云计算技术安全分析

-.z.1.概述目前，业界关于云计算的概念众说纷"云〞，可以说是仁者见仁，智者见智，关于云计算的概念，维基百科认为："云计算是一种能够动态伸缩的虚拟化资源，通过互联网以效劳的方式提供给用户的计算模式，用户不需要知道如何管理那些支持云计算的根底设施〞。因为云计算代表着一种新的商业计算模式，其在各方面的实际应用上还有很多不确定的地方，面临着很多的平安挑战。目前各家所提的云平安解决方案，大都根据自己企业对云平台平安的理解，结合本企业专长，专注于*一方面的平安。然而，对于用户来说云平台是一个整体，急需一套针对云平台的整体保护技术方案。针对云平台的信息平安整体保护技术的研究的是大势所趋，整体保护技术体系的建立，必将使云计算得以更加安康、有序的开展。1.1云计算特点〔1〕超大规模。"云计算管理系统〞具有相当的规模，Google的云计算已经拥有100多万台效劳器，Amazon、IBM、微软、等的"云〞均拥有几十万台效劳器。"云〞能赋予用户前所未有的计算能力。〔2〕虚拟化。云计算支持用户在任意位置、使用各种终端获取应用效劳。所请求的资源来自"云〞，而不是固定的有形的实体。应用在"云〞中*处运行，但实际上用户无需了解、也不用担忧应用运行的具体位置。〔3〕高可靠性。"云〞使用了数据多副本容错、计算节点同构可互换等措施来保障效劳的高可靠性，使用云计算比使用本地计算机可靠。〔4〕通用性。云计算不针对特定的应用，在"云〞的支撑下可以构造出千变万化的应用，同一个"云〞可以同时支撑不同的应用运行。〔5〕高可扩展性。"云〞的规模可以动态伸缩，满足应用和用户规模增长的需要。〔6〕廉价。由于"云〞的特殊容错措施可以采用极其廉价的节点来构成云，因此用户可以充分享受"云〞的低本钱优势。1.2云计算效劳模型现在通用的云计算效劳模型可以分为三类，分别是根底架构即效劳〔IaaS〕、平台即效劳〔PaaS〕、软件即效劳〔SaaS〕。下面分别介绍。1〕根底架构即效劳〔Infrastructure

as

a

Service〕：是把数据中心、根底设施硬件资源通过Web或其他客户端软件分配给用户使用的商业模式。IaaS领域最引人注目的例子就是亚马逊公司的Elastic

pute

Cloud。IBM、VMware、HP等传统IT效劳提供商也推出了相应的IaaS产品。

IaaS为用户提供计算、存储、网络和其它根底计算资源，用户可以在上面部署和运行任意的软件，包括操作系统和应用程序，用户不用管理和控制底层根底设施，但需要控制操作系统、存储、部署应用程序和对网络组件〔如主机防火墙〕具有有限的控制权限。2〕平台即效劳〔Platform

as

a

Service〕：是把计算环境、开发环境等平台作为一种效劳提供的商业模式。云计算效劳提供商可以将操作系统、应用开发环境等平台级产品通过Web以效劳的方式提供给用户。通过PaaS效劳，软件开发人员可以不购置效劳器的情况下开发新的应用程序。Google的App引擎，微软的Azure是PaaS效劳的典型代表，VMware也推出了基于开放API、spring

source框架的PaaS效劳。3〕软件即效劳〔Software

as

a

Service〕，效劳厂商将应用软件统一部署在自己的效劳器上，客户可以根据自己实际需求，通过互联网向厂商定购所需的应用软件效劳，按定购的效劳多少和时间长短向厂商支付费用，并通过互联网获得厂商提供的效劳。用户不用再购置软件，而改用向提供商租用基于Web的软件，来管理企业经营活动，且无需对软件进展维护，效劳提供商会全权管理和维护软件，软件厂商在向客户提供互联网应用的同时，也提供软件的离线操作和本地数据存储，让用户随时随地都可以使用其定购的软件和效劳。代表厂家：Salesforce，SuccessFactor，Workday等。图云计算效劳模式相对来说，我们认为关于云计算的体系构造为IaaS为底层根底，PaaS为中间层，SaaS为最上层。值得一提的是，随着业界对云计算的深入研究以及各大公司的大力推广，这三层又逐渐融合的趋势，大的云计算提供商也开场在各个层面分别堆出自己的云计算产品来抢夺先机。2.云计算的平安体系架构云计算平台和传统计算平台的最大区别在于计算环境，云平台的计算环境是通过网络把多个本钱相对较低的计算实体整合而形成的一个具有强大计算能力的系统，这样的一个系统势必比传统意义上的计算环境要更加复杂。对云平台的计算环境的保护也是云平台下信息平安整体保护体系的重中之重。强大、方便的云计算效劳是通过客户端最终展现给用户的，在云计算环境完成了客户所要求的工作或效劳后，这些工作、效劳的成果应通过一个平安的途径传输并最终展现在客户端上。云计算环境下的通信网络就是保证云计算环境到客户端、云计算环境之间进展信息传输以及实施平安策略的部件。区域边界是云计算环境与云通信网络实现边界连接以及实施平安策略的相关部件。真正的云计算环境应是可控的，在这一可控的云区域与其外部的不可控区域之间，应遵循一套规则来确保只有通过认证的用户才能管理和使用云，从而保证云计算环境区域的平安。云计算环境部的各个部件的正常运转、数据在云的平安传输、云计算环境以及云区域边界上的平安机制的执行，都需要进展统一的平安管理。操作、使用云效劳，也应遵守一定的管理规章制度。云计算环境下的平安管理就是一套对云计算环境部以及云边界的平安机制实施统一管理，并控制操作、使用云计算效劳的行为的手段。3.云计算面临的平安风险3.1IaaS(根底设施层)的平安与风险分析〔1〕首先用户的数据在云中会存在泄露的危险。当用户迁移到云的时候，对于客户和他们的数据来说，有两大改变。其一，相对于客户的地理位置来说，数据会被远程存储；其二，数据通常是从单租户环境迁移到多租户环境的，这就是数据泄露问题发生的源头。数据泄露只不过是一个客户到另一个客户的数据迁移，实际上在云中的每个客户都应该只能访问他们自己的数据，而不能访问其他客户的数据。〔2〕计算效劳性能不可靠。主要包括硬件与软件问题。硬件问题包括效劳器、存储、网络的问题，硬件的不兼容、不稳定以及不易维护性，这都有可能造成计算性能的不可靠；软件主要指统一部署与硬件之上的虚拟化软件的可靠性能，包括兼容性、稳定性、可维护性等。〔3〕远程管理认证危险。IaaS资源在远端，因此你需要*些远程管理机制，这就存在认证上的危险，比方账户的盗用，冒用，丧失等。〔4〕虚拟化技术所带来的风险。由于IaaS基于虚拟化技术搭建，虚拟化技术所带来的风险便不可防止，包括堆栈溢出、权限管理、虚拟化管理程序软件会成为被攻击的目标等等。〔5〕用户本身的焦虑。包括我的数据放在哪里，如何保证我的数据平安性等。〔6〕效劳中断。包括数据中心宕机，停顿对外效劳，以及灾难、电力供给等的消灭性破坏。此类破坏大局部为不可抗拒性破坏，由于IaaS从层面上来说，更接近底层硬件设施，因而对硬件设施的这些问题，应该给予更多的关注。此类事件一旦发生，便会造成数据中心消灭性的破坏。3.2PaaS(云平台)的平安与风险分析〔1〕应用配置不当。当你在云根底架构中运行应用以及开发平台时，应用在默认配置下平安运行的概率时机根本为零。因此，你最需要做的事就是改变应用的默认安装配置。要熟悉一下应用的平安配置流程，也就是说如果要使用它们，就要知道如何确保其平安，因为它们占据了PaaS云架构中所有应用的80%之多。〔2〕平台构建漏洞，可用性、完整性差。任何平台都存在漏洞的风险，有些平台极端环境下可用性、完成性的工作能力不够，比方在大量网络连接下，web效劳器的承受能力等。在对外提供API的平台应用中，编程环境的漏洞、堆栈溢出的漏洞、高权限非法获取的漏洞都会存在。〔3〕

SSL协议及部署缺陷。对PaaS用户而言，第三个需要考虑的威胁是SSL攻击。SSL是大多数云平安应用的根底。目前，众多黑客社区都在研究SSL，SSL在不久的将来或许会成为一个主要的病毒传播媒介。因此，客户必须明白当前的形势，并采取可能的方法来缓解SSL攻击，这样做只是为了确保应用不会被暴露在默认攻击之下。〔4〕云数据中的非平安访问许可。对于PaaS用户而言，第四个需要考虑的威胁是需要解决对云计算中数据的非平安访问问题。尽管说这似乎是一个特定环境下的问题，但我经过测试发现，许多应用实际上存在严重的信息漏洞，数据的根本访问许可往往设置不当。从平安的角度讲，这意味着系统需要批准的访问权限太多。3.3SaaS(应用效劳层)的平安与风险分析〔1〕数据平安。SaaS提供的是一种数据托管效劳，成千上万的企业将自己的信息托管于SaaS效劳商。在信息输过程中极易丧失或被非法入侵主机的黑客篡改、窃取，为病毒所破坏或者因为程序的而不小心被其他使用者看到。〔2〕垃圾与病毒。病毒、蠕虫在网络中传播大量占用用户网络带宽资源，企业中被感染的局域网用户机器被植入木马程序，可能导致敏感、信息数据泄露

(如重要文件、账号密码等)

。〔3〕软件漏洞，问题。〔4〕操作系统以及IE浏览器的平安漏洞。由于目前操作系统、lE浏览器漏洞较多，容易被病毒、木马程序等破坏。而也就是因为这样用户口令丧失的事情时有发生，从而使得平安性得不到保障。〔5〕人员管理以及制度管理的缺陷。效劳商部人员的诚信、职业道德可能造成平安危险，另外，平安法律制度的不健全，规和条款缺失，也是一个急需解决的问题。〔6〕缺少第三方监视认证机制。4.云计算的平安解决方案4.1IaaS的平安风险对策〔1〕数据可控以及数据隔离。对于数据泄漏风险而言，解决此类风险主要通过数据隔离。可以通过三类途径来实现数据隔离：其一，让客户控制他们需要使用的网络策略和平安。其二，从存储方面来说，客户的数据应该存储在虚拟设备中，由于实际上虚拟存储器位于更大的存储阵列上，因而采取了虚拟存储，便可以在底层进展数据隔离，保证每个客户只能看到自己对应的数据。其三，在虚拟化技术实现中，可以考虑大规模部署虚拟机以实现更好的隔离，以及使用虚拟的存储文件系统，比方VMware的VMFS文件系统。〔2〕综合考虑数据中心软硬件部署。在软硬件选用中，考虑品牌厂商，硬件的选择要综合考虑质量、品牌、易用性、价格、高可维护性等一系列因素，并选择性价比高的厂商产品。在虚拟化软件选择中，也需要在价格、厂商、质量之间平衡。建议有条件的客户首先聘请咨询公司进展咨询。市场上，目前有三个云计算联盟可以提供完整的云计算解决方案，包括从底层的硬件到上层的软件。分别是Cisco+EMC+VMware，IBM，HP+Microsoft

〔3〕建立平安的远程管理机制。根据定义，IaaS资源在远端，因此你需要*些远程管理机制，最常用的远程管理机制包括：

VPN：提供一个到IaaS资源的平安连接。远程桌面、远程Shell：最常见的解决方案是SSH。Web控制台UI：提供一个自定义远程管理界面，通常它是由云效劳提供商开发的自定义界面。对应平安策略如下：

A.缓解认证威胁的最正确方法是使用双因子认证，或使用动态共享密钥，或者缩短共享密钥的共享期。

B.不要依赖于可重复使用的用户名和密码。

C.确保平安补丁及时打上。

D.对于下面这些程序：SSH：使用RSA密钥进展认证；微软的远程桌面：使用强加密，并要求效劳器认证；VNC：在SSH或SSL/TLS隧道上运行它；Telnet：不要使用它，如果你必须使用它，最好通过VPN使用。

E.

对于自身无法保护传输数据平安的程序，应该使用VPN或平安隧道〔SSL/TLS或SSH〕，推荐首先使用IPSEC，然后是SSLv3或TLSv1。〔4〕选择平安的虚拟化厂商以及成熟的技术。最好选择要能有持续的支持以及对平安长期关注的厂商。定期更新虚拟化平安补丁，并关注虚拟化平安。成熟的虚拟化技术不但能够预防风险，在很大情况下还能增强系统平安性，比方VMware对有问题虚拟机的隔离，DRS系统动态调度等。〔5〕建立健全IT行业法规。在云计算环境下，用户不知道自己的数据放在哪儿，因而会有一定的焦虑，比方我的数据在哪儿，平安吗？等等的疑问。在IaaS环境下，由于虚拟机具有漂移特性，用户很大程度上不知道数据到底存放在那个效劳器、存储之上。另外由于数据的独有特点，一旦为别人所知，价值便会急剧降低。这需要从法律、技术两个角度来规，首先建立健全法律，对数据泄漏、IT从业人员的不道德行为进展严格约束，从人为角度防止出现数据泄漏等不平安现象。其次，开发虚拟机漂移追踪技术、IaaS下数据独特加密技术，让用户可以追踪自己的数据，感知到数据存储的平安。〔6〕针对突然的效劳中断等不可抗拒新因素，采取两地三中心策略。效劳中断等风险在任何IT环境中都存在，在部署云计算数据中心时，最好采取基于两地三中心策略，进展数据与环境的备份。图数据中心两地三中心防灾方案生产中心与同城灾备中心一般在同一个城市，距离在10Km以，异地灾备中心通常在国家的另一个区域，距离可以跨越数个省份。生产中心为对外提供效劳的主中心，由于与同城灾备中心距离近，可以采取裸光纤相连，采取同步复制模式，数据实时保持同步。同城灾备中心与异地灾备中心数据由于距离远，只能采取WAN连接，因此采取异步复制模式。在该环境下，一旦生产中心发生毁坏，同城灾备中心可以实时承接对外效劳的任务，在此情况下，用户感觉不到任何的效劳中断。在发生地震或者战争等大面积毁坏的情况下，生产中心与同城灾备中心效劳同时中断，可以启用异地灾备中心对外效劳，在这种情况下，由于数据需要恢复，用户感觉到效劳中断，但短时间会恢复，不会造成严重事故。4.2PaaS平安风险对策〔1〕严格参照手册进展配置。严格按照应用程序供给商提供的平安手册进展配置，尤其是在Windows环境下，你需要具备确保IIS、Microsoft

SQL和.NET平安的能力。不要留有默认的密码或者不平安的Guest账户。〔2〕保证补丁能够及时得到更新。需要依靠应用供给商来提供正确应用配置或配置补丁的具体步骤。这里最关键的问题是要及时，必须要确保自己有一个变更管理工程，来确保SSL补丁和变更程序能够迅速发挥作用。〔3〕重新设计平安应用。要解决这一问题，需要从两方面来考虑。一方面需要对你的应用进展重新设计，把平安工作做得更细一点，来确保使用应用的所有用户都能被证明是真实可靠的。另一方面，通过这样做，你可以应用适当的数据和应用许可制度，来确保所有访问控制决策都是基于用户授权来制定的4.3SaaS确保应用效劳层的平安风险对策〔1〕建立可信平安平台。结合防火墙、入侵检测、病毒防治、权限控制以及平安技术，保证网络传输时系统的应用和数据存储、传输的平安性。〔2〕数据存储与备份。这里的数据存储与备份针对运营数据，要到达平安性与实时性相结合。在SaaS环境下，为各个环节做冗余设计，保证任何一个硬件或者软件的单点故障都不会影响整个SaaS的运营。〔3〕选择可靠的操作系统，定期升级软件补丁，并关注信息。选择稳定的主流操作系统，定期更新操作系统与软件补丁，定时扫描漏洞。有条件的客户可以选择平安专家对系统做评估，并选用定制的网络设备或者硬件设施。〔4〕对效劳器跟客户端的平安都要重视。对于客户端，最好采用通过SSL效劳器端认证的HTTPS协议，保证所有传输的数据都是加密过的，以保证数据传输平安。同时对于身份认证，可以考虑给予USB

Key的方式，唯一识别客户身份。对于效劳器方面，可以使用虚拟化的高可用技术，以保证任意一台效劳器出现故障，不会影响系统的整体可用性。〔5〕选择可靠的SaaS提供商。首先，可靠的SaaS提供商应该具有业界领先的成熟的平安技术，比方对于SaaS提供商，成熟的反病毒、反垃圾技术必不可少。其次，知识产权也比拟重要，SaaS提供商拥有核心知识产权，可以保证以后效劳的延续性与可靠性。最后，SaaS提供商最好要有业界良好的信誉以及平安资质，可以保证效劳运行的可靠性与可信度，并能够提供持续的技术支持。〔6〕平安管理。首先，最好建立第三方监理制度，应用第三方监理确保科学化、公平化、专业化，才能使SaaS更合理、有效的运营下去。其次，平安制度也非常重要，要建立效劳商与客户之间的诚信体系，社会方面也需要提供外部的法律支持，使泄露客户商机的行为能够收到惩办。良好的信用体系是SaaS平安开展的一个必要条件。再次，需要加强对人员技术知识和应急平安事件处理能力的培训，增强平安管理意识，并遵守平安管理规。5.云计算通用平安技术分析上面分别从IaaS、PaaS以及SaaS角度分析了云平安所面临的风险以及解决方案，有些平安风险，在这三层都存在或者不能划分层次，而在云计算环境下，平安风险的解决方式也会有些变化。5.1云计算中的通用平安防护策略建立可信云，根据可信计算的思想，可信计算的是由可信任模块到操作系统核层，再到应用层都建立关系，构建信任关系，并在此根底上，扩展到网络中建立起信任链，从而形成对病毒和木马的免疫。在云端，植入信任根，组成可信链，通过可信链的扩大组成可信云。平安认证。通过单点登录认证，强制用户认证，代理、协同认证、资源认证、不同平安域之间的认证或者不同认证方式相结合的方式。数据加密。加强数据的私密性才能保证云计算平安，无论是用户还是存储效劳提供商，都要对文件数据进展加密，这样既保证文件的隐私性，又可以进展数据隔离。法律和协议。云计算的稳定运行和安康开展，需要完善的规章制度与法律保护。5.2传统平安技术在云计算下的分析DDoS攻击通常分为流量型攻击和应用型攻击。对于流量型攻击，防方式与解决方式有流量统计、TCP代理、源探测、会话清洗等多种方法。对于应用层攻击，防与解决方式则有应用协议格式认证、指纹过滤等清洗技术。这些技术对于明显有异常行为的DDoS攻击流量是很有效的。在云计算环境下，由于传统的DDos攻击防护一般采取被动模式，而新型的DDos一般采取小流量应用层攻击，这种攻击会造成性能的巨大消耗。对于僵尸网络、木马、蠕虫的检测过滤，一个困难就是这些恶意代码的样本难于获得，没有样本就无从特征，现在的恶意代码样本往往几天就失效了，收集不到其网络通信报文特征也就更难谈及检测和过滤。垃圾，很多都是僵尸网络发起。黑客利用僵尸网络，不断的进展大规模的垃圾发送，这些主机今天感染了僵尸网络发，明天可能重新上网，IP发生了变化，黑很难奏效。基于这些分析，在云计算环境下，出现了两种新型的云平安技术，分别是：自动特征分析以及全网共享、信誉效劳。〔1〕自动特征分析，该技术是指云中心端搜集云端上传的可执行文件信息，自动化的进展恶意性分析，识别是否是恶意代码，如果是恶意代码，则对其进展自动化检测，自动分析出其网络通信特征，然后云中心端再把这个样本的特征进展全云设备的下发，让云所有设备的平安知识库升级。如果用户设备购置了这项特征库效劳，也可以通过插入SDK包来享受自动化分析和全网特征共享带来的好处。这种云平安技术可以到达主动防御、源头打击的目的。〔2〕信誉效劳，是云中心端搜集各个云端设备的检测结果，包括DDoS、僵尸网络、垃圾、蠕虫等，把这些信息涉及的IP、域名、URL记录下来，利用关联和统计分析，并与域名反查、运营商的系统、时间因素等结合起来，形成关于IP、域名、URL的信誉数据，云中心端可以利用这些信誉数据对云端设备和用户设备提供IP、域名、URL的信誉查询效劳，这样当网络设备面临难于决策判断*个IP的当前动作是善意还是恶意的时候，结合其由历史统计分析得出的信誉黑白进展判断往往是很好的选择。这也就是信誉分析，知识为云。6.云计算平安的未来展望从信息平安领域的开展历程我们可以看到，每次信息技术的重大革新，都将直接影响平安领域的开展进程，云计算的平安也会带