論云計(jì)算與云安全

論云計(jì)算與云安全

隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的發(fā)展，云計(jì)算和云安全（云網(wǎng)絡(luò)安全）已成為學(xué)術(shù)界和學(xué)術(shù)界的研究重點(diǎn)。云計(jì)算技術(shù)是近些年提出的全新的計(jì)算模式,是對(duì)并行計(jì)算(ParallelComputing)、分布式計(jì)算(DistributedComputing)、公用計(jì)算(UtilityComputing)和網(wǎng)格計(jì)算(GridComputing)技術(shù)的進(jìn)一步深入。伴隨著云概念的發(fā)展,與云計(jì)算有著密切聯(lián)系的云安全技術(shù)的研究工作也開展起來。1云安全的定義云計(jì)算是新一代IT計(jì)算模式,能夠提供動(dòng)態(tài)資源池、虛擬化和可用性計(jì)算平臺(tái)的核心技術(shù),它運(yùn)用先進(jìn)的分布式計(jì)算及存儲(chǔ)架構(gòu)為用戶提供方便的體驗(yàn)并降低使用成本。一個(gè)云計(jì)算平臺(tái)可以按照用戶的需求進(jìn)行完全動(dòng)態(tài)的部署(Provision)、配置(Configuration)、重新配置(Reconfigure)和取消(Deprivation)等服務(wù)。云安全(CloudSecurity),一般來講就是把先進(jìn)的云計(jì)算技術(shù)應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域,值得提出的是,云安全的概念首先是由我國(guó)企業(yè)提出,也使得我國(guó)云計(jì)算技術(shù)在國(guó)際云計(jì)算領(lǐng)域占有一席之地。其中,網(wǎng)絡(luò)用戶的計(jì)算機(jī)和防病毒廠商的技術(shù)平臺(tái)經(jīng)由互聯(lián)網(wǎng)相連,構(gòu)建一個(gè)巨大的對(duì)惡意代碼進(jìn)行監(jiān)視、檢測(cè)、消除和追蹤的網(wǎng)絡(luò),云服務(wù)提供商能及時(shí)獲知各種木馬程序、惡意代碼和惡意程序信息,并把解決方案及時(shí)傳回到客戶端,實(shí)現(xiàn)云查殺。云安全技術(shù)還可以對(duì)互聯(lián)網(wǎng)用戶動(dòng)態(tài)被訪問信息的安全等級(jí)進(jìn)行評(píng)估,在惡意代碼入侵互聯(lián)網(wǎng)之前,就可以在源端直接將其阻止,并把這些病毒和惡意代碼的解決方案共享至每個(gè)客戶端,顯然這樣可以實(shí)現(xiàn)零接觸、零感染的計(jì)算機(jī)病毒防護(hù)工作。Web安全中比較麻煩的病毒、木馬、惡意和間諜軟件、對(duì)站點(diǎn)的惡意攻擊等,采用云安全能有效阻止此類威脅蔓延。云安全包括兩個(gè)方面,首先是對(duì)于云計(jì)算技術(shù)自身安全保護(hù)工作,稱云計(jì)算安全,主要包括如何保障云計(jì)算中數(shù)據(jù)完整和機(jī)密性、服務(wù)的可用性、隱私權(quán)的保護(hù)等。其次是通過云的方式為互聯(lián)網(wǎng)用戶提供安全防衛(wèi)措施,也就是云計(jì)算技術(shù)在計(jì)算機(jī)互聯(lián)網(wǎng)安全領(lǐng)域的應(yīng)用,稱安全云計(jì)算,例如基于云計(jì)算的木馬檢測(cè)技術(shù)、病毒防治技術(shù)等。2云安全系統(tǒng)的應(yīng)用云安全的策略構(gòu)想是:使用者越多,每個(gè)使用者就越安全,因?yàn)辇嫶蟮挠脩羧?足以覆蓋互聯(lián)網(wǎng)的每個(gè)角落,只要某個(gè)網(wǎng)站被掛馬或某個(gè)新木馬病毒出現(xiàn),就會(huì)立刻被截獲。關(guān)于云安全架構(gòu)體系的研究,目前主要集中在3個(gè)方面:(1)云計(jì)算安全。該方向主要研究對(duì)云自身和云中各種應(yīng)用服務(wù)的安全性保護(hù),這其中包含針對(duì)惡意網(wǎng)絡(luò)攻擊的防護(hù)、互聯(lián)網(wǎng)用戶數(shù)據(jù)的安全存儲(chǔ)和隔離、互聯(lián)網(wǎng)用戶接入的認(rèn)證、云計(jì)算平臺(tái)的系統(tǒng)安全、用戶相關(guān)信息的傳輸安全、審計(jì)等工作;(2)基礎(chǔ)設(shè)施安全的云實(shí)現(xiàn)。該方向主要考慮怎樣應(yīng)用云計(jì)算技術(shù)新建整合互聯(lián)網(wǎng)安全基礎(chǔ)設(shè)備資源,優(yōu)化整個(gè)計(jì)算機(jī)互聯(lián)網(wǎng)安全防護(hù)機(jī)制。例如應(yīng)用云計(jì)算技術(shù)搭建起超大規(guī)模安全事件、信息采集和數(shù)據(jù)分析處理平臺(tái),從而實(shí)現(xiàn)對(duì)云中海量信息的采集、計(jì)算、提升互聯(lián)網(wǎng)安全性和風(fēng)險(xiǎn)控制能力等;(3)云安全技術(shù)服務(wù)。該方向主要研究基于云計(jì)算技術(shù)和平臺(tái)的面向互聯(lián)網(wǎng)終端客戶的安全服務(wù)(例如計(jì)算機(jī)病毒防治服務(wù))。云安全架構(gòu)的一個(gè)關(guān)鍵特點(diǎn)是云計(jì)算服務(wù)商所在的等級(jí)越低,用戶自己所要承擔(dān)的安全能力和管理職責(zé)就越多。架構(gòu)一個(gè)高可靠性的云安全體系,通常還有以下一些問題需要考慮:(1)成熟的云安全系統(tǒng)要求有核心的反病毒技術(shù)和豐富的病毒防治經(jīng)驗(yàn);(2)一個(gè)真正的云安全系統(tǒng)應(yīng)該是一個(gè)開放的系統(tǒng),不斷吸引新的合作伙伴的加入;(3)完整的云安全系統(tǒng)要求投入大量的研發(fā)、維護(hù)和運(yùn)營(yíng)資金和相關(guān)的先進(jìn)技術(shù);(4)高效穩(wěn)定的云安全體系是以海量的互聯(lián)網(wǎng)客戶端(即云安全探針)為基礎(chǔ)的。3國(guó)內(nèi)外云安全框架的研究3.1加強(qiáng)數(shù)據(jù)安全保護(hù)IBM提出了一個(gè)基于企業(yè)信息安全框架的云安全架構(gòu),包括以下幾個(gè)方面:(1)對(duì)于人員和身份的用戶認(rèn)證與授權(quán),可以允許合法的用戶進(jìn)入系統(tǒng)并訪問數(shù)據(jù),同時(shí)防止非授權(quán)性質(zhì)的訪問發(fā)生;(2)針對(duì)數(shù)據(jù)和信息的數(shù)據(jù)隔離和保護(hù)工作,為共享同一個(gè)存儲(chǔ)設(shè)備的多個(gè)用戶提供存儲(chǔ)安全保護(hù),通過存儲(chǔ)設(shè)備自身的安全措施等功能管理其中存儲(chǔ)數(shù)據(jù)的訪問權(quán)限,達(dá)到為用戶的數(shù)據(jù)和信息進(jìn)行安全保護(hù)的目的。那些存儲(chǔ)在云計(jì)算平臺(tái)的用戶數(shù)據(jù),通過使用容災(zāi)、快照以及備份等技術(shù)手段來保護(hù)用戶的重要數(shù)據(jù);(3)對(duì)整個(gè)流程和應(yīng)用進(jìn)行管理,針對(duì)在云計(jì)算系統(tǒng)中運(yùn)行的服務(wù)(例如資源的申請(qǐng)、監(jiān)控、變更和使用)統(tǒng)一采用流程化的管理。同時(shí)進(jìn)行多級(jí)權(quán)限控制,對(duì)云計(jì)算系統(tǒng)中資源的訪問和管理分為多個(gè)不同的安全領(lǐng)域,而對(duì)每個(gè)安全領(lǐng)域都實(shí)行權(quán)限控制(如可分為云計(jì)算管理員、機(jī)房管理和維護(hù)人員、系統(tǒng)管理員以及云計(jì)算維護(hù)員);(4)對(duì)于網(wǎng)絡(luò)、服務(wù)器和終端的安全保護(hù),對(duì)服務(wù)器實(shí)現(xiàn)隔離,其中對(duì)于重要的服務(wù),通過雙機(jī)備份技術(shù)提高整個(gè)應(yīng)用的可靠性,這樣也可以保證應(yīng)用的連續(xù)性。同時(shí)也對(duì)存儲(chǔ)進(jìn)行隔離,提高數(shù)據(jù)存儲(chǔ)安全性的工作,可以從使用單獨(dú)存儲(chǔ)設(shè)備方面入手,從本質(zhì)上在物理層面實(shí)現(xiàn)真正的隔離數(shù)據(jù),這樣可以有效確保數(shù)據(jù)安全;(5)系統(tǒng)災(zāi)備的工作,云安全系統(tǒng)統(tǒng)一使用集中災(zāi)備的技術(shù)來實(shí)現(xiàn)對(duì)平臺(tái)用戶的業(yè)務(wù)和數(shù)據(jù)的恢復(fù)服務(wù),用戶能在本地建立遠(yuǎn)距離的容災(zāi)中心,而容災(zāi)中心和云計(jì)算中心經(jīng)由專用的網(wǎng)絡(luò)鏈接,實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)傳輸。3.2vm云安全系統(tǒng)架構(gòu)VMware提出的云安全系統(tǒng)架構(gòu)包括以下幾個(gè)方面:(1)對(duì)于整個(gè)數(shù)據(jù)中心內(nèi)部的痊愈進(jìn)行安全保護(hù);(2)對(duì)云計(jì)算中的虛擬數(shù)據(jù)中心進(jìn)行保護(hù),從而使其不受到外界網(wǎng)絡(luò)威脅;(3)對(duì)于虛擬機(jī)進(jìn)行安全保護(hù),使得其免受病毒和惡意軟件的攻擊。VMware云安全系統(tǒng)架構(gòu)中的安全產(chǎn)品包括VMwarevShieldZones、VMwarevShieldEdge、VMwarevShieldEndpoint以及VMwarevShieldApp等。這些安全產(chǎn)品由VMwarevShieldManager進(jìn)行統(tǒng)一的管理。4云安全中的關(guān)鍵技術(shù)4.1云存儲(chǔ)系統(tǒng)的架構(gòu)云數(shù)據(jù)存儲(chǔ)技術(shù)是通過對(duì)相關(guān)概念的延伸而出現(xiàn)的新概念,具體指的是通過集群應(yīng)用、分布式文件系統(tǒng)以及網(wǎng)格計(jì)算等技術(shù),把整個(gè)網(wǎng)絡(luò)中很多不同類型的存儲(chǔ)設(shè)備統(tǒng)一起來應(yīng)用,能夠?yàn)橥饨缣峁?shù)據(jù)存儲(chǔ)、業(yè)務(wù)訪問等功能的一個(gè)系統(tǒng)。一般這種系統(tǒng)由存儲(chǔ)設(shè)備、服務(wù)器應(yīng)用軟件、接入網(wǎng)和客戶端程序、網(wǎng)絡(luò)設(shè)備和公共訪問接口等模塊構(gòu)成。為了保證高效、高可靠性的云安全系統(tǒng),通常使用分布式的存儲(chǔ)方式對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ),同時(shí)使用冗余存儲(chǔ)技術(shù)保證存儲(chǔ)數(shù)據(jù)的可靠性,也就是把一份數(shù)據(jù)備份多個(gè)副本。同時(shí),云計(jì)算中應(yīng)當(dāng)能夠滿足大量用戶能同時(shí)計(jì)算的需求,并行地為大量互聯(lián)網(wǎng)用戶提供服務(wù)。所以,云計(jì)算中所使用的數(shù)據(jù)存儲(chǔ)技術(shù)要有高吞吐率和高傳輸率的特點(diǎn)。云存儲(chǔ)系統(tǒng)通常包括4層:數(shù)據(jù)服務(wù)層、數(shù)據(jù)存儲(chǔ)層、用戶訪問層和數(shù)據(jù)管理層。其中數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)管理層、應(yīng)用接口層屬于云的范疇,對(duì)與業(yè)務(wù)用戶而言是完全透明的。其中數(shù)據(jù)存儲(chǔ)層同于OSI模型中的物理層,是整個(gè)云存儲(chǔ)系統(tǒng)中的基礎(chǔ)。該層主要由存儲(chǔ)設(shè)備構(gòu)成(例如NAS或iSCSI類型IP存儲(chǔ)裝置、FC光纖通道存儲(chǔ)裝置、SAS型DAS存儲(chǔ)裝置等),這些設(shè)備一般數(shù)量巨大且分布廣泛,由不同的服務(wù)器進(jìn)行管理,設(shè)備之間能夠經(jīng)由互聯(lián)網(wǎng)或是GC光纖網(wǎng)絡(luò)進(jìn)行連接,云存儲(chǔ)系統(tǒng)建立不同的分布式數(shù)據(jù)中心以便為不同地方的客戶提供相等質(zhì)量的服務(wù)。而數(shù)據(jù)管理層是整個(gè)云存儲(chǔ)系統(tǒng)中的核心,同時(shí)也是整個(gè)系統(tǒng)中技術(shù)難度最大的一層。數(shù)據(jù)管理層集群應(yīng)用、分布式文件系統(tǒng)以及網(wǎng)格計(jì)算等技術(shù),控制云存儲(chǔ)系統(tǒng)中的不同存儲(chǔ)模塊統(tǒng)一工作,實(shí)現(xiàn)高質(zhì)量的數(shù)據(jù)訪問工作。數(shù)據(jù)服務(wù)層(即應(yīng)用接口層),是整個(gè)云存儲(chǔ)系統(tǒng)中最靈活的一層。云存儲(chǔ)服務(wù)廠商通常能夠依照自身的實(shí)際業(yè)務(wù)情況,開發(fā)出多種應(yīng)用服務(wù)接口,這樣就可以為客戶提供不同的業(yè)務(wù)(例如視頻點(diǎn)播業(yè)務(wù)、網(wǎng)絡(luò)硬盤業(yè)務(wù)、視頻監(jiān)控業(yè)務(wù)、網(wǎng)絡(luò)電視業(yè)務(wù)和數(shù)據(jù)備份業(yè)務(wù)等。用戶訪問層也發(fā)揮著巨大的作用,通過該層,授權(quán)用戶可在任意地方,基于多種聯(lián)網(wǎng)終端設(shè)備,依據(jù)標(biāo)準(zhǔn)的公用應(yīng)用接口訪問云存儲(chǔ)系統(tǒng),進(jìn)而享受云存儲(chǔ)服務(wù)。不同的云存儲(chǔ)服務(wù)提供廠商提供的訪問類型和訪問手段也千變?nèi)f化,從最基本網(wǎng)絡(luò)終端來看,一般包括WEB端和WAP端?？梢灶A(yù)見的是,云計(jì)算中的數(shù)據(jù)存儲(chǔ)技術(shù)在未來的發(fā)展中,將主要集中在超大、甚大規(guī)模的數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)加密、安全性提高和增加輸入輸出速率等方面。4.2數(shù)據(jù)讀取和存儲(chǔ)云安全系統(tǒng)中的數(shù)據(jù)管理技術(shù)需要能夠高效地管理海量的數(shù)據(jù)集,需要解決怎樣在大量的數(shù)據(jù)中查找到特定數(shù)據(jù)的問題、要能確保數(shù)據(jù)的安全(如數(shù)據(jù)隔離、數(shù)據(jù)加密及密鑰、身份認(rèn)證和訪問管理,保障用戶信息的可用性、保密性和完整性)等。云計(jì)算中的特點(diǎn)是對(duì)大量的數(shù)據(jù)進(jìn)行存儲(chǔ)、讀取后再開展巨大的分析工作,這就要求數(shù)據(jù)讀寫操作的周期要遠(yuǎn)小于數(shù)據(jù)的更新周期,云數(shù)據(jù)管理技術(shù)是一種讀優(yōu)化的數(shù)據(jù)管理技術(shù)。正是基于此,云安全系統(tǒng)的數(shù)據(jù)管理一般采用數(shù)據(jù)庫(kù)中列存儲(chǔ)的數(shù)據(jù)管理模式技