云計(jì)算安全威脅及防護(hù)思路分析*

吳寶江

（中國(guó)電子科技集團(tuán)公司電子科學(xué)研究院，北京 100041）

0 引 言

云計(jì)算是虛擬化和可擴(kuò)展資源的集合，能夠托管應(yīng)用，并采用“只為使用的付費(fèi)”的方法為用戶提供所需服務(wù)，而用戶只為他們消費(fèi)的服務(wù)付費(fèi)。云計(jì)算是一組支持服務(wù)的網(wǎng)絡(luò)，按需提供可擴(kuò)展的有QoS保障的個(gè)性化的且不算貴的計(jì)算設(shè)施，且可使用簡(jiǎn)單而普遍的方式來訪問。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）定義云計(jì)算有五個(gè)基本特征：（1）按需自助服務(wù)，用戶可以在需要時(shí)自動(dòng)配置計(jì)算能力；（2）寬帶網(wǎng)絡(luò)接入，通過標(biāo)準(zhǔn)機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)接入，有助于用戶使用不同終端訪問云計(jì)算服務(wù)；（3）資源池，提供商的計(jì)算資源匯集到資源池中，使用多租戶模型，按照用戶需要，將不同的物理和虛擬資源動(dòng)態(tài)分配或再分配給多個(gè)消費(fèi)者使用；（4）快速?gòu)椥?，可提供快速而有彈性的?jì)算能力，在某種情況下，可動(dòng)態(tài)快速擴(kuò)展計(jì)算能力，并在使用后快速釋放所用計(jì)算資源；（5）可計(jì)量的服務(wù)，云系統(tǒng)以適用于不同服務(wù)類型的抽象層面的計(jì)量能力來收取費(fèi)用。

1 云計(jì)算安全威脅分析

云安全聯(lián)盟（CSA）定義了七類云安全威脅[1]，包括云計(jì)算的濫用和惡用、不安全的接口和API、惡意的內(nèi)部員工、共享技術(shù)產(chǎn)生的問題、數(shù)據(jù)丟失或泄漏、賬號(hào)和服務(wù)劫持和未知的風(fēng)險(xiǎn)場(chǎng)景。

（1）云計(jì)算的濫用和惡用。云計(jì)算的濫用和惡用被CSA認(rèn)為是云計(jì)算最大的安全威脅。一個(gè)簡(jiǎn)單的例子就是利用僵尸網(wǎng)絡(luò)來傳播垃圾郵件和惡意軟件。比如，攻擊者可以滲透公共云，并向數(shù)以千計(jì)的計(jì)算機(jī)上傳惡意軟件，而后利用云基礎(chǔ)設(shè)施的力量攻擊其他設(shè)備。針對(duì)此威脅，CSA提出的補(bǔ)救措施：①更加嚴(yán)格初始注冊(cè)和驗(yàn)證過程；②加強(qiáng)信用證書欺詐的監(jiān)管。

（2）不安全的接口和API。因?yàn)檐浖涌诨駻PI是客戶用來與云服務(wù)交互的，所以必須具有非常安全的身份認(rèn)證、訪問控制、加密和活動(dòng)監(jiān)控機(jī)制。針對(duì)此威脅，CSA提出的補(bǔ)救措施：①云提供商接口安全模型分析；②確保身份認(rèn)證和訪問控制與加密傳輸共同實(shí)施；③了解與API相關(guān)的依賴鏈。

（3）惡意的內(nèi)部員工。惡意的內(nèi)部員工是一個(gè)重要問題，因?yàn)樵S多供應(yīng)商仍然沒有透露他們是如何雇傭人員的，以及這些人員如何接觸資源和被監(jiān)管的。針對(duì)此威脅，CSA提出的補(bǔ)救措施：①實(shí)施嚴(yán)格的供應(yīng)鏈管理，進(jìn)行全面的供應(yīng)商評(píng)估；②作為法律合同的一部分來指定人力資源需求；③要求信息安全管理和合規(guī)報(bào)告全面透明化；④明確安全漏洞通告過程。

（4）共享技術(shù)產(chǎn)生的問題。共享基礎(chǔ)設(shè)施是IaaS提供商的一種服務(wù)方式。不幸的是，該基礎(chǔ)設(shè)施基于的組件并不是為此設(shè)計(jì)的。為了保障用戶不進(jìn)入他人領(lǐng)域，必須進(jìn)行監(jiān)控和分區(qū)。針對(duì)此威脅，CSA提出的補(bǔ)救措施：①完成安裝/配置的安全最佳實(shí)踐；②監(jiān)控未授權(quán)的進(jìn)行更改的環(huán)境；③提升對(duì)行政準(zhǔn)入和操作的認(rèn)證和訪問控制；④增強(qiáng)修補(bǔ)和漏洞修復(fù)的服務(wù)級(jí)別協(xié)議；⑤執(zhí)行漏洞掃描和數(shù)據(jù)審計(jì)。

（5）數(shù)據(jù)丟失或泄漏。因?yàn)榇嬖跀?shù)據(jù)沒有備份情況下的被刪除、編碼密鑰丟失或數(shù)據(jù)未經(jīng)授權(quán)訪問等因素，所以數(shù)據(jù)總有丟失和被盜的危險(xiǎn)。數(shù)據(jù)安全問題是企業(yè)最關(guān)心的問題之一，因?yàn)閿?shù)據(jù)丟失或泄漏不僅會(huì)使企業(yè)損失信譽(yù)，而且保護(hù)數(shù)據(jù)安全是企業(yè)需要承擔(dān)的法律責(zé)任。針對(duì)此威脅，CSA提出的補(bǔ)救措施：①執(zhí)行嚴(yán)格的API訪問控制措施；②數(shù)據(jù)傳輸加密，保護(hù)數(shù)據(jù)完整性；③制定數(shù)據(jù)在設(shè)計(jì)和使用過程中的保護(hù)策略；④執(zhí)行嚴(yán)格的密碼生成、儲(chǔ)存、管理和銷毀流程；⑤要求釋放虛擬資源后，物理介質(zhì)上的數(shù)據(jù)得到完全擦除；⑥規(guī)定數(shù)據(jù)提供者的數(shù)據(jù)備份和保留策略。

（6）賬號(hào)和服務(wù)劫持。云用戶需要關(guān)注賬號(hào)和服務(wù)劫持問題。這些威脅包括中間人攻擊、網(wǎng)絡(luò)釣魚、垃圾郵件以及拒絕服務(wù)攻擊。針對(duì)此威脅，CSA提出的補(bǔ)救措施：①禁止在用戶和服務(wù)間共享賬戶憑證；②在可能的情況下，使用多因素認(rèn)證技術(shù)；③采用主動(dòng)監(jiān)測(cè)方式監(jiān)測(cè)非授權(quán)行為；④熟知云提供商安全策略。

（7）未知的風(fēng)險(xiǎn)場(chǎng)景。代碼更新、脆弱性、入侵企圖等風(fēng)險(xiǎn)場(chǎng)景都應(yīng)時(shí)刻警惕。針對(duì)此威脅，CSA提出的補(bǔ)救措施：①公開適當(dāng)?shù)娜罩竞蛿?shù)據(jù)；②部分或全部公開基礎(chǔ)設(shè)施信息（補(bǔ)丁級(jí)別、防火墻等）；③必要的信息監(jiān)控和告警。

除了上述云計(jì)算安全威脅，還有一些其他威脅存在[2-3]。例如，云提供商控制的硬件和管理程序承載著數(shù)據(jù)的存儲(chǔ)和應(yīng)用的運(yùn)行，因此它們的安全在云環(huán)境設(shè)計(jì)中尤為重要；如果一個(gè)用戶可以隨意訪問另一個(gè)用戶的數(shù)據(jù)，意味著他們的應(yīng)用可能會(huì)被干擾；互聯(lián)網(wǎng)的可靠性和可用性對(duì)云計(jì)算使用非常重要；云計(jì)算的虛擬化對(duì)管轄范圍之外的數(shù)據(jù)提出了許多法律和監(jiān)管的問題。

2 云計(jì)算安全問題

通過上述對(duì)云計(jì)算安全威脅的分析可以看到，云計(jì)算安全的問題主要集中在以下幾個(gè)方面：云基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、用戶身份和訪問權(quán)限管理、云安全管理、隱私性以及審計(jì)和合規(guī)性等。

（1）云基礎(chǔ)設(shè)施安全。在網(wǎng)絡(luò)、主機(jī)、應(yīng)用等各個(gè)層面的安全挑戰(zhàn)不是由云計(jì)算引起的，而是由對(duì)它們的使用引起的。通過理解哪一方面提供安全的那一部分，可以定義基礎(chǔ)設(shè)施安全與云計(jì)算的信任邊界。

（2）數(shù)據(jù)安全。由于數(shù)據(jù)集中、數(shù)據(jù)價(jià)值大，在云計(jì)算環(huán)境下數(shù)據(jù)的安全尤為重要。當(dāng)前，數(shù)據(jù)的訪問控制、保密性、完整性和可用性等都存在嚴(yán)峻的安全風(fēng)險(xiǎn)。

（3）用戶身份和訪問權(quán)限管理。身份管理的關(guān)鍵因素是需要有健壯的聯(lián)合身份管理體系結(jié)構(gòu)和策略。使用基于云的身份認(rèn)證服務(wù)，云提供商能夠?qū)崿F(xiàn)身份管理能力的外包，并促進(jìn)聯(lián)合管理。

（4）云安全管理。從云安全管理角度來看，缺乏企業(yè)級(jí)的訪問管理是關(guān)鍵問題。云服務(wù)的安全管理范圍將隨著服務(wù)交付模型、供應(yīng)商能力和成熟度而變化。用戶將不得不在SPI服務(wù)提供的靈活性和受控方面做出權(quán)衡。服務(wù)越靈活，就可以進(jìn)行更多的控制，并由此帶來額外的安全管理職責(zé)。在多租戶共享基礎(chǔ)設(shè)施的虛擬環(huán)境中，用戶的數(shù)據(jù)與其他用戶的數(shù)據(jù)在數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)的全生命周期中是混合在一起的。因此，重要的是要了解服務(wù)的位置、服務(wù)保護(hù)等級(jí)，如節(jié)點(diǎn)間的通信和存儲(chǔ)訪問延遲。

（5）隱私性。隱私性是云計(jì)算的重要問題，包括法律和用戶信任兩方面。在云設(shè)計(jì)的每個(gè)環(huán)節(jié)，均需要考慮隱私性問題。這個(gè)問題的關(guān)鍵是軟件工程師用什么方法做到減少隱私風(fēng)險(xiǎn)，并確保遵從法律。云系統(tǒng)的設(shè)計(jì)、開發(fā)、測(cè)試人員提出的方法建議包括：①最小化個(gè)人信息，發(fā)送并存儲(chǔ)在云上；②在云上保護(hù)個(gè)人信息；③最大化的訪問控制；④允許用戶選擇；⑤指定和限制數(shù)據(jù)使用目的；⑥提供使用反饋。

（6）審計(jì)與合規(guī)性。審計(jì)和合規(guī)性的方法能夠幫助云服務(wù)提供商和用戶解決云業(yè)務(wù)模式的新需求和新變化。為提高效率、風(fēng)險(xiǎn)管理和合規(guī)性，云服務(wù)提供商需要實(shí)施強(qiáng)有力的內(nèi)部監(jiān)控和控制功能，并結(jié)合嚴(yán)格的外部審計(jì)過程。為更好地獲得云服務(wù)，云服務(wù)用戶需要界定他們的控制要求，了解云服務(wù)提供商的內(nèi)部控制監(jiān)控過程，分析相關(guān)外部審計(jì)報(bào)告，并正確履行他們作為云服務(wù)提供的用戶職責(zé)。

3 安全威脅解決方法分析

3.1 基于客戶的隱私管理

基于客戶的隱私管理可以減少云計(jì)算中敏感數(shù)據(jù)泄漏和隱私丟失的風(fēng)險(xiǎn)，主要特征包括：（1）分別將數(shù)據(jù)上傳到云上前和從云上下載后，自動(dòng)將數(shù)據(jù)結(jié)構(gòu)中的一些或全部字段混淆和去混淆?；煜腿セ煜ㄟ^密鑰完成，這個(gè)密鑰由用戶而不是相關(guān)的云服務(wù)提供商來選擇；（2）允許用戶為在云上以未混淆形式存儲(chǔ)個(gè)人數(shù)據(jù)設(shè)置偏好，這一特征允許用戶對(duì)個(gè)人數(shù)據(jù)的使用有更大的控制權(quán)；（3）允許用戶訪問云中個(gè)人信息，以便查看他們持有的信息并檢查其準(zhǔn)確性，這是一種審計(jì)機(jī)制，一旦隱私被侵犯，就可以檢測(cè)到；（4）向用戶反饋有關(guān)個(gè)人信息的使用情況，包括云中數(shù)據(jù)被使用的通知等，以有效監(jiān)控從云平臺(tái)傳輸?shù)膫€(gè)人數(shù)據(jù)；（5）允許用戶在與云服務(wù)交互時(shí)選擇多個(gè)角色。

基于上述特征可以看到，基于客戶的隱私管理雖然可以解決定制終端用戶服務(wù)等許多實(shí)際問題，但如果服務(wù)提供者不提供完全的合作，那么除了混淆服務(wù)外，其他隱私管理的特征都將是無效的，因?yàn)檫@些特征的實(shí)現(xiàn)依賴于服務(wù)提供者的誠(chéng)實(shí)合作。在沒有服務(wù)提供者提供合作的情況下使用混淆服務(wù)，不僅需要用戶有充足的計(jì)算資源來執(zhí)行混淆和去混淆，而且依賴于執(zhí)行混淆服務(wù)的應(yīng)用。

3.2 透明云防護(hù)系統(tǒng)

透明云防護(hù)系統(tǒng)的目的是透明地監(jiān)控云的全部組件，旨在通過允許主機(jī)監(jiān)控客戶虛擬機(jī)的基礎(chǔ)設(shè)施組件來保護(hù)客戶虛擬機(jī)和分布式計(jì)算中間件的完整性。

透明云防護(hù)系統(tǒng)是一個(gè)以內(nèi)核和虛擬化層為核心的中間件。通過主動(dòng)或被動(dòng)地監(jiān)控關(guān)鍵內(nèi)核或云組件，透明云防護(hù)系統(tǒng)可以檢測(cè)到對(duì)內(nèi)核數(shù)據(jù)和代碼的任何可能修改，保證內(nèi)核和云中間件的完整性沒有受到損害，從而確定沒有攻擊者通過此途徑進(jìn)入系統(tǒng)。

所有的透明云防護(hù)系統(tǒng)的模塊都駐留在主機(jī)和模擬器上，用于訪問guest用戶?？梢傻脑L問guest用戶的行為能夠被攔截器注意，并被告警記錄器記錄在報(bào)警隊(duì)列中，其中潛在的變化將有檢測(cè)器組件進(jìn)行評(píng)估。透明云防護(hù)系統(tǒng)可以對(duì)安全漏洞進(jìn)行本地處理或通知分布式計(jì)算安全組件。

透明云防護(hù)系統(tǒng)可以有效監(jiān)測(cè)到各種主要的攻擊，避免誤報(bào)（在客戶維護(hù)容忍度內(nèi)）。該系統(tǒng)使VMs的可見度最小化，能夠保護(hù)應(yīng)用系統(tǒng)和用戶免受已受破壞的用戶攻擊，且該系統(tǒng)可以部署在大多數(shù)可用的中間件上。如果安全策略需要，該系統(tǒng)能夠采取適當(dāng)?shù)拇胧┳柚挂咽芷茐牡挠脩簦⑼ㄖh(yuǎn)程中間件的安全管理組件。

3.3 安全有效的數(shù)據(jù)訪問控制及存儲(chǔ)

提供安全有效的數(shù)據(jù)訪問控制，是云計(jì)算的重要部分，也是信息管理和其他操作的根本。因?yàn)閿?shù)據(jù)擁有者需要將大量的數(shù)據(jù)存儲(chǔ)在不受信任的云上，所以數(shù)據(jù)擁有者會(huì)在上傳這些數(shù)據(jù)前將其加密。只有數(shù)據(jù)擁有者才有權(quán)更新這些數(shù)據(jù)，用戶只能根據(jù)訪問權(quán)限來讀取數(shù)據(jù)。數(shù)據(jù)擁有者可以將文件授權(quán)給其他用戶，僅目標(biāo)用戶可正常訪問授權(quán)數(shù)據(jù)。

數(shù)據(jù)訪問控制減少了數(shù)據(jù)所有者的開銷，防止無授權(quán)用戶訪問數(shù)據(jù)。如果服務(wù)提供商進(jìn)行了數(shù)據(jù)過加密，即使竊聽者獲得了數(shù)據(jù)塊加密密鑰，服務(wù)提供商同樣可以抵御攻擊。云中數(shù)據(jù)以密文存儲(chǔ)。解密密鑰為數(shù)據(jù)，屬主用戶保存，規(guī)避了數(shù)據(jù)泄露風(fēng)險(xiǎn)，但給云中密文在多用戶間傳遞共享帶來諸多不便。如何使密文像明文一樣方便、高效地使用，是一個(gè)重要的問題。同態(tài)加密[4]概念的提出，為密文便利使用問題帶來了曙光?！巴瑧B(tài)”特性可以實(shí)現(xiàn)密文操作與明文操作等同的效果，從而達(dá)到密文的精確檢索。同態(tài)加密技術(shù)的“重加密”特性，基于解密電路方式，在不解密情況下將用戶甲的密文重加密為用戶乙的密文，既保證了數(shù)據(jù)的可靠性，又實(shí)現(xiàn)了密文數(shù)據(jù)的分享。

3.4 云安全服務(wù)

通過為租戶提供云安全服務(wù)，抵御諸如DDoS流量型攻擊、釣魚式攻擊等威脅?？笵DoS流量型攻擊服務(wù)可支持用戶根據(jù)租用帶寬、業(yè)務(wù)模型自助配置防護(hù)閾值，實(shí)時(shí)進(jìn)行流量檢測(cè)。對(duì)于滿足閾值條件的所有未經(jīng)授權(quán)的傳入流量進(jìn)行清洗，所有附加的數(shù)據(jù)包被轉(zhuǎn)發(fā)到“黑洞”，系統(tǒng)檢測(cè)到攻擊后，就會(huì)實(shí)時(shí)通知用戶，并進(jìn)行有效防御。統(tǒng)一身份認(rèn)證服務(wù)為租戶分配不同的資源和操作權(quán)限，用戶通過使用訪問密鑰獲得基于統(tǒng)一身份認(rèn)證服務(wù)的認(rèn)證和鑒權(quán)，以調(diào)用API的方式訪問云資源。統(tǒng)一身份認(rèn)證服務(wù)支持租戶的安全管理員設(shè)置登錄策略，避免用戶密碼被暴力破解或者因?yàn)樵L問釣魚頁面等導(dǎo)致賬號(hào)信息泄露。

3.5 數(shù)據(jù)庫安全合規(guī)和安全審計(jì)

通過提供內(nèi)置行業(yè)合規(guī)知識(shí)庫（HIPAA13、SOX14、PCI DSS等），用戶可自行定義敏感數(shù)據(jù)、動(dòng)態(tài)脫敏等策略，用以執(zhí)行自動(dòng)敏感數(shù)據(jù)發(fā)現(xiàn)和脫敏，避免因敏感數(shù)據(jù)泄露造成的法律法規(guī)責(zé)任和經(jīng)濟(jì)損失。提供多維度的數(shù)據(jù)庫審計(jì)線索，包括源IP、用戶身份、應(yīng)用程序、訪問時(shí)間、請(qǐng)求的數(shù)據(jù)庫、原SQL語句、操作、成功與否、耗時(shí)和返回內(nèi)容等，協(xié)助租戶溯源到攻擊者。審計(jì)記錄遠(yuǎn)程保存，滿足用戶的審計(jì)合規(guī)要求。

4 結(jié) 語

隨著云計(jì)算的深入發(fā)展，面對(duì)由海量節(jié)點(diǎn)和海量數(shù)據(jù)組成的分布式云計(jì)算網(wǎng)絡(luò)，傳統(tǒng)的信息安全技術(shù)已經(jīng)越來越難以保障云上的數(shù)據(jù)安全和用戶隱私。本文主要對(duì)云計(jì)算安全威脅進(jìn)行分析，總結(jié)主要的云安全問題，分析當(dāng)前云安全威脅解決方法的原理、目的和優(yōu)缺點(diǎn)等。由于云安全挑戰(zhàn)層出不窮，云安全威脅與攻擊無孔不入，必須不斷關(guān)注并研究基礎(chǔ)設(shè)施、物理設(shè)備、分布式云操作系統(tǒng)及云服務(wù)產(chǎn)品的安全問題，提供保護(hù)云端應(yīng)用及數(shù)據(jù)的技術(shù)方法，才能提供穩(wěn)定、可靠、安全和合規(guī)的云計(jì)算基礎(chǔ)服務(wù)，保護(hù)云系統(tǒng)及數(shù)據(jù)的可用性、機(jī)密性和完整性。