云计算应用安全研究

汪来富，沈 军，金华敏

（中国电信股份有限公司广东研究院 广州 510630）

1 引言

云计算的出现是传统IT领域和通信领域技术进步、需求推动和商业模式变化共同促进的结果，具有以网络为中心、以服务为提供方式、高扩展性和高可靠性以及资源使用透明化等重要特征。业界认为云计算是继PC、互联网之后信息产业的第三次变革，将对社会信息化发展产生深远影响。

随着云计算技术及理念的深入应用，云安全越来越成为安全业界关注的重点，一方面云计算应用的无边界性、流动性等特点引发了很多新的安全问题；另一方面云计算技术及理念也对传统安全技术及应用产生了深远的影响。从完整意义上来说，云安全包括2种含义，一种是云计算应用自身的安全；另一种是云计算技术在安全领域的具体应用。前者是云计算各类应用健康、可持续发展的基础，后者则是当前安全领域最为关注的技术热点。为便于区分，本文将前者定义为云计算应用安全，将后者定义为安全云。

本文将重点阐述云计算应用安全，安全云在本文则不作探讨。

2 云计算应用安全威胁分析

根据IDC在2009年年底发布的一项调查报告显示，云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。该三大挑战排名同IDC于2008年进行的云计算服务调查结论完全一致。2009年11月，Forrester Research公司的调查结果显示，有51%的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。由此可见，安全性是客户选择云计算应用时的首要考虑因素。

云计算应用由于其用户、信息资源的高度集中，带来的安全事件后果与风险也较传统应用高出很多。如在2009 年，Google、Microsoft、Amazon 等公司的云计算服务均出现了重大故障，导致成千上万客户的信息服务受到影响，进一步加剧了业界对云计算应用安全的担忧。

总体来说，云计算应用主要面临如下安全威胁。

（1）服务可用性威胁

用户的数据和业务应用处于云计算系统中，其业务流程将依赖于云计算服务提供商所提供的服务，这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外当发生系统故障时，如何保证用户数据的快速恢复也成为一个重要问题。

（2）云计算用户信息滥用与泄露风险

用户的资料存储、处理、网络传输等都与云计算系统有关。如果发生关键或私隐信息丢失、窃取，对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求；如何实施有效的安全审计，对数据操作进行安全监控；如何避免云计算环境中多用户共存带来的潜在风险都成为云计算环境下所面临的安全挑战。

（3）拒绝服务攻击威胁

云计算应用由于其用户、信息资源的高度集中，容易成为黑客攻击的目标，同时由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。

（4）法律风险

云计算应用地域性弱、信息流动性大，信息服务或用户数据可能分布在不同地区甚至国家，在政府信息安全监管等方面可能存在法律差异与纠纷；同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。

3 云计算应用安全研究

云计算应用作为一项信息服务模式，其安全与ASP（应用托管服务）等传统IT信息服务并无本质上的区别。只是由于云计算的应用模式及底层架构的特性，使得在具体安全技术及防护策略实现上会有所不同。

从安全的角度看，云计算带来的机遇和挑战并存。一方面，若能合理运用云计算技术，则可以解决目前存在的一些安全问题。如采用瘦终端的方式，将企业数据统一存储在云计算服务器网络中，通过加强对核心数据的集中管理，可大大降低由终端造成的信息泄露的安全风险。另一方面，云计算为系统安全引入新的潜在威胁问题，由于云计算的服务模式以及基于虚拟化、分布式计算的底层架构特性，使得安全边界比较模糊，传统的安全域划分、网络边界防护等安全机制难以保障云计算应用的安全需求。

3.1 业界研究现状

云计算应用安全研究目前还处于起步阶段，业界尚未形成相关标准，目前主要的研究组织主要包括CSA（cloud security alliance，云 安全联盟）、CAM （common assurance metric-beyond the cloud）等相关论坛。

为推动云计算应用安全的研究交流与协作发展，业界多家公司在2008年12月联合成立了CSA，该组织是一个非赢利组织，旨在推广云计算应用安全的最佳实践，并为用户提供云计算方面的安全指引。CSA在2009年12月17日发布的《云计算安全指南》，着重总结了云计算的技术架构模型、安全控制模型以及相关合规模型之间的映射关系，从云计算用户角度阐述了可能存在的商业隐患、安全威胁以及推荐采取的安全措施。目前已经有越来越多的IT企业、安全厂商和电信运营商加入到该组织。

另外，欧洲网络信息安全局（ENISA）和CSA联合发起了CAM项目。CAM项目的研发目标是开发一个客观、可量化的测量标准，供客户评估和比较云计算服务提供商安全运行的水平，CAM计划于2010年底提出内容架构，并推向全球。

许多云服务提供商，如Amazon、IBM、Microsoft等纷纷提出并部署了相应的云计算安全解决方案，主要通过采用身份认证、安全审查、数据加密、系统冗余等技术及管理手段来提高云计算业务平台的鲁棒性、服务连续性和用户数据的安全性。

3.2 云计算应用安全剖析

为有效保障云计算应用的安全，需结合云计算应用特点，在采取IT系统基本安全防护技术的基础上，进一步集成数据加密、VPN、身份认证、安全存储等综合安全技术手段，构建面向云计算应用的纵深安全防御体系，并重点解决如下安全问题。

（1）构建安全的逻辑边界

在典型云计算应用环境下，物理的安全边界逐步消失，取而代之的是逻辑的安全边界，应通过采用VPN和数据加密等技术，实现从用户终端到云计算数据中心传输通道的安全；在云计算数据中心内部，采用VLAN以及分布式虚拟交换机等技术实现用户系统、用户网络的安全隔离。

（2）数据加密与安全存储

采用数据加密技术实现用户信息在云计算共享环境下的安全存储与安全隔离；采用基于身份认证的权限控制方式，进行实时的身份监控、权限认证和证书检查，防止用户间的非法越权访问。同时应做好剩余信息保护措施，存储资源重分配给新用户（如虚拟机等）之前，需要进行完整的数据擦除，防止被非法恢复。

（3）虚拟化技术等安全漏洞风险防范

通过采用虚拟防火墙、防恶意软件和虚拟设备管理软件对虚拟机环境实施安全策略，确保构建的虚拟网络与构建的物理网络一样可靠、安全；采用版本和补丁管理控制机制防范虚拟化等安全漏洞引起的潜在安全隐患。

同时，云计算应用安全也是云计算服务提供商和云计算用户之间共同的责任。基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）等三种云计算应用模式，由于其自身特点，以及云计算用户对云计算资源的控制能力不同，使得云服务提供商和云计算用户各自承担的安全责任与职责也有所不同。

IaaS云服务提供商主要负责为用户提供基础架构服务，如提供包括服务器、存储、网络和管理工具在内的虚拟数据中心，云计算基础设施的可靠性、物理安全、网络安全、信息存储安全、系统安全是其基本职责范畴，如虚拟机的入侵检测、完整性保护等；而云计算用户则需要负责基础设施架构以上层面的所有安全问题，如自身操作系统、应用程序的安全。

PaaS云服务提供商主要负责为用户提供简化的分布式软件开发、测试和部署环境，云服务提供商除了负责底层基础设施安全外，还需解决应用接口安全、数据与计算可用性等；而云计算用户则需要负责操作系统或应用环境之上的安全问题。

SaaS云服务提供商需保障其所提供的SaaS服务从基础设施到应用层的整体安全，云计算用户则需维护与自身相关的信息安全，如身份认证账号、密码、终端安全等。

3.3 云计算应用安全策略与实施建议

按照服务对象的不同，云计算可分为私有云（private cloud）、公共云（public cloud）和混合云（hybrid cloud）。对于私有云而言，通常部署在企业内部，安全实现相对比较容易，企业内部使用的传统IT安全措施也可直接应用到私有云的保护上去。公共云和混合云则涉及到云服务提供商和云计算用户，安全性要求相对私有云复杂很多，需要云计算服务提供商和云计算用户协同配合，共同提高云计算服务的应用安全水平。

3.3.1 云计算服务提供商

要提供面向公众的商业化云计算服务，服务质量保证、数据安全性和计算环境的安全隔离都是必要的保证，因此对于云计算服务提供商而言，如何在最大程度上降低云计算系统安全威胁、提高服务连续性、保障用户信息安全是其业务能否取得成功的关键，结合云计算应用面临的主要安全威胁，建议采取的安全策略如下。

（1）建立云计算系统的纵深安全防御机制，提高云计算系统的安全性、健壮性，保障服务提供连续性和稳定性

·控制蠕虫/病毒/木马在云计算平台内外部网络内的传播，及时隔离和修复；

·对进出云计算系统的数据流量和云计算系统运行状态进行实时监控，及时发现修复网络和系统异常；

·部署网络攻击防御系统或购买相关攻击防护服务，防范黑客攻击造成的系统瘫痪或服务中断；

·完善云计算平台的容灾备份机制，包括重要系统、数据的异地容灾备份；

·建立完善的应急响应机制，提高对异常情况和突发事件的应急响应能力。

（2）保护用户信息的可用性、隐私性和完整性

·对用户系统和数据进行安全隔离和保护，确保用户信息的存储安全以及用户间逻辑边界的安全防护；

·通过采用数据加密、VPN等技术保障用户数据的网络传输安全；

·完善用户信息的数据加密与密钥管理与分发机制，实现对用户信息的高效安全管理与维护；

·完善数据备份、安全恢复机制，在发生异常时为用户进行及时的数据恢复。

（3）身份认证与安全接入控制

建立严格的云计算AAA机制，实施严格的身份管理、安全认证与访问权限控制，提供用户访问记录，访问可溯源。

（4）加强云计算数据中心的安全管理，完善安全审计机制

·加强云计算数据中心的安全管理，完善安全事件应急响应机制及处理流程；

·加强对操作、维护等各类日志的审计管理，提高对违规溯源的事后审查能力。

3.3.2 云计算用户

对于广大用户而言，在选择云计算服务或将现有IT系统向私有云或公共云服务迁移之前，首先应对云计算安全有一个正确的认识，这对用户决定将什么样的业务放在云里，以节本增效、增强安全性，有着重要意义；同时也应结合本企业实际情况，做好周详的准备工作，在最大程度上降低在向云计算服务迁移后可能出现的安全威胁。

（1）向私有云迁移

私有云一般部署在企业网内部，所面临的安全风险相对较小，但依然会面临法规遵从、软件许可、应用可靠性、SLA等问题。用户在向私有云迁移时，需要采用成熟的技术方案，解决私有云的系统建设及运营管理安全工作，具体可参见上文。同时，应做好系统容灾、数据备份以及业务回退机制，以提高应对各类突发安全事件的处理能力。

（2）向公共云迁移

在向公共云迁移时，应采取如下举措以规避迁移风险：

·尽量选择安全可信度高、信誉好的大型云服务提供商，降低云服务提供商出现破产导致的业务受损或相关负面结果的风险；

·确定哪些业务可以使用云计算服务，有选择性地向云计算服务迁移，如对于企业最至关重要的涉及核心知识产权的或非常敏感的信息，在做好各项测试验证前，应审慎迁移；

·继续做好数据迁移后的安全管理和监控，一方面应通过技术手段和合规审计来验证云服务提供商的安全举措，确保自身数据安全及完整性；另一方面，也应继续做好自身应用系统的安全管理与运行监控工作，包括关键应用信息的备份，以应对云计算系统故障等突发安全风险；

·详细了解协议内容，确保了解SLA服务协议、服务提供商的隐私协议等，通过协议条款要求云计算服务提供商更新其保护系统，以实现与业内最佳实施策略相一致；

·明确云服务提供商存储用户数据的地点，在可能的情况下，控制数据的存放地点，以应对不同地区、国家的法律差异而可能引起的法律纠纷。

另外，由于云计算服务可能涉及到诸多个人、企业乃至整个国家的重要敏感信息安全，因此在某种程度上需要政府相关监管部门的介入，通过制定、完善相应的法律法规，对云计算服务提供商、云计算服务进行规范、监督、审计，保障云计算应用服务及信息安全。

4 结束语

安全是广大用户权衡是否使用云计算服务的重要指标之一，是云计算健康可持续发展的基础。只有为用户提供可靠、可信、高性价比的云计算服务，企业才有可能在云计算领域取得成功。本文在总结、分析云计算应用面临的技术层面安全威胁和法律合规风险的基础上，对云计算应用安全进行了系统分析与研究，并分别从云计算服务提供商和用户角度提出云计算应用安全策略与建议。相信随着整个云计算产业链的不懈努力，以及政府监管部门相关法律法规的不断完善，云计算应用及服务将朝着可靠、安全、可信的方向健康发展。

1 Cloud Security Alliance.Security guidance for critical areas of focus in cloud computing v2.1,http://www.cloudsecurityalliance.org/csaguide.pdf

2 IBM.蓝云解决方案.http://www-900.ibm.com/ibm/ideasfromibm/cn/cloud/solutions/index.shtml

3 王鹏.走近云计算.北京:人民邮电出版社，2009