云计算面临的安全挑战.doc

<p>云计算面临的的安全挑战 姓名：王磊杰 &nbsp;学号：112101161 摘要：虽然云计算产业具有激动人心的市场前景，但对于使用云服务的用户而言，云计算存在着多方面的潜在风险和各种安全问题．在客观分析了当前云计算领域发展中面临的安全挑战问题基础上，总结了云安全领域的最新研究进展，最后还指出了云安全领域的主要研究方向．云计算与可信计算技术的融合研究将成为云安全领域的重要趋势。 关键字：云安全，云计算，可信云 1. 引言 云计算是以虚拟化技术为基础，以网络为载体提供基础架构、平台、软件等服务为形式，整合大规模可扩展的计算、存储、数据、应用等分布式计算资源进行协同工作的超级计算模式。在云计算模式下，用户不再需要购买复杂的硬件和软件，而只需要支付相应的费用给“云计算”服务提供商，通过网络就可以方便地获取所需要的计算、存储等资源．对于该定义需要特别说明的是，云计算的一个重要价值是软硬件需求的按需扩展能力，完全脱离“本地”计算、数据资源的云计算只是一种比较理想的状态，考虑到私有云、遗留系统、可靠性、安全性等因素，云计算具有整合资源按需扩展方面的特殊意义。 根据国际数据公司(IDC)的预测，全球云计算的市场规模将从2008年的160亿美元增加到2012年的420亿美元，占总投入比例也将由4.2％上升到8.5％。此外，根据预测，2012年云计算的投入将占IT年度投入增长的25％，而到2013年则会占30％以上．全球最具权威的IT研究与顾问公司甘特纳(Gartner)的数据分析则认为2009年云计算市场收入增加20％以上，超过560亿美元；而投资机构美林集团(MerrillLynch)则认为云计算在2011年将会有1600亿美元的市场。每个公司基于不同的云计算定义和理解，这也解释了市场规模和估价的差异。云计算技术的出现使得人们可以直接通过网络应用获取软件和计算能力，这一新的模式将会给传统的IT产业带来一场巨大的变革，云计算正在成为一种发展趋势。 虽然云计算产业具有巨大的市场增长前景，但对于使用云服务的用户而言，云计算存在着多方面的潜在风险和各种安全问题。在客观分析了当前云计算领域发展中面临的安全挑战问题基础上，总结了云安全领域的最新研究进展，最后指出了云安全领域的主要研究方向。云计算与可信计算技术的融合研究将成为云安全领域的重要方向。 2 安全问题成为领域发展的最大挑战 近几年来，云服务提供商频频出现各种不安全的事件．2008年2月15日Amazon出现了网络服务宕机事件，使得几千个依赖亚马逊的EC2云计算和s3云存储的网站受到影响，其中包括Twitter，SmugMug，37Signals和AdaptiveBlue等。2009年2月24日，谷歌Gmail邮箱爆发全球性故障，服务中断时间长达4h。此次故障是由于位于欧洲的数据中心例行性维护，导致欧洲另一个数据中心过载，连锁效应扩及其他数据中心，最终致使全球性断线。2009年3月7日，Google发生了大批用户文件外泄事件。2009年3月15日，微软的云计算平台Azure停止运行约22h，微软至今没有给出详细的故障原因。2009年6月11日，Amazon的EC2中断了小时，原因是雷击损坏了公司数据中心的电力设备，造成一些AWS客户服务中断．2009年7月19日，亚马逊云计算服务网络服务再次中断。 云计算在极大地方便用户和企业廉价使用存储资源、软件资源、计算资源的同时，面临的最大挑战或者说存在的问题来自安全方面．文献[2]总结的云计算十大问题与机会，其中服务可用性、数据防丢失、数据保密性和可审计性、数据传输瓶颈、性能不可预知性、大规模分布式系统中的漏洞、声誉共享等都与保密性和可靠性相关．文献[1]也提出云计算必须妥善解决安全、数据和应用的互操作、数据和应用可移植性、治理和管理、计量和监测5项挑战，否则将影响其实现承诺．国内“计世资讯”发布的《2009中国云计算发展状况白皮书》也指出“云计算技术的稳定性、可靠性和安全性如何”是当前国内用户对云计算的主要顾虑之一．惠普的云计算专家Goldsack等人也认为：云计算基础设施服务必须具备隐私性和安全性、服务质量和性能保证、灵活性、向上和向下的可伸缩裁剪性以及故障恢复能力等一些特定属性，才能够满足企业级的要求。 3.云安全领域的研究进展 由于整个云计算领域的研究刚刚起步，有关云安全的研究还非常少，云安全的基本概念或界定也还比较模糊混乱。RSAE，Gartner，CSA，SUN，IBM等组织在云计算领域的最新研究对云安全管理与技术的发展具有积极意义。RSA在其云计算安全自皮书中，列举了供应商管理、技术标准、数据可迁移性、数据机密与隐私、访问控制、符合性、以及安全服务水平等方面的安全度量指标，并总结了基础设施、身份、信息等3大类云计算安全要素。RSA实验室的Bowers等人还提出了一种高可靠性、完整性云存储模型HAIL，并进行了安全性和效率方面的实验。 2008年7月，国际研究机构甘特纳(Gartner)发布的一份名为“Teleworking in the Cloud：Security Risks and Remedies”的报告，也列举了云计算存在的特权用户的接人、可审查性、数据位置、数据隔离、数据恢复、调查支持、长期生存性等7大风险。报告认为，云计算需要进行安全风险评估的领域包括数据完整性、数据恢复及隐私等。此外，还需对电子检索、可监管性及审计问题进行法律方面的评价。 2008年10月，1BM发布的《新兴安全性技术趋势展望》白皮书概括了预计在接下来2～5年内将会影响安全性环境的九个重要的趋势和技术，其中排在第一位的趋势为“保护虚拟化环境的安全”。具体包括对云计算环境中以下3方面问题的解决：①各组织(云服务提供商)应该准备好强有力的单独管理功能，通过可在多个虚拟化平台问应用的分离策略，可以从其余用户中分离出专用于某个用户的应用、数据和基础设施；②应该像保护物理环境那样有力地保护和管理虚拟环境的完整性．应该将网络监控和入侵防御等传统的安全性功能应用到虚拟环境中；③由于虚拟化资源是作为数据图像存储的，所以有可能遭到污染．各组织应该建立图像管理功能，以保护并维护包括功能强大的变更和批处理管理程序等在内的资源定义。 2009年4月，在美国旧金山的RSA大会上正式成立的云安全联盟(CSA)发布的一份名为“云计算关键领域安全指南”的报告提出了便携性与互用性，数据中心，操作管理，法规与审计，事件响应、告知与修复，应用安全，加密与密钥管理，身份认证与访问控制等15个需要解决的领域安全问题。全面概括了云计算用户和提供商必须解决的问题，涵盖了和云计算相关的法律、技术和管理等各方面问题。 云安全是一个综合的概念和问题，研究的是云计算过程涉及的环境、流程、技术、管理、服务等各个层面的安全问题。如果单纯从某一个层面如技术角度去定义，无疑是偏面的，不能从根本上揭示问题本质。云安全领域研究工作的努力目标是达成安全云或安全云计算，虽然这事实上是一个没有终点的方向。 目前，云服务商在信息安全的工作还非常有限。一般只是对存储数据进行加密，使用SSL，SSH等安全协议保证数据传输安全和用户安全访问。但是当用户数据在后端服务器的内存(RAM)中计算处理时，则必须是以明文的形式才能进行处理的，这为利用操作系统漏洞攻击载入内存中的数据提供了可能。如何对内存数据进行保护和隔离将是云计算的重要安全需求之一。 文献[2]提出了如图1所示的安全云，其中公共云中用户的数据与其他组织的数据充分隔离存储，通过采用安全独立的云区域提供虚拟机资源保证高度隔离，最重要的是数据进行了由专家设计并测试的加密处理．云服务商与组织内部的通信通过加密的VPN专用通道，符合用户组织安全策略设计的日志管理和资源安全管理措施．此外，还包括可移植性、带管理的访问、安全性测试、透明度、规范等方面的要求。 图1 安全的云 数字化身份管理是云计算平台根据用户身份属性和历史记录进行服务访问控制的重要措施，文献[2]一种基于身份特征、AgZKPK加密协议和语义匹配技术的解决方法。 4.结束语 云计算宣告了以设备为中心计算时代的终结，取而代之的是以互联为中心的计算模式。但是并非只停留在空中，靠哗众取宠来赢得赞誉。云计算使用户可以把计算处理工作的一部分甚至全部外包出去，信息部门不需要为公司服务器的维护配置专业技术人员，而是通过互联网来访问计算基础设施。一家大型云计算服务提供商能迅速满足各种客户对更多计算功能的需求，那些没有大型数据中心的中小型企业也能够利用云计算服务提供商的强大处理功能，有效地降低IT成本．作为一项有望大幅降低成本的新兴技术，云计算正日益受到众多企业的认可。 从学术研究的角度，云安全领域迫待需要解决的问题包括：如何对存储数据、传输数据进行加密的问题；云计算中新加密算法的研究与算法更新换代问题；云服务应用程序组件间的身份验证问题；云计算平台安全性评估标准与应用；如何对有权访问异域云服务的用户以及访问方式进行管理；云服务应用程序接口的安全与访问控制问题；服务云计算需要的新一代网络安全技术；研究建立完善的云计算服务质量(QoS)体系；云计算与可信计算技术的融合研究。 计算模式下，所有的业务处理都将在服务器端完成，服务器一旦出现问题，就将导致用户应用无法正常运行，数据无法访问．虽然解决云故障的时间一般并不长，然而足以作为一个对云计算的警示。毕竟云服务的规模都十分庞大，在出现问题之后，很容易导致网民对于云计算模式的怀疑，动摇用户对云服务的信心。由此可见，如果云计算的可靠性和安全性的软肋不能很好解决的话，云计算的普及仍有很长一段路要走。 参考文献 [1] 陈海波．云计算平台可信性增强技术的研究．上海：复旦大学出版社，2010 [2] 金海．计算系统虚拟化：原理与应用．北京：清华大学出版 社，2008 [3] 吴吉义，平玲娣，潘雪增等. 云计算：从概念到平台．电信科学，2009 [4] [5] 李德毅．2011云计算发展报告．北京：科学出版社．2011 [6] 王胜航．云那些事儿．北京：电子工业出版社．2011</p>