孔匯環(huán)

摘要：商務活動促進云計算的發(fā)展，對其安全性也提出十分嚴峻的挑戰(zhàn)。該文展現了云計算安全問題的基本面貌，詳細討論了工業(yè)、學界、政府乃至黑客的當代以及歷史視角，以圖將對此問題的合理擔憂與過激反應區(qū)別開來，并指出云計算出現的真正意義上的新的、棘手的安全問題寥寥無幾——某些表面上問題的“新”只是與過去幾年中出現的“傳統(tǒng)”問題相對而言。其中很多問題在采用分時系統(tǒng)的時代就早已得到關注。云計算出現的新的、關鍵的問題表現在兩個方面：多方信任的復雜性與隨后的互審需要。

關鍵詞：云計算；安全；用戶；供應商；互審

中圖分類號：TP393 文獻標識碼：A文章編號：1009-3044（2012）30-7196-03

云計算服務供應商以專業(yè)的數據資源組織與分配，低成本建立大型數據中心，使得云計算在商務活動中獲得廣泛認同。規(guī)模經濟的發(fā)展增加了云計算服務供應商的收益，也降低了用戶的成本。云計算的即時服務模式使得服務供應商通過統(tǒng)計復用實現優(yōu)化資源利用，更讓用戶通過動態(tài)標度避免了資源預留空間的費用支出。然而，安全問題也迎面而來，許多學者、公司決策者以及政府工作人員認為安全問題成為提速與推廣云計算的明顯阻礙[1]。對于許多關鍵業(yè)務級運算，云計算會由于種種問題而顯得不可取，例如：服務可用性、數據保密以及榮譽命運共享問題等等。另有一些人批評“云計算”一詞含義太廣[2]。事實上，云計算包含了如“軟件即服務”的既成模式，而這種隨需而變的計算工具的基本概念則可以追溯到早分時系統(tǒng)[3]。與此同時，缺乏統(tǒng)一的定義也一定程度上阻礙了對云計算安全問題的討論。本文鑒于云計算出現的安全問題，首先梳理了術語定義問題，其次對安全問題進行了分類，最后這些問題進行多對視角的討論。

1 云計算的定義

缺乏明確的、被廣泛接受的定義成為云計算研究的一大問題?！霸朴嬎恪币辉~是個不斷演化的術語，其定義更大程度上來源于應用領域，而不是學術領域。“云計算”定義面過寬招致批評，有人批評其“包括了一些所做之事”[1]。而在定義的準確性上斤斤計較又轉移了人們對于其核心技術問題的注意力。本節(jié)將簡單給與云計算一個定義，該定義將貫穿全文。早期系統(tǒng)框架云計算研究，《Above the Clouds： A Berkeley View of Cloud Computing》將其定義為包括作為服務發(fā)布在互聯網上的應用軟件以及促進這些服務運作的數據中心硬件與系統(tǒng)軟件[1]。云計算的關鍵特征包括虛擬無限硬件資源、消除預先承諾以及按需支付資源使用的能力。該項白皮書一經發(fā)表，大量的對云計算的定義以及研究報告接踵而來。其中由美國國家標準與技術研究院（NIST）發(fā)布的一條最為顯眼。該定義范圍較廣，幾乎涵蓋了所有云計算研究中采用的通行術語，為NIST指導云計算安全問題打下了基礎。其他一些定義大都采用相近的框架。歐洲網絡信息與安全機構也承載了這一理念，對云計算的定義如出一轍，大同小異[3]。根據NIST給出的定義，云計算的關鍵特征包括按需自助服務、寬帶接入、資源池化、快速彈性以及與工具相當的計量服務。云計算有三種服務模式：軟件服務模式（SaaS）——允許用戶控制應用程序配置；平臺服務模式（PaaS）——允許用戶可以主機環(huán)境；基礎構架服務模式——允許用戶控制除數據中心基礎構架之外的其他構架。另外，云計算還具有四種調度模式：公有云模式——對大眾或大型企業(yè)集團開放；社區(qū)云——服務若干組織機構；私有云——僅限于單個組織機構；混合云——混合以上幾種模式。鑒于NIST的廣義定義綜合了諸多人們關心的問題，以及該定義演化的連續(xù)性，本文將在余下的討論中沿用這一定義的內涵。

2 新安全問題評判

本節(jié)評判云計算中出現的所謂“新”與“舊”的安全問題，從而確認何種問題對云計算的安全威脅模型構成最大挑戰(zhàn)。

2.1 “舊”安全問題

云計算的廣泛應用帶來了經常性安全事故。事實上，許多歸為“云安全”問題的事故屬于傳統(tǒng)網絡應用與數據聯機問題，如網絡釣魚、故障停機、數據丟失、密碼失竊與主機易感染僵尸網絡等問題。推特網絡釣魚屬于傳統(tǒng)網絡安全隱患，現已搖身一變成為云計算安全隱患。近來，知名的亞馬遜云服務中發(fā)現僵尸網絡事件尤為顯眼，反映出云計算服務器的運行安全與與傳統(tǒng)企業(yè)數據存在同樣的隱患。學術界舉辦的ACM云計算安全研討會和ACM計算機與安全通信會議（CCS）對云計算安全頗有研究。當前，有關云計算安全問題發(fā)表的論文，如針對網絡安全[4：13]、數據外包[5：18]、虛擬機[6：34]問題進行討論的論文，也反映出學術界一貫的研究路線。這些論文除少部分外大都表現出研究課題的綜合交叉性，而不是僅僅著眼于云安全。2009年在美國舉辦國際黑帽技術大會致力于云計算安全漏洞利用問題的討論，認為安全漏洞利用成為延伸的安全隱患。例如，用戶名暴力破解軟件、Debian OpenSSL利用工具在云計算中和在僵尸網絡中會同樣運行[7]。社交工程攻擊利用漏洞，給惡意虛擬機鏡像一個類似官方的命名，如f“edora_core”[7]，引誘亞馬遜彈性計算云（EC2）用戶運行惡意虛擬機鏡像。虛擬主機漏洞問題依然存在[8]，如同隨機數生成機制缺乏足夠的熵從而薄弱一樣。

2.2 “新”安全問題

最近有研究發(fā)現，盡雖然使用云計算較僵尸網絡更為昂貴，但是云計算比僵尸網絡更易獲得黑客們的“青睞”。僵尸網絡市場易面臨“檸檬市場”的信息不對城問題，即由于缺乏信任、無法確認貨物質量導致貨物成交量最小[8]。如此一來，黑客們就會溢價在云計算網絡中尋找更為可靠的服務。在云計算網中，絡僵尸網絡比在傳統(tǒng)網絡中更容易關閉。因為云計算引入共享數據環(huán)境，所以會引發(fā)意外旁通道被動偵測信息與隱蔽信道主動發(fā)送數據[9]。暴露出來的弱點有：將攻擊虛擬機當作目標虛擬機置于相同的物理機上，而后在兩個虛擬機之間構建旁通道，編入SSH擊鍵計時攻擊[10]。另一個新問題來自于榮譽命運共享，會產生不同影響。正面的影響是：只要保證網絡生態(tài)系統(tǒng)的安全最佳實踐，云用戶有可能從大云服務供應商對安全性的專注中獲益；負面的影響是：單個破壞者就能中斷許多用戶。例如，垃圾郵件群發(fā)曾破壞EC2，導致國際反垃圾郵件組織（Spamhaus）將很大比例的EC2 IP地址列入黑名單，引發(fā)主要服務中斷。此外，黑客運用云計算網絡的價格低廉，例如，將在PC機上原本耗時1.3天暴力破解作業(yè)放到云計算網絡中，耗時僅僅一分鐘，需添加200加大實例，每次利用只需兩美元（參考2010年的價格）。自垃圾郵件群發(fā)事件后，如果有人想從EC2上發(fā)送電子郵件，則必須填寫申請表格（http：//aws.amazon.com/contact-us/ec2-email-limit-request/），提供EC2（靜態(tài)）地址列表獲得發(fā)送郵件的授權，并被記錄用例。亞馬遜在同意申請后將該EC2地址添加到Spamhaus的白名單中[11]。

2.3 云威脅模型中的新特征

結合以上論述，云威脅模型包含以下幾個新特征：1）數據與軟件并非需要保護的唯一對象，活動模式也需要保護。資源共享意味著一位云用戶的活動對其他使用相同資源的用戶來說可能是透明的，會導致旁通道與隱蔽信道的構建?；顒幽Ｊ奖旧砭涂赡芫褪墙M成公司機密信息的一部分，一旦泄漏就會導致客戶群與營業(yè)規(guī)模等信息被竊取。2）商譽也需要保護。在使用共享資源進行關鍵業(yè)務級運算時，很難分辨惡意運行。即便有方法識別罪犯并予以責罰，不良公眾信息依然會產生不確定性，會玷污長期以來建立起來的商譽。3）必須建立長期信任鏈。終端用戶可以使用服務供應商建立的應用程序，并在主機供應商提供的平臺上運行，繼而在基礎構架服務商提供的基礎構架上運行。然而，由于缺乏充足的應用程序接口（APIs），此設想始終是空中樓閣。這也表明任何模式的云計算，利益相關者之間的關系遠比簡單的供需關系要復雜得多。破壞者可能偽裝成正常的云用戶或者供應商，實施網絡攻擊或者網絡犯罪，導致用戶中斷。案例包括用戶運行玻璃破解程序、僵尸網絡、云端的垃圾郵件群發(fā)或者供應商掃描用戶數據信息并出售。此外，互相競爭的公司可能在同一云計算系統(tǒng)中運作，使用相同的云信息，以相同的供求關系結束。這可能會導致強烈的利益沖突，并造成獲取競爭對手機密信息的不良驅動。這些問題亟待云計算審核的完善——審核也是衛(wèi)生保健、銀行等系統(tǒng)所要求的。云計算的不同之處在于要求互相審核，因為該系統(tǒng)中利益相關者潛在的利益沖突，從結算角度來講，云用戶與供應商都需要確保對方以正確、良性的方式運作。鑒于供應商與云用戶都可能成為攻擊源或者攻擊的目標，互審也可以大大協(xié)助事件響應和恢復。在搜查與扣押事件中，審核可以明確責任歸屬，避免執(zhí)法機構越權執(zhí)法。最后，了解云計算威脅的一個難點來自于人們潛在的不正確的心理，即云計算是隨時可用的服務。這個觀念來源于人們在使用產品或者服務時的偏好性思維范式， 易產生對安全的錯覺，導致不妥的使用行為，如定期備份數據到多個云供應商。因此，當云計算以與其他類型的計算系統(tǒng)相同的速度奔潰時，其造成的危害要大很多。

3 結束語

綜上所述，安全將不可不避免地成為云計算業(yè)務的一個重要的微分器。此外，除了重溫處理比如確保共享計算等具體問題的方法之外，歷史經驗告訴我們，在系統(tǒng)不斷升級、增加更多功能的背景下，盡早開發(fā)安全架構大有益處。另一方面，互聯網商品歷史一再表明，即便沒有健全的安全基礎，及時切入市場搶占攤點與削價措施也能很大程度刺激客戶購買。不過，當前的情形會略有不同，許多云計算目標客戶擁有廣泛的購買經歷，甚至遭受過損失，從而具備消費理性，會將安全當作優(yōu)先考慮對象。美國的國家網站（National CSS）曾向公司提供它們負擔得起的計算業(yè)務，分時共享最終讓位給個人電腦，從而帶給公眾支付得起的計算業(yè)務。同樣，當前云計算也向公司提供價格合理的大型運算業(yè)務。如果這種經濟情況普遍存在，那么即便存在安全隱患，云計算也將毫無阻擋地成為一種消費品。正如PC機與互聯網帶來信息革命，云計算也具備帶來計算革命的可能。屆時，大型計算也將普及化，并且價格合理、使用便利、安全可靠。

參考文獻：

[1] Armbrust M，Fox A，Griffith R，et al.Above the Clouds： A Berkeley View of Cloud Computing[EB/OL].Technical report EECS-2009-28.EECS Department，University of California，Berkeley.（2009-2-10）.http：//www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.html.

[2] Fowler G，Worthen B.The internet industry is on a cloud-whatever that may mean[N].Wall Street Journal，2009.3.26.

[3] Corbató F J，Vyssotsky V A.Introduction and overview of the multics system[J].IEEE Ann. Hist. Comput.，1992，14（2）：12–13.

[4] Vikram K，Prateek A，Livshits B.Ripley： automatically securing web 2.0 applications through replicated execution[C]//CCS 09： Proceedings of the 16th ACM conference on Computer and communications security.

[5] Bowers K D，Juels A，Oprea A.Hail： a high-availability and integrity layer for cloud storage[C]//CCS 09： Proceedings of the 16th ACM conference on Computer and communications security.

[6] Wei Jinpeng， Zhang Xiaolan，Ammons G，etal.Managing security of virtual machine images in a cloud environment[C]//CCSW 09： Proceedings of the ACM workshop on Cloud computing security.

[7] Meer H，Arvanitis N，Slaviero M.Clobbering the cloud[C]//Black Hat USA 2009.

[8] Kortchinsky K.Cloudburst-a VMware guest to host escape story[C]//Black Hat USA 2009.

[9] Dawn Xiaodong Song， David Wagner， and Xuqing Tian. Timing analysis of keystrokes and timing attacks on SSH[C]//SSYM01： Proceedings of the 10th conference on USENIX Security Symposium.

[10] Ristenpart T，Tromer E，Shacham H，et al.Hey， you， get off of my cloud： exploring information leakage in third-party compute clouds[C]//CCS 09： Proceedings of the 16th ACM conference on Computer and communications security.

[11] Amazon Web Services Discussion Forums.Thread 37650： Emai changes[EB/OL].https：//aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/ec2-email-limit-rdns-request.