù)層會有發(fā)生不同的安全問題。

2.1 IaaS安全問題

在IaaS層中，會提供給用戶所有設(shè)施使用權(quán)，這樣用戶可以自由的部署操作系統(tǒng)的鏡像，因此在IaaS層中面臨的安全問題是最多的。IaaS層中主要包括物理設(shè)施安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、虛擬化安全等問題。物理設(shè)置安全主要包括了通信網(wǎng)絡(luò)、電源、服務(wù)器等實(shí)體設(shè)備的安全，實(shí)體的安全正是整個(gè)云系統(tǒng)安全的大前提。數(shù)據(jù)傳輸安全指的是確保在傳輸數(shù)據(jù)當(dāng)中數(shù)據(jù)的完整性和保密性，云數(shù)據(jù)傳輸安全面臨的主要問題是由于技術(shù)問題，云系統(tǒng)內(nèi)部數(shù)據(jù)傳輸是非加密的。數(shù)據(jù)存儲安全實(shí)際到了數(shù)據(jù)保密性、可用性、完整性三個(gè)方面。但是絕大部門云服務(wù)提供商都沒有關(guān)注到數(shù)據(jù)殘留問題，這個(gè)問題已經(jīng)變得原來越緊迫。虛擬化安全問題是這一層的主要安全問題，現(xiàn)在用戶使用的IaaS服務(wù)基本上都是虛擬主機(jī)上的服務(wù)。這個(gè)問題包括虛擬軟件和虛擬主機(jī)兩個(gè)安全問題[2]。

2.2 PasS安全問題

PaaS層主要面臨有API安全問題、模塊整合問題、數(shù)據(jù)安全問題這三個(gè)問題。PasS層提供豐富的API給用戶，使得用戶通過這些API可以自云平臺上部署開發(fā)自己的應(yīng)用程序。因此不安全的API會導(dǎo)致降低用戶開發(fā)的應(yīng)用的安全性能。同時(shí)由于各個(gè)云服務(wù)提供商沒有統(tǒng)一的 API，這就導(dǎo)致了某個(gè)云平臺的應(yīng)用程序移植到另外一個(gè)云平臺上后就會變得不安全。PaaS層將底層的服務(wù)集合成一個(gè)整體，由于卻少相關(guān)的標(biāo)準(zhǔn)，無法保證這些集成后的服務(wù)模塊的安全性能，也難以評估這些模塊的安全性能。此外，應(yīng)用程序使用的不加密的靜態(tài)數(shù)據(jù)，很有可能受到內(nèi)部的攻擊或者被非授權(quán)訪問者竊取，這就帶來了相應(yīng)的數(shù)據(jù)安全問題。

2.3 SaaS安全問題

SaaS的特性決定了云服務(wù)提供商對整個(gè)服務(wù)的安全性能負(fù)有主要的責(zé)任。SaaS層主要面臨有權(quán)限管理問題、數(shù)據(jù)處理安全問題、云服務(wù)不透明問題。SaaS層，用戶可用的唯一的安全手段就是服務(wù)提供商提供的身份驗(yàn)證和訪問控制權(quán)限管理手段，但是這個(gè)手段存在著訪問控制標(biāo)準(zhǔn)不一致的問題，這就造成用戶停止共享文件時(shí)，其他用戶仍能共享文件的安全問題。SaaS也是使用的是不加密的靜態(tài)數(shù)據(jù)，因此存在著數(shù)據(jù)泄露的風(fēng)險(xiǎn)，而且泄露的風(fēng)險(xiǎn)比PaaS層大，因?yàn)镻aaS層用戶可以通過開發(fā)一定的防范程序，而在這一次只能依靠服務(wù)上提供的安全服務(wù)。在這一層，用戶直接使用服務(wù)，無法對整個(gè)云平臺的安全性能進(jìn)行評估，因此也面臨著云服務(wù)不透明的問題。

3 云安全解決方案

針對目前出現(xiàn)的云安全問題，業(yè)界提出了一些解決方案，雖然云計(jì)算涉及的安全技術(shù)都不是什么新的技術(shù)，基本上都可以實(shí)現(xiàn)了，但是這些安全技術(shù)在面對云系統(tǒng)架構(gòu)的時(shí)候，仍然存在一些不足之處，需要改進(jìn)。

3.1 容災(zāi)和恢復(fù)技術(shù)

對于IaaS層當(dāng)中出現(xiàn)的物理設(shè)備問題，造成的的影響比較廣泛，針對此類問題，可以采用容災(zāi)和恢復(fù)技術(shù)解決。容災(zāi)和恢復(fù)技術(shù)主要用來解決云計(jì)算的可用性的問題，可以幫助云系統(tǒng)在受到自然災(zāi)害、人為失誤、系統(tǒng)故障中快速的恢復(fù)數(shù)據(jù)和間斷的服務(wù)，從而提高云計(jì)算服務(wù)的可靠性?，F(xiàn)在主要有HDFS的冗余存儲方案和異地災(zāi)難備份機(jī)制兩種手段。HDFS的DataNode的Block和NameNode都有冗余存儲，NameNode一般采用的是雙機(jī)備份策略，DataNode則是在不同的 DataNode中存儲了同一個(gè)Block的三個(gè)副本。冗余存儲方案可以解決一般的故障恢復(fù)問題，但是像日本大災(zāi)難這種大范圍的災(zāi)害卻沒有辦法，因此需要采用異地災(zāi)難備份機(jī)制來彌補(bǔ)這一不足[3]。

3.2 數(shù)據(jù)加密技術(shù)

在IaaS、PaaS、SaaS三層當(dāng)中，數(shù)據(jù)處于靜態(tài)存儲、傳輸和處理這三種狀態(tài)，在這三種狀態(tài)當(dāng)中都面臨著一定的風(fēng)險(xiǎn)，針對這些風(fēng)險(xiǎn)都提出了相應(yīng)的解決方案。靜態(tài)數(shù)據(jù)的加密可以使用傳統(tǒng)的加密方式，不同的云服務(wù)提供商也會提供不同的解決方案。比如微軟采用128位對稱加密方式或者更長的加密方式。對于傳輸?shù)陌踩梢圆捎肧SL3.0或者TLS 1.0協(xié)議保證數(shù)據(jù)的安全。針對數(shù)據(jù)處理過程當(dāng)中存在的泄露問題可以采用完全同態(tài)的加密算法解決。

3.3 虛擬安全技術(shù)

IaaS層當(dāng)中存在著主要問題是虛擬化安全問題，虛擬技術(shù)是云計(jì)算的核心，針對虛擬機(jī)本身的安全以及用戶和虛擬機(jī)之間隔離的問題，研究者們提出了一些解決的方案?？梢圆捎米詣訖z測云中運(yùn)行和休眠的虛擬機(jī)解決虛擬機(jī)本身的安全，采用劃分緩存的頁染色法和緩存層次可感知核心分配法，提供性能和安全的隔離。

4 總結(jié)

云計(jì)算成為目前計(jì)算機(jī)研究的一大熱點(diǎn)，改變了IT企業(yè)的服務(wù)的方式，融合了多項(xiàng)前沿技術(shù)的云計(jì)算在帶給我們便利、強(qiáng)大、靈活的處理能力的同時(shí)，也帶來了新的未知的安全隱患，云計(jì)算安全問題成為阻礙其發(fā)展的核心問題，需要不斷的對其進(jìn)行深入研究分析。

[1]IBM 虛擬化與云計(jì)算小組．虛擬化與云計(jì)算[M]．北京：電子工業(yè)出版社.2009

[2]葉偉等．互聯(lián)網(wǎng)時(shí)代的軟件革命-SaaS架構(gòu)設(shè)計(jì)[M]．北京：電子工業(yè)出版社，2009

[3]谷歌在線文檔誤共享信息 凸顯云計(jì)算安全問題[J]. 信息系統(tǒng)工程，2009，（4）：59.