云计算媒体、分析和讨论的重要课题

云计算媒体、分析和讨论的重要课题

0基于接口的云计算服务在中国的云计算中，概念的普及在过去两年已发展到技术实践的阶段。这个阶段的一个重要标志,就是从对国外的商业云服务研究和概念争论,转变为了实践。在实践过程中,多采用以开源项目为技术核心的私有云和公有云建设。从公开获取到的信息来看,新浪的SAE云计算服务主要采用了OpenStack技术体系,而以Hadoop为代表的分布式存储和Mapreduce分布式计算模型也在国内的云计算项目中大量采用。云计算技术的实践,其中重要的一个环节是对信息安全服务的实现,在一个服务化的生态环境中,采用以传统边界防护为思路的信息安全体系和技术是不适合的,服务化的云计算环境必然催生出服务化的信息安全保障技术应用。1背景1.1基于云计算模型的程序现在,云计算已经不仅仅包含IaaS,PaaS和SaaS,在Forrester的研究报告中,信息与流程也将在云端提供,即流程即服务(BusinessProcessasaService,BPaaS)。在CSA最新的云计算安全指引3.0版本中,定义了14个域的说明,而在此前2009年的2.1版本中,只有13个,多出来的一个域称为安全即服务(SecurtityasaService),当然,如果把“安全”按照ISO27001的理解定义为一种过程控制,笔者认为,安全即服务也属于BPaaS的范畴之内。一种云计算模型框架的定义如图1所示。图1为在CSA报告中所引用的来自NIST的计算模型,在此基础上,引入参考文献中的概念,可以构建一个扩展了BPaaS的云计算模型,如图2所示。Hadoop现在是Apache中一个开源项目,主要提供并行运算与存储。Hadoop系统思想的来源是Google所采用的GFS、BigTable等技术,对应于Hadoop的子项目,即Hadoop、MapReduce、HDFS等。图3是一个典型的Hadoop分布式存储体系架构。MapReduce是一个软件运算思想,主要用于大数据环境下的分布式并行计算。这个概念由“映射(Map)”和“化简(Reduce)”两部分组成。MapReduce以函数方式提供了Map和Reduce来进行分布式计算。Map相对独立且并行运行,对存储系统中的文件按行处理,并产生键值(Key/value)对。Reduce以Map的输出作为输入,相同Key的记录汇聚到同一reduce,reduce对这组记录进行操作,并产生新的数据集,所有Reduce任务的输出组成最终结果。OpenStack是一个开源的IaaS软件,能够让任何人自行搭建公有云或私有云。Keystone是OpenStack的身份认证架构子项目,Nova是OpenStack的计算架构子项目,Swift是OpenStack的存储架构子项目,Glance是OpenStack的映射服务子项目,而Quantum是OpenStack的网络架构子项目。OpenStack框架如图4所示。2基于云的应用程序安全服务2.1创建需求和需求主要内容遵循等级保护思想,应用安全服务的需求主要有以下内容:身份鉴别、访问控制、抗抵赖、安全审计、数据完整性、数据保密性、软件容错、资源控制。2.2外部安全机制的需求在上述应用安全需求中,有些是云计算服务本身就应设计、提供的应用安全机制,而有些则是云计算服务现在没有办法立刻由其自身提供,而需要借助外部提供的安全机制。对于第一类的需求,这里不再做重点阐述,需要另外专门研究。对于第二类需求,需要由外部提供的应用安全服务是安全即服务的重要组成部分,其中主要包括:身份鉴别与访问控制服务、抗抵赖性服务、加密即服务(数据保密性、完整性保护)。2.3云计算身份鉴别安全的主要要求传统的身份鉴别服务,是基于对应用环境下身份鉴别因素的合理考虑,提供单因子或多因子,适应应用风险控制的身份标识与鉴别技术。简单来说,采用最多的有:静态口令认证、动态口令认证、数字证书认证。在这几种机制中,服务端一般由应用或(统一)身份认证服务进行鉴别,并提交访问控制管理。云计算环境下,身份鉴别和访问控制应用方式与传统信息系统环境下有以下不同之处:1)身份鉴别实体多样化。在云计算环境下,身份鉴别的实体不仅仅是用户,而身份鉴别的作用也不仅仅是应用授权。详细来说,云计算环境下,需要对其身份鉴别的包括任何软件化的信息资源,其中有用户、终端、物联网标识、SaaS、虚拟机(VM)、虚拟子网(VLan)/安全组等。其中固然有用户应用授权的需求,而实际上对虚拟机或虚拟子网/安全组的身份鉴别,还将应用于数据资源保护、数据隔离、(虚拟化)网络边界防护等安全需求中。2)跨域鉴别与权限传递。由于虚拟化的环境,安全域的分配并非是在初始建设中就能定义且不变的,而是一个动态的、随时可调整的管理机制。因此在这样的环境下,身份标识、身份鉴别的安全措施,均需要支持随时可发生的安全域调整,即应支持跨域鉴别与权限传递的能力。3)身份鉴别监视与审计。在大部分的传统信息系统中,对于身份鉴别的监视和审计都没有采用特殊的建设,或由应用本身完成,缺乏记录的完整性、粒度及安全管理。而云计算却对这一部分提出了很高的要求,对信息环境下各实体身份鉴别的记录,是完成诸多安全机制的重要保障。综上所述,建议建设一个云计算环境下的身份鉴别和访问管理服务,并构成云计算可信体系的重要组成部分。如图5所示,其中使用到的云计算和安全技术包括:Hadoop、MapReduce、SAML、SSL等。2.4电子证据管理提供抗抵赖性的外部应用安全云服务,对于业务所要解决的核心问题就是电子证据的认定。一方面,它可以为云计算应用自身提供数字签名或时间戳服务,另一方面,它能为XaaS下云计算服务提供者和消费者提供一种第三方的电子证据管理与鉴定服务,而这是其更有意义的价值所在。鉴定服务的目的是在信息传递的过程中产生、收集、记录证据,维持其可用性及有效性,并在争议发生时,取出证据加以验证以解决争议。该安全管理由以下4个阶段组成:证据的产生;证据的传递、储存及取回;证据的验证;争议的解决。在管理的一般模式中,必须具备6项基本的服务功能:对于建立信息无法抵赖的安全服务;对于传送信息无法抵赖的安全服务;对于接受信息无法抵赖的安全服务;对于得知信息无法抵赖的安全服务;对于传递信息无法抵赖的安全服务;对于转送信息无法抵赖的安全服务。电子证据管理的核心组件是电子交易证据,包括一般性证据、时间戳证据及公证证据3种不同的类型。其中,一般性及其所衍生的证据(如来源证据、收文证据等)是由证据产生者所建立;时间戳证据是由时间戳服务所产生,用来进一步证明一般性证据的建立时间;公证证据则是由一个具有公信力的权威机构所提供,此机构负责储存证据、管理证据的有效性及注销证据等。第三方证据管理模型如图6所示。2.5加密即服务的应用特点在云服务的发展过程中,既有攻击者采用云计算资源实施攻击的案例,也有采用云计算资源提供更强的安全机制的方案。除了国内部分厂商推广的云端特征库外,加密即服务(EncryptionasaService)是一类更为贴近云服务自身的安全机制。密码算法的瓶颈在于计算能力,这已经是一个不争的事实。而云计算的出现,将有可能极大地增强密码运算的计算能力。例如,可以设想,当非对称密码运算的计算能力提高到一定程度的时候,现有的PKI体系可能就面临着重新构造。作为加密即服务的核心思想,就是要利用云的计算资源,来实现较低成本、较高性能的加密运算。加密即服务的应用特点包括以下几点:1)高性能。利用多加密机的分布式并行计算,能够为云计算提供较高的加密性能。2)多层加密。由于云计算数据传输极有可能来自于虚拟应用,也有可能来自于实际应用,因此需要一个灵活的2层、3层、4层,以至于7层的解决方案来适应虚拟化数据中心或者基于IP网络的公共云服务。3)与需求适应的密钥管理中心。对于云服务,需要有一个适当的密码管理中心来管理密钥和密码应用策略,同时能够对密码应用的信息进行一个适度的监管和审计。4)单包认证。在应用中,由于颗粒度非常细,每一包的数据都有可能来自不同的资源,因此单包或者称为每包认证,就成为必须要考虑的密码应用技术手段,以有效地通过密钥认证,隔离不同用户、不同虚拟应用的数据。5)加密资源虚拟化。加密资源虚拟化是加密即服务的一个重要特点。比如密码运算资源,应包括一台设备虚拟到N台,或者根据需求实现N:1的收敛要求,从而实现关键计算资源的多实例配置。对于虚拟密码运算资源和设备,应具备独立的管理员权限,可以随时监控、调整策略的配置实现情况,并且支持多个虚拟设备的管理员同时操作。6)自主性。当然,对于中国云计算密码服务的建设来说,应当具备一定的自主性,其中包括使用国产化产品的要求,以及对于国产密码算法应用的要求。在这方面,也呼吁国家相关主管部门尽快制定对于云计算密码服务的标准和法规,以标准来规范国产设备和密码算法的应用技术,以法规来约束和惩戒不遵守国产密码算法应用的行为。2.6服务机制上的支持如图7所示,在框架的最底层是数据中心与常规硬件基础架构;中间层提供虚拟机中间件和操作系统,以及应用中间层;而在上层的应用,提供身份鉴别服务、签名服务、加密服务等应用安全服务机制。在一些核心机制的构建上,可以完全基于开源技术,也可以结合一些商用云计算技术。例如,可利用OpenStack搭建基础的服务IaaS架构,同时对存储和事务的处理方面可利用Hadoop开源项目及MapReduce软件设计框架。3云计算的安全技术研究安全是信息化的必要保障,对于云计算时代同样如此。如今,国内对“云安全”主要有两种解释:其一是通过云计算技术更好地实现安全,其二是解决云计算技术本身的安全问题。首先,这两者是辨证统一的,要解决云计算本身的安全问题,单靠传统安全防护的思路和手段,是远远不够的,因此要通过云计算技术更好地实现安全,而这种思路也能够有效解决云计算技术本身的安全问题,即所谓的安全即服务。对于云计算的风险管理研究和安全保障研究,业内普遍的看法都是雷声大雨点小,大多局限于理论方面。这样的现状使得对云安全的研究远远落后于国内云计算建设的进程。因此,对云安全技术研究的核心还应集中在业务风险分析,以及密码学、访问控制和可用性方面。对于国内的云安全技术研究,文中建议应坚持以下4个原则:1)基于风险管理的思想。云计算的安全是为了有效提供云服务风险管理技术基础的安全,而不是为了安全而安全,况且在云计算时代,用户和信息的边界越来越难以区分,甚至存在着利用本云攻击本云的情况。因此,需要转变传统网络攻防的思路,以风险管理的意识来全面思考这一问题。2)自主性。应坚持自主研究和国产产品、方案、算法、服务