趙玉梅

（六盤水職業(yè)技術(shù)學(xué)院 貴州 六盤水 553001）

0 引言

隨著云計(jì)算的快速發(fā)展，越來(lái)越多的企業(yè)和個(gè)人選擇將數(shù)據(jù)和應(yīng)用遷移到云端［1］。云計(jì)算通過(guò)虛擬化技術(shù)，實(shí)現(xiàn)計(jì)算資源的彈性擴(kuò)展和按需使用，極大地提高了資源利用效率，降低了使用成本。然而，云計(jì)算也帶來(lái)了數(shù)據(jù)和隱私安全的新挑戰(zhàn)。在公共云環(huán)境下，用戶數(shù)據(jù)和應(yīng)用易受到攻擊和泄露，給企業(yè)和個(gè)人帶來(lái)重大損失。為此，云服務(wù)提供商和企業(yè)用戶迫切需要加強(qiáng)云平臺(tái)和云應(yīng)用的安全防護(hù)能力。本文將系統(tǒng)研究云計(jì)算環(huán)境下的數(shù)據(jù)和隱私安全問(wèn)題，探討加密、訪問(wèn)控制、基礎(chǔ)設(shè)施安全、數(shù)據(jù)備份與恢復(fù)、安全監(jiān)控等方面的安全防護(hù)技術(shù)和機(jī)制，以期為云用戶提供安全可靠的云服務(wù)。

1 云計(jì)算概念及面臨的安全及隱私威脅

云計(jì)算作為一種新型的信息技術(shù)服務(wù)模式，提供了動(dòng)態(tài)可擴(kuò)展、虛擬化的資源，大大降低了用戶的使用成本，推動(dòng)了互聯(lián)網(wǎng)時(shí)代技術(shù)和商業(yè)模式的變革［2］。從技術(shù)上講，云計(jì)算服務(wù)模式主要包括軟件即服務(wù)（software as a service， SaaS）、平臺(tái)即服務(wù)（platform as a service， PaaS）和基礎(chǔ)設(shè)施即服務(wù)（infrastructure as a service，IaaS）。以IaaS為例，云提供商利用服務(wù)器虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化等技術(shù)，將底層物理基礎(chǔ)設(shè)施資源如服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備等池化，并以統(tǒng)一的云管理平臺(tái)軟件為基礎(chǔ)，動(dòng)態(tài)架構(gòu)出規(guī)模巨大的虛擬機(jī)集群、虛擬存儲(chǔ)池、虛擬網(wǎng)絡(luò)，最終以“基礎(chǔ)設(shè)施即服務(wù)”的形式對(duì)外開(kāi)放。用戶只需要在云管理平臺(tái)上進(jìn)行申請(qǐng)，就可以在幾分鐘內(nèi)獲取成百上千臺(tái)規(guī)模的虛擬機(jī)資源，并只需按實(shí)際使用量進(jìn)行計(jì)費(fèi)。

但是，云計(jì)算多租戶共享的開(kāi)放特性也給用戶的信息安全帶來(lái)了新的挑戰(zhàn)?；谔摂M化技術(shù)實(shí)現(xiàn)資源池化的公有云，存在來(lái)自不同用戶的虛擬機(jī)共存于同一物理服務(wù)器的情況。這使得用戶較易受到基礎(chǔ)設(shè)施層面的攻擊，比如可以通過(guò)定制化的側(cè)信道攻擊在不觸發(fā)安全監(jiān)控的情況下獲取同一臺(tái)物理服務(wù)器上其他虛擬機(jī)的加密密鑰、敏感數(shù)據(jù)等，造成用戶隱私數(shù)據(jù)的泄露。根據(jù)安全公司Venafi 近期發(fā)布的調(diào)查報(bào)告，有超過(guò)30%的企業(yè)公有云用戶表示自己所面臨的云安全風(fēng)險(xiǎn)主要來(lái)自該類攻擊。此外，由于用戶缺乏對(duì)云基礎(chǔ)設(shè)施的實(shí)際控制權(quán)限，使得攻擊者也將云提供商的基礎(chǔ)管理平臺(tái)作為目標(biāo)。黑客可以通過(guò)植入惡意代碼的方式遠(yuǎn)程入侵云管理平臺(tái)，在獲得足夠的權(quán)限后，可以進(jìn)一步對(duì)云基礎(chǔ)設(shè)施實(shí)施破壞，比如在管理平臺(tái)植入后門、對(duì)用戶虛擬機(jī)環(huán)境進(jìn)行入侵修改等。這種攻擊已經(jīng)多次在知名公有云提供商體系中被披露和發(fā)現(xiàn)。除此之外，利用云環(huán)境實(shí)現(xiàn)的分布式拒絕服務(wù)攻擊（distributed denial of service， DDoS）也對(duì)云網(wǎng)絡(luò)的可用性和攻擊防御能力提出了更高要求。

2 云計(jì)算環(huán)境下的信息安全與隱私保護(hù)機(jī)制

2.1 數(shù)據(jù)加密和訪問(wèn)控制

為保證云計(jì)算環(huán)境下的數(shù)據(jù)安全與隱私，首要的是通過(guò)加密機(jī)制確保用戶敏感數(shù)據(jù)的保密性［3］。當(dāng)前主流的加密算法包括對(duì)稱加密算法和非對(duì)稱加密算法。對(duì)稱加密算法使用相同的密鑰進(jìn)行加密和解密，速度更快，但密鑰管理和分發(fā)復(fù)雜。非對(duì)稱加密算法使用公鑰－私鑰對(duì)，通信雙方各持有一把密鑰，安全性更好。云計(jì)算環(huán)境下，可以采用混合加密模式，即使用對(duì)稱算法加密用戶數(shù)據(jù)，再用訪問(wèn)方的公鑰加密該對(duì)稱密鑰。這樣既保證了效率，也不會(huì)泄露私鑰。具體實(shí)現(xiàn)上，可在數(shù)據(jù)上傳云端前就在用戶本地完成加密處理。同時(shí)還需要基于訪問(wèn)控制，精確授權(quán)何種用戶角色可以訪問(wèn)敏感數(shù)據(jù)。主流的訪問(wèn)控制模型包括自主訪問(wèn)控制（discretionary access control，DAC）、強(qiáng)制訪問(wèn)控制（mandatory access control， MAC）和基于角色的訪問(wèn)控制（role-based access control， RBAC）等。RBAC 通過(guò)將權(quán)限與角色而不是用戶直接關(guān)聯(lián)，實(shí)現(xiàn)更好管理。在云平臺(tái)上可以實(shí)現(xiàn)細(xì)粒度的RBAC 策略，比如訪問(wèn)控制模型可以表示為一個(gè)四元組（S，O，OP，U），表示主體S 可以在對(duì)象O 上進(jìn)行OP 操作。主體和對(duì)象可以是任意粒度的實(shí)體，如用戶或角色、數(shù)據(jù)塊或文件等。操作也可以是任意粒度的讀寫訪問(wèn)權(quán)限，這樣可實(shí)現(xiàn)精確訪問(wèn)控制。

在云存儲(chǔ)的數(shù)據(jù)完整性保護(hù)方面，需要使用數(shù)字簽名等方法防止存儲(chǔ)數(shù)據(jù)的非授權(quán)修改。數(shù)字簽名基于非對(duì)稱加密和哈希（Hash）算法實(shí)現(xiàn)，用戶數(shù)據(jù)的哈希值用私鑰加密作為簽名。數(shù)據(jù)接收方可以使用發(fā)送方公鑰驗(yàn)證簽名，確保完整性。簽名驗(yàn)證的數(shù)學(xué)表達(dá)如式（1）所示。

式（1）中，PUa表示發(fā)送方公鑰，D是原文數(shù)據(jù)，S是簽名，Ver 表示驗(yàn)證函數(shù)，Hash 是哈希函數(shù)，Dec 表示解密。只有確保數(shù)據(jù)未被修改，EQUAL 結(jié)果才會(huì)為真。

2.2 安全的云基礎(chǔ)設(shè)施和網(wǎng)絡(luò)保護(hù)

云計(jì)算基于虛擬化技術(shù)動(dòng)態(tài)管理大規(guī)模虛擬化資源，因此保護(hù)云基礎(chǔ)設(shè)施安全至關(guān)重要。一方面，需要確保虛擬機(jī)和虛擬網(wǎng)絡(luò)的隔離性，避免不同用戶的虛擬資源相互可見(jiàn)或訪問(wèn)。比如，可通過(guò)物理服務(wù)器上的Intel VT-x 指令集下的擴(kuò)展頁(yè)表（extended page tables， EPT）功能加強(qiáng)虛擬機(jī)操作系統(tǒng)（guest operating system， Guest OS）和虛擬機(jī)管理程序之間的隔離。EPT 允許硬件直接處理來(lái)自虛擬存儲(chǔ)器（virtual memory， VM）的內(nèi)存訪問(wèn)，無(wú)需虛擬化軟件參與，從而提高性能和安全性［4－5］。

另一方面，云管理平臺(tái)自身也面臨威脅。黑客可以試圖利用未補(bǔ)丁的漏洞、社會(huì)工程學(xué)等方式入侵云管理平臺(tái)，獲取控制其底層基礎(chǔ)設(shè)施資源的能力。這類攻擊往往具有廣度，能夠影響很多租戶和終端用戶。為此云平臺(tái)需要自動(dòng)化安全管理和加固準(zhǔn)入機(jī)制，如主機(jī)入侵檢測(cè)與防護(hù)系統(tǒng)、安全審計(jì)與合規(guī)檢查等，確保及時(shí)發(fā)現(xiàn)和防范威脅。比如入侵檢測(cè)系統(tǒng)可以通過(guò)匹配主機(jī)操作日志與已知攻擊模式特征，區(qū)別合法和可疑行為；也可以通過(guò)機(jī)器學(xué)習(xí)構(gòu)建正常行為基線，檢測(cè)異于基線的異?；顒?dòng)。

在網(wǎng)絡(luò)安全方面，云平臺(tái)需要部署防火墻、入侵檢測(cè)與防御系統(tǒng)等對(duì)東西向流量進(jìn)行全面監(jiān)控，并與威脅情報(bào)服務(wù)集成，主動(dòng)屏蔽已知攻擊源。此外，可采用軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)，通過(guò)編程手段將網(wǎng)絡(luò)基礎(chǔ)設(shè)施虛擬化，從而打造基于安全策略的動(dòng)態(tài)可編程網(wǎng)絡(luò)。不僅有助于提高網(wǎng)絡(luò)管理效率，也有助于快速響應(yīng)安全事件。

2.3 數(shù)據(jù)備份和災(zāi)難恢復(fù)

為防止數(shù)據(jù)丟失，云平臺(tái)首先需要提供自動(dòng)化的數(shù)據(jù)備份和災(zāi)難恢復(fù)能力。主流的備份方法包括完全備份、差異備份和增量備份。完全備份將數(shù)據(jù)集全部?jī)?nèi)容備份；差異備份保存最近一次完全備份之后發(fā)生改變的數(shù)據(jù)；增量備份僅備份上次增量備份之后修改過(guò)的數(shù)據(jù)。為平衡存儲(chǔ)效率和恢復(fù)速度，實(shí)踐中常采用完全備份加增量備份模式。

其次，云平臺(tái)上的備份系統(tǒng)需要確保異地容災(zāi)能力。即便某一區(qū)域數(shù)據(jù)中心發(fā)生災(zāi)難，也能通過(guò)其他中心的備份進(jìn)行服務(wù)故障轉(zhuǎn)移和數(shù)據(jù)恢復(fù)。為最小化服務(wù)中斷，備份系統(tǒng)可采用A-B 站雙活模式。A、B 兩個(gè)站點(diǎn)互為主備，同時(shí)提供服務(wù)并實(shí)時(shí)同步數(shù)據(jù)，一旦A 站故障，B 站快速接管A 的服務(wù)訪問(wèn)。該模式的可用性計(jì)算如式（2）所示。

式（2）中，Ud表示站點(diǎn)間專線的不可用率，Uh和Ur分別表示A、B 站點(diǎn)自身的不可用率。通過(guò)設(shè)計(jì)合理的冗余結(jié)構(gòu)，可以將云服務(wù)和數(shù)據(jù)的可用性最大化。最后，云平臺(tái)需要提供基于快照的備份恢復(fù)能力。當(dāng)面對(duì)惡意軟件數(shù)據(jù)損壞、誤操作數(shù)據(jù)丟失等突發(fā)情況時(shí)，用戶可以選擇恢復(fù)到某一歷史時(shí)間點(diǎn)的系統(tǒng)備份快照，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。

2.4 安全審計(jì)和監(jiān)控

為全面評(píng)估云平臺(tái)安全防護(hù)狀況，首先需要實(shí)施安全審計(jì)和監(jiān)控。安全審計(jì)主要檢查云平臺(tái)是否符合安全相關(guān)的監(jiān)管法規(guī)和行業(yè)標(biāo)準(zhǔn)。其中云安全聯(lián)盟發(fā)布的云控制矩陣提供了詳細(xì)的云安全審計(jì)框架，覆蓋數(shù)據(jù)安全、基礎(chǔ)設(shè)施安全管理、計(jì)算環(huán)境安全、業(yè)務(wù)連續(xù)性管理、運(yùn)營(yíng)安全、法律合規(guī)等多個(gè)領(lǐng)域，幫助用戶客觀評(píng)估公有云安全風(fēng)險(xiǎn)。而安全監(jiān)控主要通過(guò)分析各類日志和告警數(shù)據(jù)，實(shí)現(xiàn)對(duì)云基礎(chǔ)設(shè)施、網(wǎng)絡(luò)流量、用戶訪問(wèn)行為的7×24 h 實(shí)時(shí)監(jiān)測(cè)。除了檢測(cè)已知威脅，還需要通過(guò)機(jī)器學(xué)習(xí)和關(guān)聯(lián)分析實(shí)現(xiàn)對(duì)未知威脅和內(nèi)部威脅的識(shí)別。具體來(lái)說(shuō)，可建立包含網(wǎng)絡(luò)連接日志、進(jìn)程執(zhí)行日志、系統(tǒng)調(diào)用日志、文件訪問(wèn)日志在內(nèi)的多類型安全日志倉(cāng)庫(kù)，利用機(jī)器學(xué)習(xí)算法探測(cè)異常行為模式。比如通過(guò)非監(jiān)督學(xué)習(xí)算法如局部異常因子（local outlier factor， LOF）算法檢測(cè)異于大多數(shù)正常模式的數(shù)據(jù)點(diǎn)。獲得安全事件告警后，可以觸發(fā)自動(dòng)化響應(yīng)機(jī)制，迅速阻斷攻擊并啟動(dòng)恢復(fù)流程。

其次，為支撐云上大數(shù)據(jù)應(yīng)用的安全分析需求，市場(chǎng)上已出現(xiàn)基于Hadoop、Spark 等大數(shù)據(jù)平臺(tái)構(gòu)建的可擴(kuò)展安全監(jiān)控和分析系統(tǒng)。它們可以高效存儲(chǔ)和處理每天產(chǎn)生的數(shù)十億條異構(gòu)安全日志數(shù)據(jù)，并提供交互分析、可視化等功能，助力安全團(tuán)隊(duì)優(yōu)化防御策略。這類系統(tǒng)通常采用Hadoop 分布式文件系統(tǒng)（Hadoop distributed file system，HDFS）彈性擴(kuò)展存儲(chǔ)能力，并建立數(shù)據(jù)湖統(tǒng)一管理不同來(lái)源的安全數(shù)據(jù)。另外還會(huì)使用流式計(jì)算框架（如Storm、Flink）實(shí)現(xiàn)對(duì)海量日志的實(shí)時(shí)分析。

最后，提供結(jié)構(gòu)化查詢語(yǔ)言和機(jī)器學(xué)習(xí)算法，進(jìn)行歷史數(shù)據(jù)的關(guān)聯(lián)分析和安全模型訓(xùn)練。比如，可收集每天數(shù)十億條的域名系統(tǒng)（domain name system， DNS）查詢?nèi)罩?，使用機(jī)器學(xué)習(xí)算法分析用戶和域名查詢模式，發(fā)現(xiàn)異常行為。再配合網(wǎng)絡(luò)連接日志，判斷是否存在僵尸網(wǎng)絡(luò)（botnet）或命令與控制（command and control， C2）攻擊。或者使用Spark SQL 對(duì)身份認(rèn)證失敗日志進(jìn)行關(guān)聯(lián)分析，找出潛在的用戶名暴力破解攻擊。這類大數(shù)據(jù)安全分析系統(tǒng)可以全面提高云環(huán)境的威脅檢測(cè)和響應(yīng)能力。

3 云計(jì)算環(huán)境下的信息安全與隱私保護(hù)實(shí)踐案例

亞馬遜作為全球領(lǐng)先的云計(jì)算服務(wù)提供商，在產(chǎn)品技術(shù)和運(yùn)營(yíng)管理等多個(gè)層面實(shí)踐云計(jì)算環(huán)境下的數(shù)據(jù)安全與隱私保護(hù)，經(jīng)驗(yàn)值得借鑒。

首先，在底層基礎(chǔ)設(shè)施安全方面，亞馬遜利用自主研發(fā)的Nitro 系統(tǒng)替換傳統(tǒng)的虛擬化平臺(tái)，去除管理程序?qū)庸裘妫苯舆\(yùn)行硬件虛擬機(jī)。Nitro 系統(tǒng)通過(guò)現(xiàn)場(chǎng)可編程邏輯門陣列（field programmable gate array， FPGA）實(shí)現(xiàn)網(wǎng)絡(luò)、存儲(chǔ)等資源的硬件虛擬化與加速，增強(qiáng)云主機(jī)性能之余也提升了安全性。具體來(lái)說(shuō)，Nitro 系統(tǒng)可以做到0.2 ms 的存儲(chǔ)延遲，每秒轉(zhuǎn)發(fā)超過(guò)100 萬(wàn)的數(shù)據(jù)包。此外，亞馬遜還通過(guò)信任的路線圖規(guī)劃，推進(jìn)安全計(jì)算、可信執(zhí)行環(huán)境等下一代可信基礎(chǔ)設(shè)施技術(shù)的創(chuàng)新與落地。

其次，在數(shù)據(jù)安全方面，亞馬遜提供“數(shù)據(jù)加密引擎”等多種加密服務(wù)，使客戶應(yīng)用系統(tǒng)無(wú)感知地實(shí)現(xiàn)數(shù)據(jù)的加密，高效保護(hù)云上數(shù)據(jù)的機(jī)密性。同時(shí)還提供基于角色和策略的精細(xì)訪問(wèn)控制服務(wù)，確保用戶身份和敏感操作行為的可見(jiàn)性與審計(jì)性。亞馬遜的數(shù)據(jù)加密引擎每秒可以加密1 GB 的存儲(chǔ)數(shù)據(jù)。

最后，在安全運(yùn)營(yíng)與服務(wù)方面，亞馬遜通過(guò)其云平臺(tái)提供了強(qiáng)大的安全功能。亞馬遜云服務(wù)（Amazon Web Services， AWS）特別重視云平臺(tái)的安全性，為用戶提供了全面的安全保障措施。比如，AWS 提供了DDoS 防護(hù)服務(wù)，幫助客戶抵御大規(guī)模的分布式拒絕服務(wù)攻擊。同時(shí)，AWS 的Web 應(yīng)用防火墻可以幫助保護(hù)Web 應(yīng)用程序免受Web 層面的攻擊。此外，AWS 還提供主機(jī)安全解決方案，確保用戶的服務(wù)器安全運(yùn)行。服務(wù)和工具的綜合應(yīng)用，使得AWS 在處理潛在的安全威脅方面具有強(qiáng)大的能力，有效保護(hù)了用戶的數(shù)據(jù)和應(yīng)用。

4 結(jié)語(yǔ)

隨著云計(jì)算在行業(yè)中的廣泛應(yīng)用，其數(shù)據(jù)安全和隱私保護(hù)問(wèn)題日益受到關(guān)注。本文系統(tǒng)研究了云計(jì)算環(huán)境下面臨的安全威脅，并提出了多層面的安全防護(hù)對(duì)策，包括數(shù)據(jù)加密和訪問(wèn)控制、安全的云基礎(chǔ)設(shè)施和網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)備份和災(zāi)難恢復(fù)、安全監(jiān)控與審計(jì)等。這些機(jī)制能有效保護(hù)云平臺(tái)的數(shù)據(jù)機(jī)密性、完整性和可用性。在實(shí)踐部分，分析了亞馬遜在云安全領(lǐng)域的技術(shù)創(chuàng)新與全球認(rèn)證情況。可見(jiàn)，只有持續(xù)構(gòu)建全面、自動(dòng)化、智能化的云安全體系，讓用戶對(duì)云服務(wù)的安全性保障更有信心，云計(jì)算產(chǎn)業(yè)才能持續(xù)健康發(fā)展。未來(lái)還需要進(jìn)一步加強(qiáng)法規(guī)與標(biāo)準(zhǔn)建設(shè)，促進(jìn)服務(wù)提供商、用戶和監(jiān)管部門形成云安全生態(tài)共同體。