云计算安全威胁及防护思路分析*

吴宝江

（中国电子科技集团公司电子科学研究院，北京 100041）

0 引 言

云计算是虚拟化和可扩展资源的集合，能够托管应用，并采用“只为使用的付费”的方法为用户提供所需服务，而用户只为他们消费的服务付费。云计算是一组支持服务的网络，按需提供可扩展的有QoS保障的个性化的且不算贵的计算设施，且可使用简单而普遍的方式来访问。

美国国家标准与技术研究院（NIST）定义云计算有五个基本特征：（1）按需自助服务，用户可以在需要时自动配置计算能力；（2）宽带网络接入，通过标准机制实现网络接入，有助于用户使用不同终端访问云计算服务；（3）资源池，提供商的计算资源汇集到资源池中，使用多租户模型，按照用户需要，将不同的物理和虚拟资源动态分配或再分配给多个消费者使用；（4）快速弹性，可提供快速而有弹性的计算能力，在某种情况下，可动态快速扩展计算能力，并在使用后快速释放所用计算资源；（5）可计量的服务，云系统以适用于不同服务类型的抽象层面的计量能力来收取费用。

1 云计算安全威胁分析

云安全联盟（CSA）定义了七类云安全威胁[1]，包括云计算的滥用和恶用、不安全的接口和API、恶意的内部员工、共享技术产生的问题、数据丢失或泄漏、账号和服务劫持和未知的风险场景。

（1）云计算的滥用和恶用。云计算的滥用和恶用被CSA认为是云计算最大的安全威胁。一个简单的例子就是利用僵尸网络来传播垃圾邮件和恶意软件。比如，攻击者可以渗透公共云，并向数以千计的计算机上传恶意软件，而后利用云基础设施的力量攻击其他设备。针对此威胁，CSA提出的补救措施：①更加严格初始注册和验证过程；②加强信用证书欺诈的监管。

（2）不安全的接口和API。因为软件接口或API是客户用来与云服务交互的，所以必须具有非常安全的身份认证、访问控制、加密和活动监控机制。针对此威胁，CSA提出的补救措施：①云提供商接口安全模型分析；②确保身份认证和访问控制与加密传输共同实施；③了解与API相关的依赖链。

（3）恶意的内部员工。恶意的内部员工是一个重要问题，因为许多供应商仍然没有透露他们是如何雇佣人员的，以及这些人员如何接触资源和被监管的。针对此威胁，CSA提出的补救措施：①实施严格的供应链管理，进行全面的供应商评估；②作为法律合同的一部分来指定人力资源需求；③要求信息安全管理和合规报告全面透明化；④明确安全漏洞通告过程。

（4）共享技术产生的问题。共享基础设施是IaaS提供商的一种服务方式。不幸的是，该基础设施基于的组件并不是为此设计的。为了保障用户不进入他人领域，必须进行监控和分区。针对此威胁，CSA提出的补救措施：①完成安装/配置的安全最佳实践；②监控未授权的进行更改的环境；③提升对行政准入和操作的认证和访问控制；④增强修补和漏洞修复的服务级别协议；⑤执行漏洞扫描和数据审计。

（5）数据丢失或泄漏。因为存在数据没有备份情况下的被删除、编码密钥丢失或数据未经授权访问等因素，所以数据总有丢失和被盗的危险。数据安全问题是企业最关心的问题之一，因为数据丢失或泄漏不仅会使企业损失信誉，而且保护数据安全是企业需要承担的法律责任。针对此威胁，CSA提出的补救措施：①执行严格的API访问控制措施；②数据传输加密，保护数据完整性；③制定数据在设计和使用过程中的保护策略；④执行严格的密码生成、储存、管理和销毁流程；⑤要求释放虚拟资源后，物理介质上的数据得到完全擦除；⑥规定数据提供者的数据备份和保留策略。

（6）账号和服务劫持。云用户需要关注账号和服务劫持问题。这些威胁包括中间人攻击、网络钓鱼、垃圾邮件以及拒绝服务攻击。针对此威胁，CSA提出的补救措施：①禁止在用户和服务间共享账户凭证；②在可能的情况下，使用多因素认证技术；③采用主动监测方式监测非授权行为；④熟知云提供商安全策略。

（7）未知的风险场景。代码更新、脆弱性、入侵企图等风险场景都应时刻警惕。针对此威胁，CSA提出的补救措施：①公开适当的日志和数据；②部分或全部公开基础设施信息（补丁级别、防火墙等）；③必要的信息监控和告警。

除了上述云计算安全威胁，还有一些其他威胁存在[2-3]。例如，云提供商控制的硬件和管理程序承载着数据的存储和应用的运行，因此它们的安全在云环境设计中尤为重要；如果一个用户可以随意访问另一个用户的数据，意味着他们的应用可能会被干扰；互联网的可靠性和可用性对云计算使用非常重要；云计算的虚拟化对管辖范围之外的数据提出了许多法律和监管的问题。

2 云计算安全问题

通过上述对云计算安全威胁的分析可以看到，云计算安全的问题主要集中在以下几个方面：云基础设施安全、数据安全、用户身份和访问权限管理、云安全管理、隐私性以及审计和合规性等。

（1）云基础设施安全。在网络、主机、应用等各个层面的安全挑战不是由云计算引起的，而是由对它们的使用引起的。通过理解哪一方面提供安全的那一部分，可以定义基础设施安全与云计算的信任边界。

（2）数据安全。由于数据集中、数据价值大，在云计算环境下数据的安全尤为重要。当前，数据的访问控制、保密性、完整性和可用性等都存在严峻的安全风险。

（3）用户身份和访问权限管理。身份管理的关键因素是需要有健壮的联合身份管理体系结构和策略。使用基于云的身份认证服务，云提供商能够实现身份管理能力的外包，并促进联合管理。

（4）云安全管理。从云安全管理角度来看，缺乏企业级的访问管理是关键问题。云服务的安全管理范围将随着服务交付模型、供应商能力和成熟度而变化。用户将不得不在SPI服务提供的灵活性和受控方面做出权衡。服务越灵活，就可以进行更多的控制，并由此带来额外的安全管理职责。在多租户共享基础设施的虚拟环境中，用户的数据与其他用户的数据在数据产生、传输、存储的全生命周期中是混合在一起的。因此，重要的是要了解服务的位置、服务保护等级，如节点间的通信和存储访问延迟。

（5）隐私性。隐私性是云计算的重要问题，包括法律和用户信任两方面。在云设计的每个环节，均需要考虑隐私性问题。这个问题的关键是软件工程师用什么方法做到减少隐私风险，并确保遵从法律。云系统的设计、开发、测试人员提出的方法建议包括：①最小化个人信息，发送并存储在云上；②在云上保护个人信息；③最大化的访问控制；④允许用户选择；⑤指定和限制数据使用目的；⑥提供使用反馈。

（6）审计与合规性。审计和合规性的方法能够帮助云服务提供商和用户解决云业务模式的新需求和新变化。为提高效率、风险管理和合规性，云服务提供商需要实施强有力的内部监控和控制功能，并结合严格的外部审计过程。为更好地获得云服务，云服务用户需要界定他们的控制要求，了解云服务提供商的内部控制监控过程，分析相关外部审计报告，并正确履行他们作为云服务提供的用户职责。

3 安全威胁解决方法分析

3.1 基于客户的隐私管理

基于客户的隐私管理可以减少云计算中敏感数据泄漏和隐私丢失的风险，主要特征包括：（1）分别将数据上传到云上前和从云上下载后，自动将数据结构中的一些或全部字段混淆和去混淆。混淆和去混淆通过密钥完成，这个密钥由用户而不是相关的云服务提供商来选择；（2）允许用户为在云上以未混淆形式存储个人数据设置偏好，这一特征允许用户对个人数据的使用有更大的控制权；（3）允许用户访问云中个人信息，以便查看他们持有的信息并检查其准确性，这是一种审计机制，一旦隐私被侵犯，就可以检测到；（4）向用户反馈有关个人信息的使用情况，包括云中数据被使用的通知等，以有效监控从云平台传输的个人数据；（5）允许用户在与云服务交互时选择多个角色。

基于上述特征可以看到，基于客户的隐私管理虽然可以解决定制终端用户服务等许多实际问题，但如果服务提供者不提供完全的合作，那么除了混淆服务外，其他隐私管理的特征都将是无效的，因为这些特征的实现依赖于服务提供者的诚实合作。在没有服务提供者提供合作的情况下使用混淆服务，不仅需要用户有充足的计算资源来执行混淆和去混淆，而且依赖于执行混淆服务的应用。

3.2 透明云防护系统

透明云防护系统的目的是透明地监控云的全部组件，旨在通过允许主机监控客户虚拟机的基础设施组件来保护客户虚拟机和分布式计算中间件的完整性。

透明云防护系统是一个以内核和虚拟化层为核心的中间件。通过主动或被动地监控关键内核或云组件，透明云防护系统可以检测到对内核数据和代码的任何可能修改，保证内核和云中间件的完整性没有受到损害，从而确定没有攻击者通过此途径进入系统。

所有的透明云防护系统的模块都驻留在主机和模拟器上，用于访问guest用户。可疑的访问guest用户的行为能够被拦截器注意，并被告警记录器记录在报警队列中，其中潜在的变化将有检测器组件进行评估。透明云防护系统可以对安全漏洞进行本地处理或通知分布式计算安全组件。

透明云防护系统可以有效监测到各种主要的攻击，避免误报（在客户维护容忍度内）。该系统使VMs的可见度最小化，能够保护应用系统和用户免受已受破坏的用户攻击，且该系统可以部署在大多数可用的中间件上。如果安全策略需要，该系统能够采取适当的措施阻止已受破坏的用户，并通知远程中间件的安全管理组件。

3.3 安全有效的数据访问控制及存储

提供安全有效的数据访问控制，是云计算的重要部分，也是信息管理和其他操作的根本。因为数据拥有者需要将大量的数据存储在不受信任的云上，所以数据拥有者会在上传这些数据前将其加密。只有数据拥有者才有权更新这些数据，用户只能根据访问权限来读取数据。数据拥有者可以将文件授权给其他用户，仅目标用户可正常访问授权数据。

数据访问控制减少了数据所有者的开销，防止无授权用户访问数据。如果服务提供商进行了数据过加密，即使窃听者获得了数据块加密密钥，服务提供商同样可以抵御攻击。云中数据以密文存储。解密密钥为数据，属主用户保存，规避了数据泄露风险，但给云中密文在多用户间传递共享带来诸多不便。如何使密文像明文一样方便、高效地使用，是一个重要的问题。同态加密[4]概念的提出，为密文便利使用问题带来了曙光。“同态”特性可以实现密文操作与明文操作等同的效果，从而达到密文的精确检索。同态加密技术的“重加密”特性，基于解密电路方式，在不解密情况下将用户甲的密文重加密为用户乙的密文，既保证了数据的可靠性，又实现了密文数据的分享。

3.4 云安全服务

通过为租户提供云安全服务，抵御诸如DDoS流量型攻击、钓鱼式攻击等威胁。抗DDoS流量型攻击服务可支持用户根据租用带宽、业务模型自助配置防护阈值，实时进行流量检测。对于满足阈值条件的所有未经授权的传入流量进行清洗，所有附加的数据包被转发到“黑洞”，系统检测到攻击后，就会实时通知用户，并进行有效防御。统一身份认证服务为租户分配不同的资源和操作权限，用户通过使用访问密钥获得基于统一身份认证服务的认证和鉴权，以调用API的方式访问云资源。统一身份认证服务支持租户的安全管理员设置登录策略，避免用户密码被暴力破解或者因为访问钓鱼页面等导致账号信息泄露。

3.5 数据库安全合规和安全审计

通过提供内置行业合规知识库（HIPAA13、SOX14、PCI DSS等），用户可自行定义敏感数据、动态脱敏等策略，用以执行自动敏感数据发现和脱敏，避免因敏感数据泄露造成的法律法规责任和经济损失。提供多维度的数据库审计线索，包括源IP、用户身份、应用程序、访问时间、请求的数据库、原SQL语句、操作、成功与否、耗时和返回内容等，协助租户溯源到攻击者。审计记录远程保存，满足用户的审计合规要求。

4 结 语

随着云计算的深入发展，面对由海量节点和海量数据组成的分布式云计算网络，传统的信息安全技术已经越来越难以保障云上的数据安全和用户隐私。本文主要对云计算安全威胁进行分析，总结主要的云安全问题，分析当前云安全威胁解决方法的原理、目的和优缺点等。由于云安全挑战层出不穷，云安全威胁与攻击无孔不入，必须不断关注并研究基础设施、物理设备、分布式云操作系统及云服务产品的安全问题，提供保护云端应用及数据的技术方法，才能提供稳定、可靠、安全和合规的云计算基础服务，保护云系统及数据的可用性、机密性和完整性。