由于在云计算应用场景中,传统的安全威胁,如网络病毒、漏洞入侵、内部泄漏、网络攻击等依旧存在,因此这些安全威胁仍需要使用防病毒软件、入侵检测、4A、抗DDoS等技术或者安全设备去实现对云的保护。而与此同时,云计算的逐步应用正直接或者间接影响信息安全领域的进程,一些新兴的安全技术也在慢慢兴起。下面,我们简单列举一些云计算安全中使用到的一些关键技术。
(1)主机虚拟化安全
从现在产业趋势来看,由于IaaS模式技术相对成熟,因此从IaaS着手整合计算、存储、网络资源,再逐步发展PaaS、SaaS等其他各种云服务能力已经是云计算服务建设的主流思路。而基于虚拟化技术的弹性计算,正是IaaS的基础,因此主机虚拟化安全是IaaS建设方案中需要重点考虑的问题。在主机虚拟化中,Hypervisor和虚拟机这两个最主要的部分的安全性是最为重要的。
虚拟机管理器Hypervisor是用来运行虚拟机的内核,代替传统操作系统管理着底层物理硬件,是服务器虚拟化的核心环节,其安全性直接关系到上层的虚拟机安全。如果虚拟机管理器的安全机制不健全,被某个恶意虚拟机其漏洞或者某个协议端口获取了高级别的运行等级,就可以比操作系统更高的硬件调配权限,从而给其他客户带来极大的安全隐患。
在IaaS中,一台物理机器往往被划分为多台虚拟机器进行使用。由于同一物理服务器的虚拟机之间可以相互访问,而不需要经过之外的防火墙与交换机等设备,因此虚拟机之间的攻击变得更加容易。如何保证同一物理机上不同虚拟机之间的资源隔离,包括CPU调度、内存虚拟化、VLAN、I/O设备虚拟化,是当前IaaS模式下首要解决的安全技术问题。
(2)海量用户的身份认证
在互联网时代的大型数据业务系统中,大量用户的身份认证和接入管理往往采用强制认证方式,例如指纹认证、USB Key认证、动态密码认证等。但是在这种身份认证和管理主要是基于系统自身对于用户身份的不信任作为主要思想而设计的。在云计算时代,因为用户更加关心的云计算提供商是否按照SLA实施双方约定好的访问控制策略,所以在云计算模式下,研究者开始关注如何通过身份认证来保证用户自身资源或者信息数据等不会被提供商或者他人滥用。当前比较可行的解决方案就是引入第三方CA中心,由后者提供为双方所接受的私钥。(www.xing528.com)
(3)隐私保护与数据安全
用户隐私保护和数据安全主要包括各类信息的物理隔离或者虚拟化环境下的隔离;基于身份的物理或者虚拟安全边界访问控制;数据的异地容灾与备份以及数据恢复;数据的加密传输和加密存储;剩余信息保护等。在云计算应用中,数据量规模之巨已经远远超出传统大型IDC数据规模,同时不同用户对于隐私和数据安全的敏感度也各不相同。这里,我们主要讲一下用户最常面临和关心的加密传输和加密存储。
在云计算应用环境下,数据传输加密可以选择在链路层、网络层、传输层、甚至应用层等层面实现。主要的技术措施包括IPSec VPN、SSL等VPN技术,保证用户数据在网络传输中的机密性、完整性和可用性。对于云存储类服务,一般的提供商都支持对数据进行加密存储,防止数据被他人非法窥探。一般会采用效能较高的对称加密算法,如AES、3DES等国际通用算法,或我国国有商密算法SCB2等。在云计算中,如网盘等虚拟存储的应用也是非常常见的。在这种情况下,如果只是对退租用户VM磁盘中文件做简单的删除,而下一次将磁盘空间(逻辑卷)重新分配给其他租户时,就可能会被恶意租户使用数据恢复软件读出磁盘数据,而导致先前租户的数据泄漏。因此在进行存储资源回收时,需要使用软件技术对逻辑卷的每一个物理位进行清“零”覆写,保证磁盘空间重新分配给其他租户时不能通过软件方式恢复其原有数据。
(4)其他一些安全技术措施
当然,在云计算应用环境中,还有其他一些安全技术。例如PaaS服务商提供的开发平台以API方式提供各种编程环境,就可能由于API接口质量和安全没有得到保障而带来平台的平台可靠性、平台可用性、平台完整性等一系列安全问题。目前的技术解决方案有平台升级和Parley—X保护等。再例如SaaS模式主要面临的安全问题就是软件漏洞,因此主要的解决技术仍然是软件补丁、版本升级等。
科研人员也在不断研究以用户为中心的、而非以云计算提供商为中心的信任模型。一些安全公司也在研发基于客户端的隐私或者用户数据管理工具,帮助用户控制自己的敏感信息在云端的存储和使用。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
