汪來富，沈 軍，金華敏

（中國(guó)電信股份有限公司廣東研究院 廣州 510630）

1 引言

云計(jì)算的出現(xiàn)是傳統(tǒng)IT領(lǐng)域和通信領(lǐng)域技術(shù)進(jìn)步、需求推動(dòng)和商業(yè)模式變化共同促進(jìn)的結(jié)果，具有以網(wǎng)絡(luò)為中心、以服務(wù)為提供方式、高擴(kuò)展性和高可靠性以及資源使用透明化等重要特征。業(yè)界認(rèn)為云計(jì)算是繼PC、互聯(lián)網(wǎng)之后信息產(chǎn)業(yè)的第三次變革，將對(duì)社會(huì)信息化發(fā)展產(chǎn)生深遠(yuǎn)影響。

隨著云計(jì)算技術(shù)及理念的深入應(yīng)用，云安全越來越成為安全業(yè)界關(guān)注的重點(diǎn)，一方面云計(jì)算應(yīng)用的無邊界性、流動(dòng)性等特點(diǎn)引發(fā)了很多新的安全問題；另一方面云計(jì)算技術(shù)及理念也對(duì)傳統(tǒng)安全技術(shù)及應(yīng)用產(chǎn)生了深遠(yuǎn)的影響。從完整意義上來說，云安全包括2種含義，一種是云計(jì)算應(yīng)用自身的安全；另一種是云計(jì)算技術(shù)在安全領(lǐng)域的具體應(yīng)用。前者是云計(jì)算各類應(yīng)用健康、可持續(xù)發(fā)展的基礎(chǔ)，后者則是當(dāng)前安全領(lǐng)域最為關(guān)注的技術(shù)熱點(diǎn)。為便于區(qū)分，本文將前者定義為云計(jì)算應(yīng)用安全，將后者定義為安全云。

本文將重點(diǎn)闡述云計(jì)算應(yīng)用安全，安全云在本文則不作探討。

2 云計(jì)算應(yīng)用安全威脅分析

根據(jù)IDC在2009年年底發(fā)布的一項(xiàng)調(diào)查報(bào)告顯示，云計(jì)算服務(wù)面臨的前三大市場(chǎng)挑戰(zhàn)分別為服務(wù)安全性、穩(wěn)定性和性能表現(xiàn)。該三大挑戰(zhàn)排名同IDC于2008年進(jìn)行的云計(jì)算服務(wù)調(diào)查結(jié)論完全一致。2009年11月，F(xiàn)orrester Research公司的調(diào)查結(jié)果顯示，有51%的中小型企業(yè)認(rèn)為安全性和隱私問題是他們尚未使用云服務(wù)的最主要原因。由此可見，安全性是客戶選擇云計(jì)算應(yīng)用時(shí)的首要考慮因素。

云計(jì)算應(yīng)用由于其用戶、信息資源的高度集中，帶來的安全事件后果與風(fēng)險(xiǎn)也較傳統(tǒng)應(yīng)用高出很多。如在2009 年，Google、Microsoft、Amazon 等公司的云計(jì)算服務(wù)均出現(xiàn)了重大故障，導(dǎo)致成千上萬客戶的信息服務(wù)受到影響，進(jìn)一步加劇了業(yè)界對(duì)云計(jì)算應(yīng)用安全的擔(dān)憂。

總體來說，云計(jì)算應(yīng)用主要面臨如下安全威脅。

（1）服務(wù)可用性威脅

用戶的數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云計(jì)算系統(tǒng)中，其業(yè)務(wù)流程將依賴于云計(jì)算服務(wù)提供商所提供的服務(wù)，這對(duì)服務(wù)商的云平臺(tái)服務(wù)連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外當(dāng)發(fā)生系統(tǒng)故障時(shí)，如何保證用戶數(shù)據(jù)的快速恢復(fù)也成為一個(gè)重要問題。

（2）云計(jì)算用戶信息濫用與泄露風(fēng)險(xiǎn)

用戶的資料存儲(chǔ)、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c云計(jì)算系統(tǒng)有關(guān)。如果發(fā)生關(guān)鍵或私隱信息丟失、竊取，對(duì)用戶來說無疑是致命的。如何保證云服務(wù)提供商內(nèi)部的安全管理和訪問控制機(jī)制符合客戶的安全需求；如何實(shí)施有效的安全審計(jì)，對(duì)數(shù)據(jù)操作進(jìn)行安全監(jiān)控；如何避免云計(jì)算環(huán)境中多用戶共存帶來的潛在風(fēng)險(xiǎn)都成為云計(jì)算環(huán)境下所面臨的安全挑戰(zhàn)。

（3）拒絕服務(wù)攻擊威脅

云計(jì)算應(yīng)用由于其用戶、信息資源的高度集中，容易成為黑客攻擊的目標(biāo)，同時(shí)由于拒絕服務(wù)攻擊造成的后果和破壞性將會(huì)明顯超過傳統(tǒng)的企業(yè)網(wǎng)應(yīng)用環(huán)境。

（4）法律風(fēng)險(xiǎn)

云計(jì)算應(yīng)用地域性弱、信息流動(dòng)性大，信息服務(wù)或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至國(guó)家，在政府信息安全監(jiān)管等方面可能存在法律差異與糾紛；同時(shí)由于虛擬化等技術(shù)引起的用戶間物理界限模糊而可能導(dǎo)致的司法取證問題也不容忽視。

3 云計(jì)算應(yīng)用安全研究

云計(jì)算應(yīng)用作為一項(xiàng)信息服務(wù)模式，其安全與ASP（應(yīng)用托管服務(wù)）等傳統(tǒng)IT信息服務(wù)并無本質(zhì)上的區(qū)別。只是由于云計(jì)算的應(yīng)用模式及底層架構(gòu)的特性，使得在具體安全技術(shù)及防護(hù)策略實(shí)現(xiàn)上會(huì)有所不同。

從安全的角度看，云計(jì)算帶來的機(jī)遇和挑戰(zhàn)并存。一方面，若能合理運(yùn)用云計(jì)算技術(shù)，則可以解決目前存在的一些安全問題。如采用瘦終端的方式，將企業(yè)數(shù)據(jù)統(tǒng)一存儲(chǔ)在云計(jì)算服務(wù)器網(wǎng)絡(luò)中，通過加強(qiáng)對(duì)核心數(shù)據(jù)的集中管理，可大大降低由終端造成的信息泄露的安全風(fēng)險(xiǎn)。另一方面，云計(jì)算為系統(tǒng)安全引入新的潛在威脅問題，由于云計(jì)算的服務(wù)模式以及基于虛擬化、分布式計(jì)算的底層架構(gòu)特性，使得安全邊界比較模糊，傳統(tǒng)的安全域劃分、網(wǎng)絡(luò)邊界防護(hù)等安全機(jī)制難以保障云計(jì)算應(yīng)用的安全需求。

3.1 業(yè)界研究現(xiàn)狀

云計(jì)算應(yīng)用安全研究目前還處于起步階段，業(yè)界尚未形成相關(guān)標(biāo)準(zhǔn)，目前主要的研究組織主要包括CSA（cloud security alliance，云 安全聯(lián)盟）、CAM （common assurance metric-beyond the cloud）等相關(guān)論壇。

為推動(dòng)云計(jì)算應(yīng)用安全的研究交流與協(xié)作發(fā)展，業(yè)界多家公司在2008年12月聯(lián)合成立了CSA，該組織是一個(gè)非贏利組織，旨在推廣云計(jì)算應(yīng)用安全的最佳實(shí)踐，并為用戶提供云計(jì)算方面的安全指引。CSA在2009年12月17日發(fā)布的《云計(jì)算安全指南》，著重總結(jié)了云計(jì)算的技術(shù)架構(gòu)模型、安全控制模型以及相關(guān)合規(guī)模型之間的映射關(guān)系，從云計(jì)算用戶角度闡述了可能存在的商業(yè)隱患、安全威脅以及推薦采取的安全措施。目前已經(jīng)有越來越多的IT企業(yè)、安全廠商和電信運(yùn)營(yíng)商加入到該組織。

另外，歐洲網(wǎng)絡(luò)信息安全局（ENISA）和CSA聯(lián)合發(fā)起了CAM項(xiàng)目。CAM項(xiàng)目的研發(fā)目標(biāo)是開發(fā)一個(gè)客觀、可量化的測(cè)量標(biāo)準(zhǔn)，供客戶評(píng)估和比較云計(jì)算服務(wù)提供商安全運(yùn)行的水平，CAM計(jì)劃于2010年底提出內(nèi)容架構(gòu)，并推向全球。

許多云服務(wù)提供商，如Amazon、IBM、Microsoft等紛紛提出并部署了相應(yīng)的云計(jì)算安全解決方案，主要通過采用身份認(rèn)證、安全審查、數(shù)據(jù)加密、系統(tǒng)冗余等技術(shù)及管理手段來提高云計(jì)算業(yè)務(wù)平臺(tái)的魯棒性、服務(wù)連續(xù)性和用戶數(shù)據(jù)的安全性。

3.2 云計(jì)算應(yīng)用安全剖析

為有效保障云計(jì)算應(yīng)用的安全，需結(jié)合云計(jì)算應(yīng)用特點(diǎn)，在采取IT系統(tǒng)基本安全防護(hù)技術(shù)的基礎(chǔ)上，進(jìn)一步集成數(shù)據(jù)加密、VPN、身份認(rèn)證、安全存儲(chǔ)等綜合安全技術(shù)手段，構(gòu)建面向云計(jì)算應(yīng)用的縱深安全防御體系，并重點(diǎn)解決如下安全問題。

（1）構(gòu)建安全的邏輯邊界

在典型云計(jì)算應(yīng)用環(huán)境下，物理的安全邊界逐步消失，取而代之的是邏輯的安全邊界，應(yīng)通過采用VPN和數(shù)據(jù)加密等技術(shù)，實(shí)現(xiàn)從用戶終端到云計(jì)算數(shù)據(jù)中心傳輸通道的安全；在云計(jì)算數(shù)據(jù)中心內(nèi)部，采用VLAN以及分布式虛擬交換機(jī)等技術(shù)實(shí)現(xiàn)用戶系統(tǒng)、用戶網(wǎng)絡(luò)的安全隔離。

（2）數(shù)據(jù)加密與安全存儲(chǔ)

采用數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)用戶信息在云計(jì)算共享環(huán)境下的安全存儲(chǔ)與安全隔離；采用基于身份認(rèn)證的權(quán)限控制方式，進(jìn)行實(shí)時(shí)的身份監(jiān)控、權(quán)限認(rèn)證和證書檢查，防止用戶間的非法越權(quán)訪問。同時(shí)應(yīng)做好剩余信息保護(hù)措施，存儲(chǔ)資源重分配給新用戶（如虛擬機(jī)等）之前，需要進(jìn)行完整的數(shù)據(jù)擦除，防止被非法恢復(fù)。

（3）虛擬化技術(shù)等安全漏洞風(fēng)險(xiǎn)防范

通過采用虛擬防火墻、防惡意軟件和虛擬設(shè)備管理軟件對(duì)虛擬機(jī)環(huán)境實(shí)施安全策略，確保構(gòu)建的虛擬網(wǎng)絡(luò)與構(gòu)建的物理網(wǎng)絡(luò)一樣可靠、安全；采用版本和補(bǔ)丁管理控制機(jī)制防范虛擬化等安全漏洞引起的潛在安全隱患。

同時(shí)，云計(jì)算應(yīng)用安全也是云計(jì)算服務(wù)提供商和云計(jì)算用戶之間共同的責(zé)任?；A(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）等三種云計(jì)算應(yīng)用模式，由于其自身特點(diǎn)，以及云計(jì)算用戶對(duì)云計(jì)算資源的控制能力不同，使得云服務(wù)提供商和云計(jì)算用戶各自承擔(dān)的安全責(zé)任與職責(zé)也有所不同。

IaaS云服務(wù)提供商主要負(fù)責(zé)為用戶提供基礎(chǔ)架構(gòu)服務(wù)，如提供包括服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)和管理工具在內(nèi)的虛擬數(shù)據(jù)中心，云計(jì)算基礎(chǔ)設(shè)施的可靠性、物理安全、網(wǎng)絡(luò)安全、信息存儲(chǔ)安全、系統(tǒng)安全是其基本職責(zé)范疇，如虛擬機(jī)的入侵檢測(cè)、完整性保護(hù)等；而云計(jì)算用戶則需要負(fù)責(zé)基礎(chǔ)設(shè)施架構(gòu)以上層面的所有安全問題，如自身操作系統(tǒng)、應(yīng)用程序的安全。

PaaS云服務(wù)提供商主要負(fù)責(zé)為用戶提供簡(jiǎn)化的分布式軟件開發(fā)、測(cè)試和部署環(huán)境，云服務(wù)提供商除了負(fù)責(zé)底層基礎(chǔ)設(shè)施安全外，還需解決應(yīng)用接口安全、數(shù)據(jù)與計(jì)算可用性等；而云計(jì)算用戶則需要負(fù)責(zé)操作系統(tǒng)或應(yīng)用環(huán)境之上的安全問題。

SaaS云服務(wù)提供商需保障其所提供的SaaS服務(wù)從基礎(chǔ)設(shè)施到應(yīng)用層的整體安全，云計(jì)算用戶則需維護(hù)與自身相關(guān)的信息安全，如身份認(rèn)證賬號(hào)、密碼、終端安全等。

3.3 云計(jì)算應(yīng)用安全策略與實(shí)施建議

按照服務(wù)對(duì)象的不同，云計(jì)算可分為私有云（private cloud）、公共云（public cloud）和混合云（hybrid cloud）。對(duì)于私有云而言，通常部署在企業(yè)內(nèi)部，安全實(shí)現(xiàn)相對(duì)比較容易，企業(yè)內(nèi)部使用的傳統(tǒng)IT安全措施也可直接應(yīng)用到私有云的保護(hù)上去。公共云和混合云則涉及到云服務(wù)提供商和云計(jì)算用戶，安全性要求相對(duì)私有云復(fù)雜很多，需要云計(jì)算服務(wù)提供商和云計(jì)算用戶協(xié)同配合，共同提高云計(jì)算服務(wù)的應(yīng)用安全水平。

3.3.1 云計(jì)算服務(wù)提供商

要提供面向公眾的商業(yè)化云計(jì)算服務(wù)，服務(wù)質(zhì)量保證、數(shù)據(jù)安全性和計(jì)算環(huán)境的安全隔離都是必要的保證，因此對(duì)于云計(jì)算服務(wù)提供商而言，如何在最大程度上降低云計(jì)算系統(tǒng)安全威脅、提高服務(wù)連續(xù)性、保障用戶信息安全是其業(yè)務(wù)能否取得成功的關(guān)鍵，結(jié)合云計(jì)算應(yīng)用面臨的主要安全威脅，建議采取的安全策略如下。

（1）建立云計(jì)算系統(tǒng)的縱深安全防御機(jī)制，提高云計(jì)算系統(tǒng)的安全性、健壯性，保障服務(wù)提供連續(xù)性和穩(wěn)定性

·控制蠕蟲/病毒/木馬在云計(jì)算平臺(tái)內(nèi)外部網(wǎng)絡(luò)內(nèi)的傳播，及時(shí)隔離和修復(fù)；

·對(duì)進(jìn)出云計(jì)算系統(tǒng)的數(shù)據(jù)流量和云計(jì)算系統(tǒng)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)修復(fù)網(wǎng)絡(luò)和系統(tǒng)異常；

·部署網(wǎng)絡(luò)攻擊防御系統(tǒng)或購(gòu)買相關(guān)攻擊防護(hù)服務(wù)，防范黑客攻擊造成的系統(tǒng)癱瘓或服務(wù)中斷；

·完善云計(jì)算平臺(tái)的容災(zāi)備份機(jī)制，包括重要系統(tǒng)、數(shù)據(jù)的異地容災(zāi)備份；

·建立完善的應(yīng)急響應(yīng)機(jī)制，提高對(duì)異常情況和突發(fā)事件的應(yīng)急響應(yīng)能力。

（2）保護(hù)用戶信息的可用性、隱私性和完整性

·對(duì)用戶系統(tǒng)和數(shù)據(jù)進(jìn)行安全隔離和保護(hù)，確保用戶信息的存儲(chǔ)安全以及用戶間邏輯邊界的安全防護(hù)；

·通過采用數(shù)據(jù)加密、VPN等技術(shù)保障用戶數(shù)據(jù)的網(wǎng)絡(luò)傳輸安全；

·完善用戶信息的數(shù)據(jù)加密與密鑰管理與分發(fā)機(jī)制，實(shí)現(xiàn)對(duì)用戶信息的高效安全管理與維護(hù)；

·完善數(shù)據(jù)備份、安全恢復(fù)機(jī)制，在發(fā)生異常時(shí)為用戶進(jìn)行及時(shí)的數(shù)據(jù)恢復(fù)。

（3）身份認(rèn)證與安全接入控制

建立嚴(yán)格的云計(jì)算AAA機(jī)制，實(shí)施嚴(yán)格的身份管理、安全認(rèn)證與訪問權(quán)限控制，提供用戶訪問記錄，訪問可溯源。

（4）加強(qiáng)云計(jì)算數(shù)據(jù)中心的安全管理，完善安全審計(jì)機(jī)制

·加強(qiáng)云計(jì)算數(shù)據(jù)中心的安全管理，完善安全事件應(yīng)急響應(yīng)機(jī)制及處理流程；

·加強(qiáng)對(duì)操作、維護(hù)等各類日志的審計(jì)管理，提高對(duì)違規(guī)溯源的事后審查能力。

3.3.2 云計(jì)算用戶

對(duì)于廣大用戶而言，在選擇云計(jì)算服務(wù)或?qū)F(xiàn)有IT系統(tǒng)向私有云或公共云服務(wù)遷移之前，首先應(yīng)對(duì)云計(jì)算安全有一個(gè)正確的認(rèn)識(shí)，這對(duì)用戶決定將什么樣的業(yè)務(wù)放在云里，以節(jié)本增效、增強(qiáng)安全性，有著重要意義；同時(shí)也應(yīng)結(jié)合本企業(yè)實(shí)際情況，做好周詳?shù)臏?zhǔn)備工作，在最大程度上降低在向云計(jì)算服務(wù)遷移后可能出現(xiàn)的安全威脅。

（1）向私有云遷移

私有云一般部署在企業(yè)網(wǎng)內(nèi)部，所面臨的安全風(fēng)險(xiǎn)相對(duì)較小，但依然會(huì)面臨法規(guī)遵從、軟件許可、應(yīng)用可靠性、SLA等問題。用戶在向私有云遷移時(shí)，需要采用成熟的技術(shù)方案，解決私有云的系統(tǒng)建設(shè)及運(yùn)營(yíng)管理安全工作，具體可參見上文。同時(shí)，應(yīng)做好系統(tǒng)容災(zāi)、數(shù)據(jù)備份以及業(yè)務(wù)回退機(jī)制，以提高應(yīng)對(duì)各類突發(fā)安全事件的處理能力。

（2）向公共云遷移

在向公共云遷移時(shí)，應(yīng)采取如下舉措以規(guī)避遷移風(fēng)險(xiǎn)：

·盡量選擇安全可信度高、信譽(yù)好的大型云服務(wù)提供商，降低云服務(wù)提供商出現(xiàn)破產(chǎn)導(dǎo)致的業(yè)務(wù)受損或相關(guān)負(fù)面結(jié)果的風(fēng)險(xiǎn)；

·確定哪些業(yè)務(wù)可以使用云計(jì)算服務(wù)，有選擇性地向云計(jì)算服務(wù)遷移，如對(duì)于企業(yè)最至關(guān)重要的涉及核心知識(shí)產(chǎn)權(quán)的或非常敏感的信息，在做好各項(xiàng)測(cè)試驗(yàn)證前，應(yīng)審慎遷移；

·繼續(xù)做好數(shù)據(jù)遷移后的安全管理和監(jiān)控，一方面應(yīng)通過技術(shù)手段和合規(guī)審計(jì)來驗(yàn)證云服務(wù)提供商的安全舉措，確保自身數(shù)據(jù)安全及完整性；另一方面，也應(yīng)繼續(xù)做好自身應(yīng)用系統(tǒng)的安全管理與運(yùn)行監(jiān)控工作，包括關(guān)鍵應(yīng)用信息的備份，以應(yīng)對(duì)云計(jì)算系統(tǒng)故障等突發(fā)安全風(fēng)險(xiǎn)；

·詳細(xì)了解協(xié)議內(nèi)容，確保了解SLA服務(wù)協(xié)議、服務(wù)提供商的隱私協(xié)議等，通過協(xié)議條款要求云計(jì)算服務(wù)提供商更新其保護(hù)系統(tǒng)，以實(shí)現(xiàn)與業(yè)內(nèi)最佳實(shí)施策略相一致；

·明確云服務(wù)提供商存儲(chǔ)用戶數(shù)據(jù)的地點(diǎn)，在可能的情況下，控制數(shù)據(jù)的存放地點(diǎn)，以應(yīng)對(duì)不同地區(qū)、國(guó)家的法律差異而可能引起的法律糾紛。

另外，由于云計(jì)算服務(wù)可能涉及到諸多個(gè)人、企業(yè)乃至整個(gè)國(guó)家的重要敏感信息安全，因此在某種程度上需要政府相關(guān)監(jiān)管部門的介入，通過制定、完善相應(yīng)的法律法規(guī)，對(duì)云計(jì)算服務(wù)提供商、云計(jì)算服務(wù)進(jìn)行規(guī)范、監(jiān)督、審計(jì)，保障云計(jì)算應(yīng)用服務(wù)及信息安全。

4 結(jié)束語

安全是廣大用戶權(quán)衡是否使用云計(jì)算服務(wù)的重要指標(biāo)之一，是云計(jì)算健康可持續(xù)發(fā)展的基礎(chǔ)。只有為用戶提供可靠、可信、高性價(jià)比的云計(jì)算服務(wù)，企業(yè)才有可能在云計(jì)算領(lǐng)域取得成功。本文在總結(jié)、分析云計(jì)算應(yīng)用面臨的技術(shù)層面安全威脅和法律合規(guī)風(fēng)險(xiǎn)的基礎(chǔ)上，對(duì)云計(jì)算應(yīng)用安全進(jìn)行了系統(tǒng)分析與研究，并分別從云計(jì)算服務(wù)提供商和用戶角度提出云計(jì)算應(yīng)用安全策略與建議。相信隨著整個(gè)云計(jì)算產(chǎn)業(yè)鏈的不懈努力，以及政府監(jiān)管部門相關(guān)法律法規(guī)的不斷完善，云計(jì)算應(yīng)用及服務(wù)將朝著可靠、安全、可信的方向健康發(fā)展。

1 Cloud Security Alliance.Security guidance for critical areas of focus in cloud computing v2.1,http://www.cloudsecurityalliance.org/csaguide.pdf

2 IBM.藍(lán)云解決方案.http://www-900.ibm.com/ibm/ideasfromibm/cn/cloud/solutions/index.shtml

3 王鵬.走近云計(jì)算.北京:人民郵電出版社，2009