云计算安全技术系统建构

本文作者：刘建伟、邱修峰、刘建华单位：北京航空航天大学

2010年3月云安全联盟的研究报告《云计算主要安全威胁》[3]指出云计算服务的主要威胁主要包括：云计算服务的滥用和恶意使用、不安全的接口和应用程序编程接口(APIs)、恶意的内部攻击者、共享技术的弱点、数据丢失与泄露和账号与服务劫持等。微软公司的《WindowsAzure安全笔记》[4]从审计与日志、认证、授权、部署管理、通信、加密、异常管理、输入与数据验证和敏感数据这9个方面分别论述了云计算服务的主要安全威胁。加州大学伯克利分校的研究人员在文献[5]中认为云计算中安全方面的威胁主要有：可用性以及业务连续性、数据锁定、数据的机密性和相关审计、大规模分布式系统的漏洞和相关性能的不可预知性等等。在文献[6-8]中指出云计算中最重要的安全风险主要有：违反服务等级协议，云服务商提供足够风险评估的能力，隐私数据的保护，虚拟化有关的风险，合约风险等。目前，云计算安全问题已得到越来越多的关注。著名的信息安全国际会议RSA2010将云计算安全列为焦点问题，通信学会理事会(CCS)从2009年起专门设置了一个关于云计算安全的研讨会。许多企业组织、研究团体及标准化组织都已启动了相关研究，安全厂商也已在研究和开发各类安全云计算产品[9]。

云计算服务模式下的移动互联网是一种复杂的、面临各种安全威胁的系统，因此必须研究和设计移动互联网环境下的云计算安全技术来抵抗和防御这些安全威胁，云计算安全体系结构是其研究基础和依据。许多研究人员和来自移动互联网相关领域的企业对如何设计和开发云计算安全技术体系架构均展开了相关研究。微软云计算平台WindowsAzure是微软于2008年在微软开发者大会上的全新的云计算平台，它基于平台即服务(PaaS)的思想，向开发人员提供了一个在线的基于Windows系列产品的开发、储存和服务代管等服务的环境。微软公司的《WindowsAzure安全笔记》[4]从改进Web应用安全的角度出发提出了一个基于应用安全、网络安全和主机安全概念化安全区域的云计算安全架构。其中应用安全关注应用审计与日志、认证、授权、应用部署管理、加密、异常管理、参数配置、敏感数据、会话管理和验证等问题；网络安全保障路由器、防火墙和交换机等的安全；主机安全所需要关注的相关问题则包括补丁和更新、服务、协议、记账、文件与目录、共享、端口、注册登记和审计与日志等。

Bell实验室的研究人员在文献[10]中提出一种支持资源无缝集成至企业内部网的云计算安全体系架构VSITE，在保持资源的隔离性和安全性的同时允许云服务提供商拓展资源为多个企业提供服务。云计算服务商提供的资源对企业来说就像是内部资源，VSITE通过使用VPN、为不同的企业分配不同的VLAN以及运用MAC地址对企业进行身份编码等技术手段来达到这个目标。VSITE体系架构由云服务中心、目录服务器、云数据中心以及监控中心等相关的实体组成，其监控中心设计了安全机制以防止企业与企业之间的相互攻击。VSITE具有可扩充性安全性以及高效性。亚马逊弹性计算云(AmazonEC2)是一个Web服务，它提供可调整的云计算能力。文献[11]中指出AmazonEC2使用了一个多级的安全体系架构包括主机的操作系统、操作系统的虚拟实例/客户操作系统、防火墙和签名的API调用等层次，目标是保护云端的数据不被未授权的系统和用户拦截，使得AmazonEC2实例尽可能安全而又不会牺牲客户按需配置的弹性。从服务模型的角度，云安全联盟(CSA)提出了基于3种基本云服务的层次性及其依赖关系的安全参考模型[6]，并实现了从云服务模型到安全控制模型的映射。该模型的重要特点是供应商所在的等级越低，云服务用户所要承担的安全能力和管理职责就越多。

从安全协同的角度，JerichoForum从数据的物理位置、云相关技术和服务的所有关系状态、应用资源和服务时的边界状态、云服务的运行和管理者4个影响安全协同的维度上分类16种可能的云计算形态[12]。不同的云计算形态具有不同的协同性、灵活性及其安全风险特征。云服务用户则需要根据自身的不同业务和安全协同需求选择最为合适的相关云计算形态。上述云安全体系结构虽然考虑了云计算平台中主机系统层、网络层以及Web应用层等各层次所存在的安全威胁，形成一种通用框架，但这种云安全体系架构没有结合移动互联网环境来研究云计算安全体系构建及相关技术。

移动互联网环境下的通用云计算安全技术体系架构的设计目标有以下6个方面：确保移动互联网下的不同用户的数据安全和隐私保护确保云计算平台虚拟化运行环境的安全依据不同的安全需求，提供定制化的安全服务对运行态的云计算平台进行风险评估和安全监管确保云计算基础设施安全、构建可信的云服务保障用户私有数据的完整性和机密性的基础

结合上述设计目标，考虑移动互联网接入方式、企业运营方式和用户安全需求的多样性，文章设计了一个移动互联网环境下的通用云计算安全技术体系架构（如图1所示），它具有多层次、多级别、弹性、跨平台和统一用户接口等特点。与云计算架构中的软件即服务(SaaS)、PaaS和基础设施即服务(IaaS)3个层次相应，文章首先设计了云安全应用服务资源群，包括隐私数据保护、密文数据查询、数据完整性验证、安全事件预警和内容安全服务等云安全应用服务。针对云计算虚拟化的特点文章还设计了云安全基础服务资源群包括虚拟机安全隔离、虚拟机安全监控、虚拟机安全迁移和虚拟机安全镜像等云安全基础服务，运用虚拟技术跨越了不同系统平台（如不同的操作系统）。同时移动互联网环境下的云计算安全技术体系架构中也包含云安全基础设施。由于用户安全需求方面存在着差异，云平台应具备提供不同安全等级的云基础设施服务的能力。

移动互联网环境下的云计算安全技术体系架构中的云安全基础设施的建设则可以参考移动通信网络和互联网络中云安全基础设施已有的相关建设经验。移动互联网环境下的云计算安全技术体系架构还包含一个统一的云安全管理平台，该平台包含用户管理、密钥管理、授权认证、防火墙、反病毒、安全日志、预警机制和审计管理等子系统。云安全管理平台纵贯云安全应用服务、云安全平台服务和云安全基础设施服务所有层次，对包含不同安全域和具有多个安全级别的整个系统的运维安全情况进行了跨安全域、跨安全级别的一系列综合管理。体系架构考虑了移动互联网环境下云用户的各种接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有统一的云安全应用服务接口，并提供手机多媒体服务、手机电子邮件、手机支付、网页浏览和移动搜索等服务，同时还可以提供隐私数据保护、密文数据查询、数据完整性验证、安全事件预警和内容安全等用户可以直接定制的安全服务。

同时，体系架构还考虑了整个系统参照云安全标准及测评体系的合规性检查。云服务商提供的应用软件在部署前必须由第三方可信测评机构系统地测试和评估，以确定其在移动互联网云环境下的安全风险并设立其信任等级，云应用服务提供商不可自行设定服务的信任等级，云用户就可能预先避免因定制未经第三方可信测评机构评估的安全云应用服务而带来的损失。云应用服务安全等级的测试和评估也给云服务提供商带来准入规范，迫使云服务提供商提高云服务的服务质量以及安全意识。

对用户而言，多用户私有资源的远程集中式管理与计算环境的开放性之间构成了尖锐的矛盾，主要表现为：用户资源的私有性和机密性要求其应用环境相对固定和稳定，而计算环境的开放性则会使私有数据面对来自多方的安全威胁。可以说，云服务提供商与用户之间的信任问题是云计算能否推广的关键，而数据的安全和隐私保护是云计算安全中极其重要的问题。解决该问题的关键技术涉及支持密文存储的密文查询、数据完整性验证、多租户环境下的隐私保护方法等。

云计算平台要统一调度、部署计算资源，实施硬件资源和虚拟资源的安全管理和访问控制，因此，确保虚拟化运行环境的安全是云计算安全的关键。在此安全体系之下，结合虚拟化技术，平台必须提供虚拟机安全监控、虚拟机安全迁移、虚拟机安全隔离以及虚拟机安全镜像等核心基础服务。各种服务模式的虚拟机都存在隔离问题引起的安全风险，这包括：内存的越界访问，不同安全域的虚拟机控制和管理，虚拟机之间的协同工作的权限控制等。如果云计算平台无法实现不同（也可能相同）云用户租用的不同虚拟机之间的有效隔离，那么云服务商则会无法说服云用户相信自己提供的服务是非常安全的。用户定制的各种云服务由虚拟机中运行相关软件来实现，因此存在虚拟机中运行的相关软件是否按用户需求运行的风险问题，例如运行的环境的安全级别是否符合需求和运行的流程是否异常等；虚拟机运行的预警机制与安全审计问题包括安全策略管理、系统日志管理和审计策略管理等。

云计算模式下的移动互联网是一种多源、异构服务共存的环境。与此同时，依据多租户的不同安全需求，满足不同等级的差异化云安全服务应以访问控制为手段，进行安全服务定制以及安全自适应。为了支撑移动互联网环境下云计算的安全准入，云计算安全体系同样需要针对运行态云计算平台的风险评估方法、安全测评方法以及支持第三方的安全审计等。移动互联网上的云计算安全监管体系一方面负责对移动互联网的内容安全监管和针对基于云计算的安全攻击的预警与防护；另一方面还负责对云服务提供商对云服务安全性的相关保障措施和执行情况进行审计。

在满足移动互联网多种接入方式、多种企业运营方式和不同参与者不同的安全需求的基础上，文章结合云计算技术，根据SeaaS的思想，设计了一个移动互联网环境下的通用云计算安全技术体系架构。整个体系架构提供给用户云服务的安全级别可以适用用户需求的差异化，还可以无缝融合不同的操作系统和异构的网络体系，给不同接入方式终端用户带来统一的操作模式。