卞曉光

（遼寧郵電規(guī)劃設計院有限公司 遼寧 110179）

1 云計算概述

云計算是一種分布式計算技術，它是利用網(wǎng)絡上的資源，將其整合成“云”，從而成為一種超級計算的模式?！霸啤蓖ǔＪ怯捎嬎惴掌鳌拵зY源、存儲服務器等大型服務器集群組成。對于用戶而言們，不需要煩惱底層的具體細節(jié)，這樣能夠更加專注自己的業(yè)務，有利于降低成本。根據(jù)云計算服務的對象服務對象可以將云計算分為公有云、私有云、混合云，根據(jù)云計算的服務類型可以將其分為軟件即服務（SaaS）、平臺即服務（PaaS）、基礎架構(gòu)即服務（IaaS）[1]。

圖1 云計算分類模型

2 云計算安全問題分析

云計算的服務模式從底層的IaaS模式到頂層的SaaS模式會向客戶提供不同的接口服務，在這個過程當中，用戶會接觸到不同的資源，這就造成了在不同的服務層會有發(fā)生不同的安全問題。

2.1 IaaS安全問題

在IaaS層中，會提供給用戶所有設施使用權，這樣用戶可以自由的部署操作系統(tǒng)的鏡像，因此在IaaS層中面臨的安全問題是最多的。IaaS層中主要包括物理設施安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、虛擬化安全等問題。物理設置安全主要包括了通信網(wǎng)絡、電源、服務器等實體設備的安全，實體的安全正是整個云系統(tǒng)安全的大前提。數(shù)據(jù)傳輸安全指的是確保在傳輸數(shù)據(jù)當中數(shù)據(jù)的完整性和保密性，云數(shù)據(jù)傳輸安全面臨的主要問題是由于技術問題，云系統(tǒng)內(nèi)部數(shù)據(jù)傳輸是非加密的。數(shù)據(jù)存儲安全實際到了數(shù)據(jù)保密性、可用性、完整性三個方面。但是絕大部門云服務提供商都沒有關注到數(shù)據(jù)殘留問題，這個問題已經(jīng)變得原來越緊迫。虛擬化安全問題是這一層的主要安全問題，現(xiàn)在用戶使用的IaaS服務基本上都是虛擬主機上的服務。這個問題包括虛擬軟件和虛擬主機兩個安全問題[2]。

2.2 PasS安全問題

PaaS層主要面臨有API安全問題、模塊整合問題、數(shù)據(jù)安全問題這三個問題。PasS層提供豐富的API給用戶，使得用戶通過這些API可以自云平臺上部署開發(fā)自己的應用程序。因此不安全的API會導致降低用戶開發(fā)的應用的安全性能。同時由于各個云服務提供商沒有統(tǒng)一的 API，這就導致了某個云平臺的應用程序移植到另外一個云平臺上后就會變得不安全。PaaS層將底層的服務集合成一個整體，由于卻少相關的標準，無法保證這些集成后的服務模塊的安全性能，也難以評估這些模塊的安全性能。此外，應用程序使用的不加密的靜態(tài)數(shù)據(jù)，很有可能受到內(nèi)部的攻擊或者被非授權訪問者竊取，這就帶來了相應的數(shù)據(jù)安全問題。

2.3 SaaS安全問題

SaaS的特性決定了云服務提供商對整個服務的安全性能負有主要的責任。SaaS層主要面臨有權限管理問題、數(shù)據(jù)處理安全問題、云服務不透明問題。SaaS層，用戶可用的唯一的安全手段就是服務提供商提供的身份驗證和訪問控制權限管理手段，但是這個手段存在著訪問控制標準不一致的問題，這就造成用戶停止共享文件時，其他用戶仍能共享文件的安全問題。SaaS也是使用的是不加密的靜態(tài)數(shù)據(jù)，因此存在著數(shù)據(jù)泄露的風險，而且泄露的風險比PaaS層大，因為PaaS層用戶可以通過開發(fā)一定的防范程序，而在這一次只能依靠服務上提供的安全服務。在這一層，用戶直接使用服務，無法對整個云平臺的安全性能進行評估，因此也面臨著云服務不透明的問題。

3 云安全解決方案

針對目前出現(xiàn)的云安全問題，業(yè)界提出了一些解決方案，雖然云計算涉及的安全技術都不是什么新的技術，基本上都可以實現(xiàn)了，但是這些安全技術在面對云系統(tǒng)架構(gòu)的時候，仍然存在一些不足之處，需要改進。

3.1 容災和恢復技術

對于IaaS層當中出現(xiàn)的物理設備問題，造成的的影響比較廣泛，針對此類問題，可以采用容災和恢復技術解決。容災和恢復技術主要用來解決云計算的可用性的問題，可以幫助云系統(tǒng)在受到自然災害、人為失誤、系統(tǒng)故障中快速的恢復數(shù)據(jù)和間斷的服務，從而提高云計算服務的可靠性?，F(xiàn)在主要有HDFS的冗余存儲方案和異地災難備份機制兩種手段。HDFS的DataNode的Block和NameNode都有冗余存儲，NameNode一般采用的是雙機備份策略，DataNode則是在不同的 DataNode中存儲了同一個Block的三個副本。冗余存儲方案可以解決一般的故障恢復問題，但是像日本大災難這種大范圍的災害卻沒有辦法，因此需要采用異地災難備份機制來彌補這一不足[3]。

3.2 數(shù)據(jù)加密技術

在IaaS、PaaS、SaaS三層當中，數(shù)據(jù)處于靜態(tài)存儲、傳輸和處理這三種狀態(tài)，在這三種狀態(tài)當中都面臨著一定的風險，針對這些風險都提出了相應的解決方案。靜態(tài)數(shù)據(jù)的加密可以使用傳統(tǒng)的加密方式，不同的云服務提供商也會提供不同的解決方案。比如微軟采用128位對稱加密方式或者更長的加密方式。對于傳輸?shù)陌踩梢圆捎肧SL3.0或者TLS 1.0協(xié)議保證數(shù)據(jù)的安全。針對數(shù)據(jù)處理過程當中存在的泄露問題可以采用完全同態(tài)的加密算法解決。

3.3 虛擬安全技術

IaaS層當中存在著主要問題是虛擬化安全問題，虛擬技術是云計算的核心，針對虛擬機本身的安全以及用戶和虛擬機之間隔離的問題，研究者們提出了一些解決的方案?？梢圆捎米詣訖z測云中運行和休眠的虛擬機解決虛擬機本身的安全，采用劃分緩存的頁染色法和緩存層次可感知核心分配法，提供性能和安全的隔離。

4 總結(jié)

云計算成為目前計算機研究的一大熱點，改變了IT企業(yè)的服務的方式，融合了多項前沿技術的云計算在帶給我們便利、強大、靈活的處理能力的同時，也帶來了新的未知的安全隱患，云計算安全問題成為阻礙其發(fā)展的核心問題，需要不斷的對其進行深入研究分析。

[1]IBM 虛擬化與云計算小組．虛擬化與云計算[M]．北京：電子工業(yè)出版社.2009

[2]葉偉等．互聯(lián)網(wǎng)時代的軟件革命-SaaS架構(gòu)設計[M]．北京：電子工業(yè)出版社，2009

[3]谷歌在線文檔誤共享信息 凸顯云計算安全問題[J]. 信息系統(tǒng)工程，2009，（4）：59.