云計算信息安全分析與實踐

1 引言

云計算(cloud computing)最早是2006年由Google工程師克里斯托夫.比希利亞提出的，2008年開始成為IT界最熱門的技術和關鍵詞之一，2009年 各大IT廠商如IBM、微軟、Google , Oracle等紛紛推出其云計算產品和服務，而各大院校、研究院、企事業單位也都參與到云計算的研究與實踐中。

云計算因其資源整合高效和服務接口封閉等特性，被各行各業廣泛應用于內部系統重整和外部服務應用。當前比較出名的云計算應用有Google App Engine,Amazon網絡服務、IBM的“藍云”、中國移動的“大云”等。國內的銀行、電信、電力、政府行業也正在規劃部署云計算服務。

站在企業的角度，是否要部署一個新技術或者新產品，最重要的一項指標是安全性，安全性不僅要考慮技術本身的安全因素，同時也要考慮連帶影響，如承載在此 技術平臺之上的信息的安全性。尤其是那些涉及較多敏感信息，如用戶數據、財務數據等保密級別較高的數據。對于云計算技術，安全性問題同樣無法回避，實際上 這也是目前云計算推廣應用過程中所遇到的最大難題。雖然目前云計算服務提供商都在竭力淡化或避免此方面的問題，但對于消費者，這是其決定是否使用此技術或 服務的關鍵因素。Gartner 2009年的調查結果顯示，70%以上受訪企業的CTO認為近期不采用云計算的首要原因在于存在數據安全性與隱私性的優慮。而近來云計算服務不斷爆出各種 安全事故更加劇了人們的擔優。例如，2009年3月Google發生大批用戶文件外泄事件，美國零售商TJX約有4 500萬份用戶信用卡號被黑客盜取，英國政府丟失2 500萬人的社會保障號碼等資料，在線軟件公司salesforcecom也丟失了100萬份用戶的E-mail和電話號碼，國內CSDN泄露用戶賬戶數 據同樣引起了人們對公共信息服務安全方面的擔優。

因此，云計算安全性已經成為云計算邁向部署應用必須要解決的問題，而信息安全是云計算安全性中仍未能很好解決的問題之一。無論是在公有云計算環境還是在私有云環境中，安全性問題都是需要攻克和解決的難題。

2 云計算技術概述

云計算是一套解決方案的名稱，它并不是一個新興技術，只是幾種技術整合應用而推出來的概念，相關單一技術已經在多年前被提出，但由于現實環境各種各樣的 限制，缺乏大規模商用的契機。云計算可以看作融合了分布式計算(distributed computing)、虛擬化(virtualization)、網格計算(grid computing)、負載均衡(load balance)和并行計算(parallel computing)的產品。

云計算經過了幾年的演變，從架構上可以分為如下3層。

IaaS(infrastructure as a service，基礎設施即服務)，在基礎平臺設施上部署虛擬化等技術使得基礎設施整合，提高利用率。

PaaS (platform as a service，平臺即服務)，實現平臺級的統一服務，在云計算平臺級上提供企業開發/運行接口與環境，供企業實現自我服務。

SaaS( software as a service，軟件即服務)，對用戶提供統一的服務接口，如通過多用戶架構，采用瀏覽器或其他客戶端把服務提供出去。

這3層結構是自下而上構建的，IaaS是最底層的，SaaS是最高層的。云計算服務可以只部署IaaS，也可以部署IaaS+PaaS，也可以是IaaS+PaaS+SaaS模式。

云計算從應用角度上可以分為私有云、公共云和混合云。私有云是指部署在企業內部的云計算平臺，旨在整合其公司內部IT資源的云計算系統;公共云泛指部署 在公共計算平臺中，對公眾開放的云計算平臺，通過收取服務費用運營云計算系統;混合云是指云計算平臺既有私有云部分，也有公共云部分，是兩者的融合。

云計算具有以下幾個特點。

動態可擴展性。

云計算系統能通過實時監控，把每個服務按不同的策略動態分配到合適的設備上，而只需要把基礎設備在云計算系統上做登記，就可以立即納人云計算的服務分配資源上，方便實現可擴展。

高可靠性和容錯能力。

云計算系統內部就是一個高度集群的系統，能輕松實現容災備份功能，高可靠性和容錯能力是必備的。

高性價比。

云計算系統的一個重要功能就是能極大地提高基礎平臺的利用率，全部設備都能被所有服務利用。

服務封裝。云計算系統所提供的服務，無論是使用服務還是部署服務，系統都是對外封裝屏蔽的，用戶不了解也不需要了解該服務具體部署在哪個設備上，由云計算系統統一動態自動予以分配。

云計算的目標是資源整合和服務化，云計算的遠景是使IT成為普遍廉價的公共資源，如電力公司提供電力，自來水公司提供自來水，讓IT資源和服務成為任何人能輕而易舉享受到的公共資源。

3 云計算的信息安全問題

2009年CSA(cloud security alliance，云安全聯盟)在云計算安全方面列舉并分析了所面臨的7個最大的安全威脅:對云的不良使用;不安全的API;惡意的內部人員;共享技術的問題;數據丟失或泄漏;賬戶或服務劫持;未知的風險。

2008年咨詢公司Gartner從供應商的安全能力角度出發，分析云計算面臨的安全風險，發布了一份名為《云計算安全風險評估》的報告，報告中列出了云計算技術存在的7大風險:特權用戶的接人、可審查性、數據位置、數據隔離、數據恢復、調查支持、持久服務。

云計算安全性的范圍很廣，包括技術、管理、立法、商業、企業持續服務等層面，而本文討論的云計算信息安全問題是云計算安全性其中的一個問題。在這里不討 論云計算的可用性、持久性問題，也不涉及系統或者件基礎本身的安全性，因為這些安全性問題已有很多成熟的解決方案。本文主要討論云計算所帶來的新技術而產 生的新的信息安全風險問題。

云計算的信息安全問題，主要是指部署在云端的數據的安全問題。作為用戶，第一感覺是以前系統的所有數據都是自己掌控的，但是實施云之后，數據有很大一部 分層面是對用戶屏蔽了，用戶自己掌控不了其中的安全性。云計算系統儼然成為一個黑盒子，那把數據放在這個黑盒子是否安全呢?

排除本文討論范圍以外的，如可用性、內部管理、運營等問題，總結出云計算信息安全存在如下風險。

(1)應用部署安全風險

任何一個持有有效信用的人都可以注冊并立即使用云平臺，網絡犯罪分子可以基于云平臺部署各種攻擊服務或各種惡意軟件，攻擊互聯網上的任何用戶，更嚴重的是，在云計算平臺內部部署的惡意軟件能直接從內部對云計算平臺進行服務攻擊、信息竊取等安全攻擊

(2)API安全風險

云平臺的安全性很大程度上取決于API的安全性。用戶使用這些API管理和交互相關服務，這些API的設計必須能夠防御意外和有惡意企圖的行為，避免產生安全漏洞以被網絡犯罪分子所利用進行攻擊。

(3)虛擬化環境安全風險

在IaaS層均需要充分利用虛擬化和共享技術實現動態可擴展功能，用戶數據在云平臺中是被動態分配的，利用這些技術并不能很安全地在多用戶架構中提供強 有力的隔離能力，這樣就給攻擊者帶來了很多便利，利用不完善的訪問控制、過度使用的共享技術，能把惡意程序傳播到云平臺的其他服務中。

(4)數據訪問權限風險

從云計算的整體技術架構來看，除了中央數據服務器外，用戶數據存儲在哪片“云”上無人知曉，精準盜取數據的難度很大，但云計算的數據訪問權限存在漏洞， 就很容易產生風險。當用戶把數據交給云計算服務商后，服務商則擁有了該數據的訪問權限，云計算平臺供應商由于自身管理原因，會導致偷窺、泄漏用戶的數據和 程序的風險。而由于云計算提供的服務面向所有公眾，允許各種各類用戶進行操作，若因為某些權限漏洞，致使非法用戶得到數據，也將會使數據的安全性受到致命 威脅。

(5)數據存儲與傳輸安全風險

由于云服務面向所有公眾，其中不乏涉密信息，如果數據存儲與傳輸得不到嚴格加密，一旦丟失，將會造成更嚴重的損失。另外在云計算中也無法像以前傳統系統部署中通過安全域定義來實施安全邊界和數據保護。

4 云計算的信息安全方案

上述分析的云計算信息安全風險，是自上而下，從應用到存儲來分析的，需要對這些風險進行安全加固和規避，以提高云計算信息安全的保障。下面將從3個層面 對云計算的信息安全風險進行安全方案的描述，分別是數據安全、應用安全、虛擬化安全網，然后再給出當前國內外關于云計算信息安全相關解決方案的成果。

4.1數據安全

數據安全是指保存在云服務系統上的原始數據信息的相關安全方案，包括數據傳輸、數據存儲、數據隔離、數據加密和數據訪問。

(1)數據傳輸

在云計算內部，除了服務本身需要的數據傳輸外，還有更多因動態調整而引起的數據傳輸。這部分數據面臨的最大威脅是直接通過明文傳輸，而沒有采用任何加密 措施。在云計算內部的傳輸協議也應該能滿足數據的完整性，因此應采取安全傳輸協議，但其當前的相關研究并不因云計算而有所改動，在這里就不再描述。

(2)數據加密

為了更好地加強云計算的安全性，需在數據存儲上增加數據的私密性，既能保證文件的隱私性，又能實現數據的隔離和安全存儲。如亞馬遜的S3系統會在存儲數 據時自動生成一個MDS散列，免除了使用外部工具生成校驗的繁冗，有效保證數據的完整性;如IBM設計出一個“理想格(ideal lattic)”的數學對象，可以對加密狀態的數據進行操作?；谶@些技術，企業可以根據不同的情況，選擇不同的加密方式來滿足不同的加密需要。

(3)數據隔離

云計算中并不是所有數據都適合進行數據加密，加密數據會影響數據服務的效率。對于PaaS和SaaS應用來說，為了強調運行效率等方面的“經濟性”，非 法訪問還是會發生的，因此需要通過實施數據隔離來解決。在云計算環境下，系統的物理安全邊界將會逐步消失，轉而替代的是邏輯安全邊界，因此應該采用 VLAN或者分布式虛擬交換機等技術來實現系統數據的安全隔離。

(4)數據訪問

數據訪問tee的策略，也就是數據訪問權限控制，可以通過安全認證的技術來解決。通過統一單點登錄認證、資源認證、協同認證、不同安全域之間的認證或者 多種認證方式相結合的形式，對用戶身份進行嚴格審查，對數據進行操作前，一定要對操作者身份進行嚴格核查。另外在權限的合理分配方面也要做好規劃和管理。 而數據訪問的監視和日志審計也必不可少，特別是對敏感信息的操作，要做到可溯源。

4.2應用安全

從云計算提供商的角度出發，描述從應用層面應當如何充分考慮來自外部的風險。

(1)IaaS應用—虛擬化安全

IaaS云計算提供商將用戶在虛擬機上部署的所有應用都看成一個黑盒子，他們完全不會干涉所部署應用的管理工作和運維工作，僅負責提供基礎資源。在 IaaS應用中，用戶應負責其應用程序的部署和管理，程序的安全性也應由用戶考慮。IaaS應用提供商利用虛擬化等技術，根據用戶的需求提供基礎資源，虛 擬化的安全性是云服務商負責的，在4.3節將討論到。

(2)PaaS應用—API安全、應用部署安全

PaaS云計算提供商給用戶提供在IaaS之上，依照平臺的接口規范，部署由用戶開發的平臺化應用或采購現成的中間件產品。PaaS云計算提供商關注的安全問題包括兩個方面:PaaS平臺自身的安全風險和用戶部署在PaaS平臺上的應用的安全風險。

PaaS平臺自身的安全風險，主要包括對外提供API的安全和PaaS應用管理的安全。對于PaaS的API安全問題，目前國際上并沒有統一的標準，這 對云計算API的安全管理帶來了不確定性;而PaaS應用管理方面，核心的安全原則就是確保用戶的數據只有用戶自身才能訪問和授權，實行多用戶應用隔離， 不能被非法訪問和竊取。在這種環境下，PaaS平臺應提供平臺的保密性和完整性，云服務提供商應負責監控PaaS平臺的缺陷和漏洞，及時發布補丁更新，解 決安全漏洞。

用戶部署在PaaS平臺上的應用安全風險，對于云提供商來說主要是對客戶部署程序的安全審查，排除有意或無意的惡意程序甚至病毒的部署。因為用戶申請要 部署的程序，無論是自行開發的還是采購的，均有安全的不確定性，因此云服務提供商需要對申請部署的程序進行嚴格的安全審計，包括非法代碼、不安全代碼、存 在漏洞的代碼的檢測，并需與用戶一起對審計的結果進行分析和修正。當前這方面沒有標準，因此需要各云服務商提供此安全審計要求。

(3)SaaS應用—服務安全

SaaS云計算提供商給用戶提供的是靈活方便地使用在云計算服務端中的各種應用。SaaS云計算提供商應必須確保提供給用戶的應用程序的安全性，而用戶 只需對訪問云端應用的終端的安全負責，如終端自身安全、客戶端的訪問管理等。在SaaS平臺層，云服務提供商應重點關注所提供服務的安全性，可參考當前對 軟件安全性的相關考慮方案進行評估和審查。

4.3虛擬化安全

虛擬化安全是云計算最基礎部分IaaS的重要技術手段，對虛擬化技術的安全性進行分析，對整個云計算的安全性來說是堅實的一步。基于虛擬化技術的云計算信息安全風險主要有兩個方面:虛擬化軟件產品的安全和虛擬主機系統自身的安全。

(1)虛擬化軟件產品安全

虛擬化軟件產品是直接部署在裸機之上，提供創建、啟動和銷毀虛擬主機的能力，對虛擬主機進行管理的一種軟件。實現虛擬化的技術不止一種，可以通過不同層次的抽象來實現，如操作系統級虛擬化、半虛擬化和全虛擬化。

虛擬化軟件產品保證用戶的虛擬主機能在多用戶環境下相互隔離，可以安全地在一臺物理服務器上同時運行多個虛擬主機系統，因此云服務提供商必須建立安全控制措施，嚴格限制任何未經授權的用戶訪問虛擬化軟件層，限制對虛擬化層次的訪問。

另一方面，虛擬化具有動態性，即所虛擬的服務系統會根據整個云的情況進行動態調整，如把虛擬服務器進行動態切換、掛起等。虛擬化軟件層必須考慮由此帶來 的安全風險，如切換是否完整、是否存在數據殘留、是否存在數據丟失、在切換的過程中是否會被利用共享內存攻擊而導致數據被竊取等，這些問題都是虛擬化軟件 層要解決的。

(2)虛擬主機系統安全

虛擬主機系統位于虛擬化軟件產品之上，普通的物理服務器主機系統的安全原理與實踐完全可以運用到虛擬主機系統上，同時也需要補充虛擬主機系統的特點。應 當對虛擬主機系統的運行狀態進行實時監控，對各虛擬主機系統的系統日志和防火墻日志進行分析，以此來發現存在的安全隱患。對于發現存在安全隱患的虛擬主機 系統，應立即進行隔離，避免危害擴散，而對于已經不需要運行的虛擬主機，應當立即關閉。物理服務器的安全原理不再贅述。

5 廣東移動私有云平臺安全實踐

中國移動通信集團公司已經成功地建立了“大云”云計算平臺，為了適應業務發展和技術轉型的需要，廣東移動分別按照BSS,OSS,MSS線條建立私有云 計算平臺。出于信息保密方面的考慮，不對云計算平臺的具體方案和詳細部署細節做過多敘述，僅給出一個具體的實施樣例模型以進行安全方案論述。到目前為止， 廣東移動的私有云平臺主要集中在IaaS層面，在進一步鞏固IaaS建設的同時，正在著手開展PaaS方面的建設嘗試。在云計算安全方面，如前文所述，主 要集中在數據安全和應用安全兩個層面。這里主要講述在數據安全方面的實踐工作。

5.1數據和資源訪問

數據訪問的策略即權限控制，主要是通過安全認證和安全網關訪問技術來解決。在廣東移動的實踐中，是通過4A項目的建設來統籌完成的。4A項目實現了單點登錄 認證、強制用戶認證，將應用資源和數據的方案控制在合理的范圍內。并采用不同安全域之間的認證或者不同認證方式相結合的方式，通過動態令牌和靜態口令、短 信認證多種認證手段相結合的方式，對用戶身份進行嚴格審查。特別地，對受限敏感數據進行操作或訪問受限敏感網絡資源前，對操作者身份進行更為嚴格的核查， 采用按次審核的VPN訪間方式，確保安全可靠。另外4A平臺在權限方面進行統一合理的分配，數據或資源的訪問都通過圖形網管或者字符網管進行監視，并對日 志和人員操作進行記錄和審計，做到了可溯源。4A平臺的主要功能概念框架和訪問方式的概念模型如圖1、圖2所示。

因此，在數據和資源訪問方面，廣東移動將4A平臺作為私有云的基礎數據和資源訪問平臺，可以提供安全可靠的保障。

5.2數據傳輸和隔離

廣東移動在私有云平臺數據傳輸和隔離方面主要存在如下問題。

 

不同部門對安全級別的要求不一樣，管理流程不一樣，需要平衡統一維護和分開管理的矛盾。

4A系統概念框架

圖1 4A系統概念框架

訪問及控制機制

圖2 訪問及控制機制

在虛擬化的架構下，保證安全性需做到:物理服務器內部虛擬機有流量查看與策略控制機制，虛擬機端口策略需要跟隨虛擬機動態遷移，網絡、服務器等安全的分工界面保持明晰，原有設計無法實現。

云平臺業務靈活動態增減與嚴格安全隔離之間的矛盾。為了解決上述問題，廣東移動進行了周密的規劃和詳細的考慮及設計。網絡上做到分層分段隔離，保證網絡及信息系統間有著清晰的物理或邏輯邊界。圖3為私有云平臺的網絡部署邏輯。

私有云平臺的網絡部署邏輯

　

圖3 私有云平臺的網絡部署邏輯

在實踐中，除了使用IPS安全防御系統和企業級防火墻等安全設施作為防御手段，為了保持維護和管理界面的清晰和安全性，采用了VDC(virtual device context)技術，通過虛擬化把一臺物理交換機虛擬化成多臺邏輯設備技術。一臺物理交換機虛擬成多臺VDC虛擬交換機后，具有以下幾個特點:VDC之 間完全隔離，具有獨立的管理地址和配置文件;一臺物理交換機最多可以虛擬成8臺VDC虛擬交換機;每臺VDC具有獨立的VLAN空間，分別支持4 096個VLAN;物理交換機上任意端口可以歸屬給任何VDC虛擬交換機。通過VDC的使用可以將網絡按照層級進行水平分割，同時又可以按照系統維度進行 垂直的安全域劃分，在節省投資的同時也保證了部署的靈活性和安全性。VDC的應用場景如圖4所示。

VDC的應用場景

圖4 VDC的應用場景

結合虛擬化管理平臺及VPath和VSG等技術，實現了多租戶虛擬化安全生態系統，如圖5所示。

多租戶虛擬化安全生態系統

圖5 多租戶虛擬化安全生態系統

綜上所述，廣東移動私有云計算平臺在數據安全和應用安全方面的工作已經取得良好效果，逐步實現了對私有云平臺內系統資源和數據的安全防護，并解決了自身 云計算平臺在維護和管理方面存在的難題。目前該項目已經成為行業內私有云安全的最佳實踐。下一步將著手PaaS相關領域的信息安全研究和實施工作。