萬瀚菜

摘要：云計算安全是指為保護云計算的數(shù)據(jù)，應(yīng)用程序和相關(guān)基礎(chǔ)架構(gòu)而部署的一系列廣泛的策略、技術(shù)和控制。它是計算機安全、網(wǎng)絡(luò)安全以及更廣泛的信息安全的一個子領(lǐng)域。文章主要研究了云計算安全的影響因素和云技術(shù)安全管理措施。

關(guān)鍵詞：云計算；數(shù)據(jù)；安全；防范

1 云計算特點

云計算是一種信息技術(shù)模式，可以隨時訪問共享的可配置系統(tǒng)資源池和更高級的服務(wù)，這些服務(wù)通?？梢酝ㄟ^互聯(lián)網(wǎng)以最少的管理工作快速供應(yīng)。云計算依靠資源共享來實現(xiàn)規(guī)模的一致性和經(jīng)濟性。 第三方云使組織能夠?qū)Ｗ⒂谄浜诵臉I(yè)務(wù)，而不是在計算機基礎(chǔ)設(shè)施和維護上耗費資源。云計算倡導(dǎo)者指出，云計算使公司可以避免或最大限度地減少前期IT基礎(chǔ)架構(gòu)成本。支持者還聲稱，云計算使企業(yè)可以更快地運行應(yīng)用程序并提高可管理性，減少維護，并使IT團隊能夠更快速地調(diào)整資源，以滿足波動和不可預(yù)測的業(yè)務(wù)需求。云提供商通常使用“即用即付”模式，如果管理員不熟悉云定價模式，可能會導(dǎo)致意外的運營開支。

自2006年推出亞馬遜EC2以來.高容量網(wǎng)絡(luò)、低成本計算機和存儲設(shè)備的可用性以及硬件虛擬化，面向服務(wù)的體系結(jié)構(gòu)以及自主和效用計算的廣泛采用，促進了云計算技術(shù)的發(fā)展。

云計算的目標(biāo)是讓用戶從所有這些技術(shù)中受益，而不需要每個人都有深入的了解或?qū)I(yè)知識。云計劃旨在削減成本，幫助用戶專注于核心業(yè)務(wù)。云計算的主要支持技術(shù)是虛擬化。虛擬化軟件將物理計算設(shè)備分成一個或多個“虛擬”設(shè)備，其中的每一個都可以容易地使用和管理來執(zhí)行計算任務(wù)。通過操作系統(tǒng)級虛擬化本質(zhì)上創(chuàng)建了多個獨立計算設(shè)備的可擴展系統(tǒng)，可以更有效地分配和使用空閑計算資源。虛擬化提供了加速IT運營所需的靈活性，并通過提高基礎(chǔ)架構(gòu)利用率來降低成本。自主計算使用戶可以根據(jù)需要調(diào)配資源的過程自動化。通過最大限度地減少用戶的參與，自動化加快了過程，降低了人力成本，并減少了人為錯誤的可能性。

云計算采用面向服務(wù)架構(gòu)（S ervice - OrientedArchitecture，SOA）的概念，可以幫助用戶將這些問題分解為可以整合的服務(wù)，以提供解決方案。云計算將其所有資源作為服務(wù)提供，并利用在SOA領(lǐng)域獲得的完善標(biāo)準(zhǔn)和最佳實踐，以便以標(biāo)準(zhǔn)化的方式全球輕松訪問云服務(wù)。

云計算還利用效用計算的概念為所使用的服務(wù)提供度量標(biāo)準(zhǔn)。這些指標(biāo)是公共云按次付費模式的核心。另外，測量的服務(wù)是自主計算反饋環(huán)路的重要組成部分，允許按需擴展服務(wù)并執(zhí)行自動故障恢復(fù)。云計算是一種網(wǎng)格計算，它已經(jīng)通過解決服務(wù)質(zhì)量（Quality of Service，QoS）和可靠性問題而發(fā)展。與傳統(tǒng)的并行計算技術(shù)相比，云計算提供了以更實惠的價格構(gòu)建數(shù)據(jù)/計算密集型并行應(yīng)用程序的工具和技術(shù)[1]。

2 云計算安全影響因素

云計算和存儲為用戶提供了在第三方數(shù)據(jù)中心存儲和處理其數(shù)據(jù)的功能。組織在各種不同的服務(wù)模型（包括SaaS，PaaS和IaaS等縮略詞）以及部署模型（私有、公共、混合和社區(qū)）中使用云。與云計算相關(guān)的安全問題分為兩大類：云提供商（通過云提供軟件，平臺或基礎(chǔ)架構(gòu)即服務(wù)的組織）面臨的安全問題以及客戶（公司或組織托管應(yīng)用程序或?qū)?shù)據(jù)存儲在云上）。提供商必須確保其基礎(chǔ)設(shè)施安全，并保護其客戶的數(shù)據(jù)和應(yīng)用程序，同時用戶必須采取措施加強其應(yīng)用程序并使用強密碼和身份驗證措施。云計算系統(tǒng)組成如圖1所示。

當(dāng)組織選擇在公共云上存儲數(shù)據(jù)或托管應(yīng)用程序時，它將失去對托管其信息的服務(wù)器的物理訪問權(quán)限。因此，潛在的敏感數(shù)據(jù)面臨內(nèi)部攻擊的風(fēng)險。根據(jù)最近的云安全聯(lián)盟報告，內(nèi)部攻擊是云計算中的第六大威脅。因此，云服務(wù)提供商必須確保對數(shù)據(jù)中心的服務(wù)器實際訪問的員工進行全面的背景調(diào)查。

為了節(jié)約資源，降低成本并保持效率，云服務(wù)提供商通常將多個客戶的數(shù)據(jù)存儲在同一臺服務(wù)器上。結(jié)果，一個用戶的私人數(shù)據(jù)有可能被其他用戶（甚至可能是競爭者）看到。為了處理這種敏感的情況，云服務(wù)提供商應(yīng)該確保正確的數(shù)據(jù)隔離和邏輯存儲隔離。

在實施云基礎(chǔ)架構(gòu)中廣泛使用虛擬化，為公共云服務(wù)的客戶或租戶帶來了獨特的安全問題。虛擬化改變了操作系統(tǒng)和底層硬件之間的關(guān)系，包括計算、存儲和網(wǎng)絡(luò)。這引入了一個額外的層——虛擬化—本身必須正確配置，管理和保護。具體問題包括可能會破壞虛擬化軟件或“管理程序”。雖然這些擔(dān)憂在很大程度上是理論上的，但確實存在。例如，使用虛擬化軟件的管理軟件在管理員工作站上的違規(guī)可能導(dǎo)致整個數(shù)據(jù)中心關(guān)閉，或者被重新配置為攻擊者的喜好[2]。

3云安全控制

云安全體系結(jié)構(gòu)只有在正確的防御實施到位的情況下才有效。一個有效的云安全架構(gòu)應(yīng)該認(rèn)識到安全管理將會出現(xiàn)的問題。安全管理通過安全控制來解決這些問題。這些控制措施已經(jīng)到位，以保護系統(tǒng)中的弱點，并減少攻擊的影響。雖然云安全體系結(jié)構(gòu)背后有許多類型的控制，但通?？梢苑譃橐韵骂悇e。

3.1威懾控制

這些控制旨在減少對云系統(tǒng)的攻擊。就像柵欄或財產(chǎn)上的警告標(biāo)志一樣，威懾控制通常會通過通知潛在的攻擊者，如果他們繼續(xù)進行，會對他們造成不利后果，從而降低威脅等級。有些人認(rèn)為這是預(yù)防性控制的一個子集。

3.2預(yù)防性控制

預(yù)防性控制加強了系統(tǒng)對事件的處理，通常是通過減少即使不是實際消除漏洞。例如，云用戶的強認(rèn)證使未經(jīng)授權(quán)的用戶訪問云系統(tǒng)的可能性降低，并且更有可能確定云用戶。

3.3偵探控制

偵查控制措施旨在對發(fā)生的任何事件進行適當(dāng)?shù)臋z測和反應(yīng)。在發(fā)生攻擊事件時，偵察控制將發(fā)出預(yù)防或糾正控制信號來解決問題。系統(tǒng)和網(wǎng)絡(luò)安全監(jiān)控（包括入侵檢測和預(yù)防安排）通常用于檢測對云系統(tǒng)和支持通信基礎(chǔ)設(shè)施的攻擊。

3.4糾正控制

糾正性控制通常通過限制損害來減少事故的后果。它們在事件期間或之后生效?；謴?fù)系統(tǒng)備份以重建受損系統(tǒng)是糾正控制的一個例子。

4云安全的維度

通常建議根據(jù)風(fēng)險比例選擇和實施信息安全控制措施，通常是評估威脅，脆弱性和影響。云安全問題可以以多種方式進行分組：Gartner命名為7，而云安全聯(lián)盟確定了14個關(guān)注領(lǐng)域。云訪問安全代理（Cloud Access Security Broker，CASB）是位于云服務(wù)用戶和云應(yīng)用程序之間的軟件，用于監(jiān)視所有活動并執(zhí)行安全策略。

4.1安全和隱私

身份管理。每個企業(yè)都有自己的身份管理系統(tǒng)來控制對信息和計算資源的訪問。云提供商或者將客戶的身份管理系統(tǒng)整合到他們自己的基礎(chǔ)設(shè)施中，使用單點登錄（ SingleSign On，SSO）技術(shù)，或者基于生物識別的身份識別系統(tǒng)，或者提供自己的身份管理系統(tǒng)。例如，CloudID提供了隱私保護云和跨企業(yè)生物識別。它將用戶的機密信息鏈接到他們的生物識別信息并以加密方式存儲。利用可搜索的加密技術(shù)，在加密域中執(zhí)行生物特征識別，以確保云提供者或潛在的攻擊者不能訪問任何敏感數(shù)據(jù)甚至個別查詢的內(nèi)容。 物理安全。云服務(wù)提供商在物理上保護IT硬件（服務(wù)器、路由器、電纜等）免受未經(jīng)授權(quán)的訪問、干擾，盜竊、火災(zāi)、洪水等，并確保必要的電源（如電力）足夠強大，以最大限度地減少中斷的可能性。這通常是通過提供來自“世界級”（即專業(yè)指定、設(shè)計、構(gòu)建、管理、監(jiān)控和維護）數(shù)據(jù)中心的云應(yīng)用程序來實現(xiàn)的。

人員安全。與云服務(wù)相關(guān)的IT和其他專業(yè)人士所擔(dān)心的各種信息安全問題通常通過預(yù)先安排，準(zhǔn)時安排以及安置后安排，例如安全篩選潛在招聘人員，安全意識和培訓(xùn)計劃，積極主動地處理。 隱私。提供商確保所有關(guān)鍵數(shù)據(jù)（例如信用卡號碼）都被屏蔽或加密，只有授權(quán)用戶才能訪問整個數(shù)據(jù)。而且，數(shù)字身份和證書必須像提供商收集或產(chǎn)生的有關(guān)云中客戶活動的數(shù)據(jù)一樣受到保護。

4.2數(shù)據(jù)安全

許多安全威脅與云數(shù)據(jù)服務(wù)有關(guān)，不僅包括網(wǎng)絡(luò)竊聽，非法入侵，拒絕服務(wù)攻擊等傳統(tǒng)安全威脅，還包括側(cè)通道攻擊、虛擬化漏洞、濫用等特定的云計算威脅的云服務(wù)。 數(shù)據(jù)保密性是數(shù)據(jù)內(nèi)容不能提供或泄露給非法用戶的財產(chǎn)。外包數(shù)據(jù)存儲在云中，并且不受所有者直接控制。只有授權(quán)用戶可以訪問敏感數(shù)據(jù)，而其他用戶（包括加密服務(wù)提供程序（Cryptographic Service Provider， CSP））則不能獲得任何數(shù)據(jù)信息。同時，數(shù)據(jù)擁有者期望充分利用云數(shù)據(jù)服務(wù)，例如數(shù)據(jù)搜索.數(shù)據(jù)計算和數(shù)據(jù)共享，而不會將數(shù)據(jù)內(nèi)容泄露給CSP或其他對手。

訪問可控性意味著數(shù)據(jù)所有者可以對外包給云的數(shù)據(jù)執(zhí)行選擇性的訪問限制。所有者可以授權(quán)合法用戶訪問數(shù)據(jù)，而其他用戶則可以在沒有權(quán)限的情況下訪問數(shù)據(jù)。此外，希望對外包的數(shù)據(jù)執(zhí)行細(xì)粒度的訪問控制，即不同的用戶應(yīng)該被授予關(guān)于不同數(shù)據(jù)片段的不同的訪問權(quán)限。訪問授權(quán)必須僅由不受信任的云環(huán)境中的所有者控制。

數(shù)據(jù)完整性要求保持和確保數(shù)據(jù)的準(zhǔn)確性和完整性。數(shù)據(jù)所有者總是期望云中的數(shù)據(jù)可以被正確和可信地存儲。這意味著數(shù)據(jù)不應(yīng)該被非法篡改、不恰當(dāng)?shù)匦薷摹⒐室鈩h除或惡意捏造。如果任何不良操作損壞或刪除數(shù)據(jù)，業(yè)主應(yīng)該能夠檢測到腐敗或損失。而且，當(dāng)外包數(shù)據(jù)的一部分被損壞或丟失時，數(shù)據(jù)用戶仍然可以檢索到[3]。

5結(jié)語

本文對云計算安全的相關(guān)概念進行了總結(jié)，并分析了影響云計算安全的因素，根據(jù)實際經(jīng)驗提出了安全管理的方法。隨著云技術(shù)在生活中的應(yīng)用日益廣泛，云計算安全也引起了人們更多的關(guān)注。只有做好云計算安全的預(yù)防和管理工作，才能使云技術(shù)真正發(fā)揮其價值，為社會的發(fā)展作出貢獻(xiàn)。

[參考文獻(xiàn)]

[1]劉思皖.云計算安全模型與管理[J]電子測試，2017 （22）：85-88.

[2]拱長青，肖蕓，李夢飛，等.云計算安全研究綜述[J].沈陽航空航天大學(xué)學(xué)報，2017 （4）：73-75

[3]李振東.云計算安全淺析[J]電信科學(xué)，2015 （12）：36-38