淺談云存儲的安全性

張瑜　白璐　贠永剛

摘 要 云計(jì)算帶來的云存儲服務(wù)，為用戶帶來了新的數(shù)據(jù)存儲方式和資源共享模式，方便了人們的生活和工作，但云環(huán)境面臨的挑戰(zhàn)還很多，如何確保云存儲的安全是必要的，本文介紹了幾種云存儲的安全策略。

關(guān)鍵字 云計(jì)算 云存儲 安全 策略

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A

在云計(jì)算方式中，如果軟硬件的信息和資源是共享的，那么就可以按照所設(shè)定的命令進(jìn)行信息和資源的傳遞，將信息和資源傳遞給其他的計(jì)算機(jī)，由于云計(jì)算的活動(dòng)是依賴于互聯(lián)網(wǎng)，所以大部分的時(shí)間都會涉及到由互聯(lián)網(wǎng)進(jìn)行提供很多動(dòng)態(tài)易擴(kuò)展的資源，而且通常這些資源都是虛擬的。通過這種模式可以充分發(fā)揮了云計(jì)算的幾大優(yōu)勢和特點(diǎn)：（1）虛擬化。云計(jì)算支持用戶在任意位置、使用各種終端獲取應(yīng)用服務(wù)。所請求的資源來自“云”，而不是固定的有形的實(shí)體。（2）高可靠性?！霸啤笔褂昧藬?shù)據(jù)多副本容錯(cuò)、計(jì)算節(jié)點(diǎn)同構(gòu)可互換等措施來保障服務(wù)的高可靠性，使用云計(jì)算比使用本地計(jì)算機(jī)可靠。（3）通用性。云計(jì)算不針對特定的應(yīng)用，在“云”的支撐下可以構(gòu)造出千變?nèi)f化的應(yīng)用，同一個(gè)“云”可以同時(shí)支撐不同的應(yīng)用運(yùn)行。（4）可擴(kuò)展性?！霸啤钡囊?guī)?？梢詣?dòng)態(tài)伸縮，滿足應(yīng)用和用戶規(guī)模增長的需要。（5）按需服務(wù)?！霸啤笔且粋€(gè)龐大的資源池，可按需購買，自來水，電，煤氣那樣計(jì)費(fèi)、使用。（6）極其廉價(jià)。由于“云”的特殊容錯(cuò)措施可以采用極其廉價(jià)的節(jié)點(diǎn)來構(gòu)成云，“云”的自動(dòng)化集中式管理使大量企業(yè)無需負(fù)擔(dān)日益高昂的數(shù)據(jù)中心管理成本，“云”的通用性使資源的利用率較之傳統(tǒng)系統(tǒng)大幅提升，因此用戶可以充分享受“云”的低成本優(yōu)勢。

云存儲是基于云計(jì)算的一種數(shù)據(jù)訪問服務(wù)，可以通俗的理解為配置了超大存儲空間的云計(jì)算系統(tǒng)，它將網(wǎng)絡(luò)中大量不同類型的存儲設(shè)備通過相應(yīng)軟件集合起來協(xié)同工作，共同為用戶提供數(shù)據(jù)存儲和訪問業(yè)務(wù)，它的核心便是數(shù)據(jù)存儲和管理。隨著云存儲服務(wù)的發(fā)展，越來越多的企業(yè)和個(gè)人享受到了其高效、快捷、低成本的服務(wù)，但是它的安全問題也值得人們的關(guān)注?？梢圆捎靡韵聨追N安全策略：

（1）數(shù)據(jù)加密

為防止云客戶端的數(shù)據(jù)信息被盜取，或者被內(nèi)部人員非法泄露，一般都會對數(shù)據(jù)的訪問采用加密技術(shù)。當(dāng)前比較成熟的加密技術(shù)一般分為對稱加密算法（DES）和非對稱加密算法（RSA）兩類。我們可以用兩者相結(jié)合的方式來保證云用戶數(shù)據(jù)的安全性。當(dāng)用戶向云服務(wù)器發(fā)出請求時(shí)，服務(wù)器首先生成一個(gè) RSA公鑰/私鑰對，然后把公鑰發(fā)送給用戶。此時(shí)，用戶端已生成自己的 DES密鑰，并使用服務(wù)器端發(fā)送的 RSA公鑰加密自己的 DES密鑰，并把加密后的DES密鑰發(fā)送給服務(wù)器端，然后服務(wù)器端再用 RSA私鑰來解密用戶端發(fā)送的DES；密鑰。這樣，數(shù)據(jù)在傳輸過程中即使被截取，沒有DES密鑰便無法獲取原始數(shù)據(jù)；假若 DES密鑰泄露，經(jīng)過 RSA公鑰加密，而解密私鑰仍保存在服務(wù)器端，截取者仍無法獲取原始數(shù)據(jù)，這樣的雙重加密大大提高了數(shù)據(jù)的安全性。

（2）身份認(rèn)證

除了數(shù)據(jù)的安全，用戶身份的認(rèn)證也是必要的，這時(shí)，不僅要通過云存儲服務(wù)供應(yīng)商的身份認(rèn)證，還要遵循一定的訪問控制策略。云存儲服務(wù)供應(yīng)商采用基于多種安全憑證的聯(lián)合身份認(rèn)證。用戶可以先提供姓名和口令，然后再提供由云存儲服務(wù)供應(yīng)商提供的動(dòng)態(tài)驗(yàn)證碼，確保用戶身份的合法性。此外，用戶使用多個(gè)云存儲服務(wù)供應(yīng)商提供的服務(wù)，會產(chǎn)生很多的口令，而使用聯(lián)合身份認(rèn)證只需認(rèn)證一次，避免了數(shù)據(jù)頻繁穿梭云間帶來的不必要阻礙。

（3）安全訪問

我們要靈活區(qū)分和支持不同客戶的動(dòng)態(tài)安全需求，首先要保證云端不同客戶之間數(shù)據(jù)的強(qiáng)隔離性，使得一個(gè)用戶不得越權(quán)訪問其他用戶的數(shù)據(jù)；其次，還要保障云客戶自己內(nèi)部數(shù)據(jù)的適當(dāng)隔離，客戶可以根據(jù)自己的安全需求靈活制定訪問控制策略，隔離內(nèi)部不同部門和區(qū)域的數(shù)據(jù)；同時(shí)也可以引入虛擬組織，實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)共享或限制沖突用戶之間的數(shù)據(jù)共享。

（4）虛擬化安全

虛擬化安全的目標(biāo)是確保數(shù)據(jù)的隔離性，包括每個(gè)物理機(jī)上的不同云存儲服務(wù)供應(yīng)商之間的數(shù)據(jù)隔離以及虛擬數(shù)據(jù)和物理設(shè)備之間的隔離。為保證隔離效果，我們可從虛擬化軟件安全和虛擬服務(wù)器安全兩方面人手。虛擬化軟件一般直接部署在裸機(jī)上，它的主要作用是保障客戶的虛擬機(jī)在多用戶的情況下對重要數(shù)據(jù)進(jìn)行相互隔離，因此，要對所有授權(quán)用戶訪問虛擬軟件層時(shí)進(jìn)行嚴(yán)格限制。在安裝虛擬服務(wù)器時(shí)，為從邏輯上隔離各虛擬服務(wù)器，可為每臺虛擬服務(wù)器分配單獨(dú)的硬盤分區(qū)。同時(shí)，盡量使用多核處理器，并劃分高速緩存，以此來隔離CPU和緩存。其次，為保障傳輸過程的安全，需要建立互相通信的虛擬機(jī)，其網(wǎng)絡(luò)連接方式選擇VPN方式。除了物理隔離方式，選用自動(dòng)監(jiān)控策略也是虛擬機(jī)安全的一個(gè)必要環(huán)節(jié)，監(jiān)控程序不僅要盡量避開用戶的隱私數(shù)據(jù)，還要在虛擬機(jī)出現(xiàn)問題時(shí)發(fā)出警報(bào)或進(jìn)行糾錯(cuò)。

（5）防火墻

云防火墻不僅操作簡單，而且具有強(qiáng)大的抗攻擊能力，可抵抗200G以上的流量攻擊，同時(shí)它自身還帶有過濾和清洗功能，提高了數(shù)據(jù)傳輸?shù)陌踩浴榱说钟獠亢蛢?nèi)部的攻擊，我們可以采用動(dòng)態(tài)防火墻技術(shù)，即根據(jù)數(shù)據(jù)信息的傳輸狀態(tài)進(jìn)行主動(dòng)和實(shí)時(shí)檢測，然后對這些數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)其中的非法行為。動(dòng)態(tài)的防火墻技術(shù)安全性能更高，不僅能發(fā)現(xiàn)外部的入侵行為，而且對來自內(nèi)部的非法和惡意破壞也有防范作用。

隨著云存儲的廣泛使用，安全問題會越來越突出，需要解決的問題也是越來越多，等著我們?nèi)グl(fā)現(xiàn)和解決。