作者:中国电信网络安全实验室
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
云计算安全——技术与应用试读:
前言
全球信息化进程不断加快,新一代信息技术日新月异,社会发展对信息服务的需求持续增长,已成为促进新一代信息技术产业发展的根本动力。继个人计算机、互联网变革之后,云计算作为第三次信息化浪潮的代表正在向我们走来,给人类生活、生产方式和商业模式带来根本性改变。云计算作为一种基于互联网,动态、可伸缩且以按需服务方式提供计算资源的全新计算和商业模式,不仅是技术革新驱动商业模式变革的产物,也是用户需求驱动的结果,这种创新的计算模式和商业模式将给整个信息产业带来前所未有的深远变革。
伴随着云计算市场规模快速扩大,成熟产业链正在形成之中,而安全仍然是云计算无法回避的重要话题。由于云计算系统规模巨大,承载了诸多用户隐私数据,以及前所未有的开放性和复杂性,使其安全性面临比传统信息系统更为严峻的挑战。从某种意义上讲,如何解决好其中的安全问题,是关系到云计算产业发展的关键。云计算的便利性和安全性随行相伴,云计算的发展使得网络计算超越了原有的物理界限,在促进诸多商业服务模式发展的同时也带来了严峻的安全挑战,安全性和隐私保护是当前用户评估采用云计算时最重要的考量因素。
当前我国一些地区发展云计算产业的热情高涨,出台了产业发展规划、行动计划,力图服务于本地区经济的发展。但也存在着需求不明确、盲目发展的问题,从而带来了严重的信息安全、信息监管方面的隐患,亟待加强规范和引导。因此,需要未雨绸缪,通过加强技术研发,健全法律法规等手段,不断完善云计算自身安全,以及云计算信息安全及隐私保护等问题,为云计算发展营造良好环境。
鉴于目前在国内云计算的概念及应用理念已被广泛接受,但人们对于云计算面临的安全风险、云计算安全体系架构、云计算应用安全防护关键技术,以及云计算安全运营要求等方面的内容了解较少,国内目前也鲜有系统性的资料可供参考。因此,我们编写了这本《云计算安全:技术与应用》,本书作为国内一本系统性介绍云安全的图书,阐述了云计算发展面临的安全问题及相应的安全技术、方案和最佳实践,为云计算的从业人员、使用者、潜在客户全面了解云计算安全风险、安全防护手段提供指南。
本书创新性地将云安全划分为云计算应用安全和安全云,即云计算应用自身的安全和云计算在安全领域的应用。在云计算应用安全方面,本书从技术、管理、法律、用户等多维度系统分析了云计算面临的安全挑战,深入浅出地探讨了云计算应用安全体系及关键技术,全面勾画了云计算应用安全防护架构,并针对目前热点的云计算应用实例提出了安全防护建设最佳实践。在安全云方面,本书从全新的视角诠释了安全云服务的定义和特征,引入面向业务应用模式的安全云服务层次模型的全新理念,深入探讨了安全云服务的技术实现、实施、部署和应用实践。
第1章在概要介绍云计算技术及理念的基础上,结合云计算的安全案例,对云计算带来的安全问题进行剖析,给出云计算安全的内涵,让读者对云安全有一个初步的整体认识。
第2章从技术、管理和法律等角度全面分析了云计算面临的安全挑战,并分别从个人用户、企业用户和云服务提供商的角度分析其所面临的安全风险,最后,从国家安全的战略高度,阐述了云计算对我国信息化进程带来的安全挑战。
第3章主要从云计算的应用模式、支撑性安全基础设施建设的角度,提出云计算应用安全体系,并对其中的身份认证与访问控制、数据加密与密钥管理等关键技术进行介绍。
第4章从云计算核心架构安全、云计算网络与系统安全防护、数据与信息安全,以及身份管理和安全审计四个层面系统阐述云计算应用的安全防护方案;并针对公共基础设施云和私有云分别提出安全防护策略应用建议。
第5章主要对云计算迁移过程中的相关应用流程和关键问题进行了系统梳理,包括迁移前的风险评估、迁移的主要步骤,以及迁移后的安全管理,并对典型的迁移场景进行了介绍。
第6章以业界当前应用较为广泛的云主机、云存储为例,从网络安全、虚拟机安全、数据安全、运营管理安全等方面探讨了如何进行云计算应用的安全防护建设。
第7章从全新的视角诠释了安全云服务的定义和特征,引入面向业务应用模式的安全云服务层次模型的理念,深入探讨了安全云服务的技术实现、实施、部署方式和应用策略。
第8章介绍安全云应用实践,阐述了安全云服务提供商和设备提供商在安全云应用中使用的各种技术解决方案,让读者能够更深入了解云计算技术在网络安全领域的具体应用。
第9章介绍云安全的业界动态,主要涉及当前研究云安全的国内外标准组织,业界知名的云安全厂商及其主要安全产品,使读者能够对当前的研究热点、技术发展动态有较为全面的了解。
本书大部分内容和应用案例来自于作者的实践经验和研究成果,并参考了大量的业界研究成果和相关技术资料;同时,本书的写作得到了中国电信集团公司和中国电信广州研究院的鼎力支持,在此一并表示感谢。
本书由中国电信网络安全实验室的金华敏、沈军、汪来富、何明、王帅、刘国荣、罗志强、余晓光、刘东鑫、樊宁等多位作者联合编写。由于作者水平有限,书中难免存在谬误之处,欢迎各位读者批评、指正。第1章 云计算安全概述1.1 云计算基础1.2 云计算与安全1.3 云计算安全内涵
云计算是当前发展十分迅猛的新兴产业,被认为是继微型计算机、互联网后的第三次IT革命,是互联网发展的大趋势。它不仅是互联网技术发展、优化和组合的结果,也为整个社会信息化带来了全新的服务模式,为形成信息化经济时代基于访问权的商业模式提供了可能,将对人类社会生活带来重大变革。现在,越来越多的国家把云计算发展提升到了国家战略层面,我国也将云计算作为新一代信息技术列为十二五规划重点扶植的战略新兴产业,各级政府和社会各界对此均高度重视并开始积极探索。
鉴于云计算在信息化进程中的战略地位,云计算安全的重要性也不言而喻,它不仅是广大用户选择云计算应用时的首要考虑因素,是云计算实现健康可持续发展的基础,也是网络安全领域新的探索。充分考虑并加强云计算安全不仅能增强用户对云计算服务的信心,促进云计算市场的成熟和发展,也能极大推动网络安全领域技术和应用的发展。本章将首先对云计算概念、架构及应用发展进行简略介绍,然后通过近期业界云计算应用典型安全案例分析云计算安全所带来的影响及面临的安全威胁,最后引申并总结出云计算安全的内涵。1.1 云计算基础1.1.1 云计算的定义和特征
从并行计算、分布式计算、网格计算、普适计算到云计算,整体计算技术的不断发展推动了整个互联网技术和应用模式的演变,互联网已进入一个全新的云计算时代。但在全世界“云计算热”的今天,对于“云计算究竟是什么”业界并没有达成共识,不同机构赋予云计算不同的定义和内涵,造成目前众说纷“云”的局面。以下给出几个较典型的云计算定义:
美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)认为,云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(例如,网络、服务器、存储设备、应用程序,以及服务)的公共集。这些资源可以在实现管理成本或服务提供商干预最小化的同时被快速提供和发布。
中国电子学会云计算专家委员会认为,云计算是一种基于互联网的大众参与的计算模式,其计算资源(包括计算能力、存储能力、交互能力等)是动态、可伸缩、被虚拟化的,以服务的方式提供,可以方便地实现分享和交互,并形成群体智能。
尽管各个机构对云计算有不同的理解,但从以上几个典型的云计算定义不难看出,云计算既是一种技术,也是一种服务,甚至还是一种商业模式。云计算是一种将池化的集群计算能力通过互联网向内外部用户提供自助、按需服务的互联网新业务、新技术,是传统IT 领域和通信领域技术进步、需求推动和商业模式转换共同促进的结果。云计算具备一些共性的特征,它通过虚拟化、分布式处理、在线软件等技术的发展应用,将计算、存储、网络等基础设施及其上的开发平台、软件等信息服务抽象成可运营、可管理的资源,然后通过互联网动态按需提供给用户。总体来说,云计算具有以下四个特征:
• 以网络为中心——云计算的组件和整体架构由网络连接在一起并存在于网络中,同时通过网络向用户提供服务。
• 以服务为提供方式——有别于传统的一次性买断统一规格的有形产品,用户通过云计算可以根据自己的个性化需求得到多层次的服务;云服务的提供者可以从一片大云中切割,组合或塑造出各种形态特征的云以满足不同用户的个性化需求。
• 资源的池化与透明化——对云服务的提供者而言,各种底层资源(计算/存储/网络/逻辑资源等)的异构性(如果存在某种异构性)被屏蔽,边界被打破,所有资源可以被统一管理、调度,成为所谓的“资源池”,从而为用户提供按需服务;对用户而言,这些资源是透明的、无限大的,用户无须了解资源池复杂的内部结构、实现方法和地理分布等,只需要关心自己的需求是否得到满足。
• 高扩展高可靠性——云计算要快速灵活高效安全地满足海量用户的海量需求,必须有非常完善的底层技术架构,这个架构应该有足够大的容量,足够好的弹性,足够快的业务响应和故障冗余机制,足够完备的安全和用户管理措施;对商业运营而言,层次化的SLA、灵活的计费也是必需的。
从云计算的定义和特征来看,云计算有别于传统的高性能计算和科学计算,它并不单纯是一种技术,还是一种服务模式,不论从技术、需求和商业模式等角度,云计算都是天然的适合于面向大众的开放式服务。首先,云计算的核心技术和业务主要基于中低端硬件和开放式架构(如x86体系的服务器、形形色色的开源项目、可共享的异构存储、分布式并行计算、以开放而获得强大生命力的互联网、开放式的业务提供平台和产业链聚合平台等),目前很多传统的高端计算已经显示出明显的向开放式架构迁移的趋势;其次,云计算的用户需求是人们对于低成本、高效率的信息化应用的需求;最后,云计算的商业模式是面向全社会的以网络为中心、按需付费的模式。
云计算也有别于个人终端计算,其按需定制能力、随时随地的提供能力,以及低廉的成本、丰富的应用、简易的操作维护使其相较于个人终端计算具备天然的优势。云计算可以按照特定用户的要求提供计算能力和网络能力,也可以提供任意所需的软件服务给个人用户。云计算的架构降低了对客户终端的要求,终端可以是任意计算机、手机、智能手持设备等,操作系统也不再重要,只需要能够联上互联网,运行浏览器即可。而同时,用户的应用却极大丰富和简单了,再也不需要为了打开某些格式的文件而安装软件,再也不用频繁地进行软件升级,不同终端之间共享信息也变得容易了。
从部署应用架构来讲,目前业界通常将云计算平台分为公有云、私有云和混合云等。其中公有云是IT业互联网化的体现,由公共客户共享,提供较为完整的IT应用外包的云计算服务。私有云则针对单个机构(例如一些金融机构或政府机构等)特别定制,专为该机构内部提供各类云计算服务。混合云表现为公有云和私有云等的组合,同时向公共客户和机构内部客户等提供相关云计算服务。1.1.2 云计算体系架构
前面提到,云计算不仅是一种技术,更是一种服务模式。从技术的角度看,它包括了多类互联网技术(包括虚拟化、分布式处理、在线软件等)的发展演进。然而当我们跳出技术的视野,从服务模式的角度来梳理云计算,会发现云计算所提供的三类服务模式几乎将整个IT生态系统全面覆盖,因此,从服务模式的角度理解云计算将更为清晰。
目前,普遍认为云计算的服务模式可以分为基础设施即服务(IaaS,Infrastructure as a Service)、平台即服务(PaaS,Platform as a Service)和软件即服务(SaaS,Software as a Service)三类。其中,IaaS通常面向企业用户,提供包括服务器、存储、网络和管理工具在内的IT基础设施,可以帮助企业削减IT资源的建设成本和运维成本。PaaS通常面向互联网应用开发者,提供简化的分布式软件开发、测试和部署环境,它屏蔽了分布式软件开发底层复杂的操作,使得开发人员可以快速开发出基于云计算平台的高性能、高可扩展的互联网应用。SaaS通常面向个人用户,提供各种各样的在线软件服务。这三类服务模式被认为是云计算体系架构的三个层次,但它们在技术实现上并没有必然的联系,SaaS可以在IaaS的基础上实现,也可以在PaaS的基础上实现,也可以独立实现;类似地,PaaS可以在IaaS的基础上实现,也可以独立实现。云计算体系架构如图1-1所示。图1-1 云计算技术体系
1.IaaS
IaaS是把计算、存储、网络及搭建应用环境所需的一些工具当成服务提供给用户,使得用户能够按需获取IT基础设施。它由计算机硬件、网络、平台虚拟化环境、效用计算计费方法、服务级别协议等组成。IaaS具有以下几个主要特点。
• 把IT资源当做服务传送给客户。
• 基础设施可动态扩展,即可以根据应用的需求动态增加/减少资源。
• 计费服务灵活多变,按实际使用的资源进行计费。
• 多租户,相同的基础设施资源可以同时提供给多个用户。
• 企业级的基础设施,使得中小企业可以从聚集的计算资源池中获利。
从业务上看,IaaS要把计算、存储、网络等IT基础设施通过虚拟化整合和复用后,通过互联网提供给用户。提供的IT基础设施要能够根据应用进行动态扩展,并按照实际的使用量进行计费。因此,要开展IaaS业务,需要重点解决资源提供和运营管理两个问题。目前,典型的IaaS应用有Amazon EC2/S 3、世纪互联CloudEx、Nirvanix、3Tera等。AT&T、NTT、BT等运营商也计划建立虚拟云为用户提供IaaS服务。
2.PaaS
PaaS是把分布式软件的开发、测试和部署环境当做服务,通过互联网提供给用户。PaaS可以构建在IaaS的虚拟化资源池上,也可以直接构建在数据中心的物理基础设施之上。与IaaS只提供IT资源相比,PaaS可为用户提供包括中间件、数据库、操作系统、开发环境等在内的软件栈,允许用户通过网络来远程开发、配置、部署应用,并最终在服务商提供的数据中心内运行。
从服务层级上看,PaaS在IaaS之上SaaS之下,实际上PaaS的出现要比IaaS和SaaS晚。某种程度上说,PaaS是SaaS发展的一种必然结果,它是SaaS企业为提高自己的影响力、增加用户黏度而作出的一种努力和尝试。SaaS企业把支撑应用开发的平台发布出来,软件开发商根据自身需求,利用平台提供的能力在线开发、部署,然后快速推出自己的SaaS产品和应用。目前提供PaaS平台的企业并不多,Salesforce公司的Force.com是业内第一个PaaS平台,PaaS的概念也由该公司提出;八百客的800APP是国内第一个PaaS平台;Google的App Engine和微软的Azure也都是典型的PaaS平台。此外,随着Hadoop开源PaaS平台的成熟,越来越多的IaaS企业开始尝试在自己的IaaS平台上部署Hadoop以提供PaaS服务,如Amazon、Yahoo、IBM等。
3.SaaS
SaaS是一种基于互联网来提供软件服务的应用模式,它通过浏览器把服务器端的程序软件传给千万用户,供用户在线使用。SaaS提供商为用户搭建信息化所需要的所有网络基础设施及软硬件运作平台,并负责所有前期的实施、后期的维护等一系列服务;而用户则根据自己的实际需要,向SaaS提供商租赁软件服务,无须购买软硬件、建设机房、招聘IT人员,即可通过互联网使用信息系统。SaaS具有以下几方面的特点。
• 多重租赁性和自定制性。SaaS提供商只需提供一套软件系统就能够同时支持多个租户。客户可结合实际需求,定制个性化的SaaS软件。
• 可扩展性和灵活应变性。SaaS可以通过参数应用、自定制空间、集成器,把多个不同的在线应用软件服务重新整合,形成新的软件服务,具有良好的可扩展性。此外,对SaaS应用程序的使用是动态的,用户能够根据市场需求变化,随时对应用软件作出调整,以应对新需求。
• 经济性。SaaS提供商只需要维护和升级一套软件系统,无须提供售后技术服务,从而降低了软件的维护和售后服务费用。用户以租赁的方式在线使用SaaS软件,不用购买软硬件、建设机房、招聘IT人员等,减少了前期投资、设备维护费、软件授权费等。
• 在线工作性。SaaS通过互联网提供软件托管服务,简单易用。在线软件一般容易操作,在服务器端自动升级,无须安装任何插件或软件;不需要专职人员维护,随时随处可以操作,从而为用户带来了极大的便利。
• 可配置性。在SaaS模式下,所有实例都使用相同的代码实施,供应商提供详细的配置选择,用户可以根据自己的实际需要选择配置。
SaaS的出现实际上先于云计算概念的提出,目前已经有相当多的企业在提供SaaS服务,其中最成功的当属Salesforce公司,它的在线CRM、ERP等业务的成功运营使其成为首家年度收入达10亿美元的云计算企业。Google Docs是Google在SaaS领域的重要尝试,由于它操作简易、成本低廉且协同工作方便,越来越多的企业和个人已开始放弃微软Office应用程序。八百客被认为是国内企业对Salesforce公司的成功复制,提供在线CRM、进销存、OA等SaaS服务。随着云计算技术的逐渐成熟,SaaS将以更快的速度向前发展,未来软件业必将朝着在线运营的方向发展。1.1.3 云计算应用现状
云计算最早由Google等国外厂商提出,并随互联网技术的进步迅速发展。目前在国外云计算理论已经较为成熟,网络上既有成熟的商业应用,也有成熟的企业/内部云架构方案,美国等政府机构的介入,更是推动了国外云计算的快速发展。在国内云计算发展起步较晚,目前仍处于起步阶段,但随着运营商、厂商、应用商和科研机构对云计算研究的不断深入,国内的云计算也呈快速发展趋势。
在各国国家战略层面,一些发达国家的政府已开始积极部署、主导国家云计算发展。比如,美国一方面积极在军事领域部署云计算架构,另一方面也大力支持其IT公司的全球云计算发展战略。英国在最近发布的“数字英国报告”中,呼吁加强政府的云计算部署。而韩国也计划在2014年前向云计算投入巨资,争取将其相关企业的全球云计算市场占有率提高至10%。
在云计算服务市场应用层面,云计算服务在降低企业、政府、个人的信息化建设成本和运营维护成本方面的优势获得了越来越多的认可,许多全球500强企业、国外重要政府部门都已经在使用云计算服务处理内部数据和管理流程。
在云计算服务提供厂商方面,众多互联网知名厂商群雄逐鹿,抢夺云计算市场这块“蛋糕”,积极研发和推出相关云计算产品和服务。以下对Google、亚马逊、IBM、微软、红帽等几家主要云计算厂商的产品进行简单介绍。
Google是最早提出云计算概念的厂商,其云计算服务起初主要面向个人客户,近几年逐步涉足企业用户领域,陆续推出了Google Docs、Google Apps、Google Sites、Google App Engine等一系列云计算应用和平台,以SaaS或PaaS的模式向用户提供。此外,Google针对其提供的搜索等服务构建了内部的云计算基础架构,包括集群的文件系统、大规模分布式数据库BigTable、MapReduce分布式编程环境,以及分布式的锁机制Chubby等四个相互独立又紧密结合在一起的系统,从而优化其内部的网络基础架构。
亚马逊是互联网上最大的在线零售商,也是最早提供远程云计算平台服务的公司。亚马逊主要以IaaS的模式面向企业用户提供亚马逊网络服务(Amazon Web Services,AWS),该服务提供四类核心服务,包括简单存储服务(Simple Storage Service,S3)、弹性计算云(Elastic Compute Cloud,EC2)、简单消息服务(Simple Queuing Service,SQS)、简单数据库(SimpleDataBase,SDB)等。其中S3向用户提供可伸缩、可靠、高可用、低成本的云存储能力;EC2提供弹性的技术资源能力;SQS提供不受限的可靠消息传递;SDB则提供可伸缩、包含索引且无须维护的数据集存储,以及数据处理和查询能力。
IBM从2007年开始推出“蓝云计划”,通过构筑云数据中心面向企业提供IaaS服务,目前已形成一系列的云计算解决方案,包括软件开发测试云、SaaS云、创新协作云、高性能计算云、云计算IDC、企业云等,同时还为企业提供一个可快速部署的云计算平台,使企业能够快速体验到云计算所带来的优势。此外,IBM结合其提出的“智慧的地球”理念推出“物联网云”和“分析云”解决方案,为各种物联网应用提供统一的服务交付平台和一个自服务的统一商业智能分析环境。
微软基于Windows技术和市场的优势推出了三类云计算解决方案,即Live和Online解决方案、WindowsAzure平台(WindowsAzurePlatform)解决方案,以及动态数据中心(DynamicDataCenterToolkit)解决方案。其中Live和Online解决方案既有针对消费者的服务,也有针对企业的服务,包括操作系统、办公软件、即时通信、邮件、中间件、应用管理软件等系列产品。WindowsAzure平台解决方案作为一个运行在微软数据中心的云计算平台,包括一个云计算操作系统和一个为开发者提供的服务集合。动态数据中心解决方案面向云计算数据中心的优化和管理,企业可以基于该方案快速构建内部私有云平台,服务提供商也可以基于该方案在短时间内搭建云计算服务平台对外提供服务。
红帽提供的云计算服务以开源为特征,包括混合云和私有云构建平台CloudForms,以及PaaS平台OpenShift。其中CloudForms是类似于亚马逊弹性云技术的纯软件云计算平台,支持服务器、存储设备及网络环境的异构性,可搭建在HP、IBM、Dell等异构服务器,EMC、Dell、IBM、NetApp等异构存储设备,以及IP、IPX等异构网络环境之上,并具有较高的可扩展性。OpenShift是一款开源的PaaS平台,支持多种语言开发。
随着越来越多的互联网厂商介入云计算市场,云计算应用将日益丰富。通过各国政府、厂商、用户等多方面的推动,云计算时代也将进入飞速发展的阶段。有人预言,未来,云计算将成为类似水电、煤气的公共基础设施,但目前,在云计算技术和服务的标准化、云计算技术和产品的开放性和互操作性、“纯云”和“云+端”应用模式、可运营性、云计算安全等方面还需进一步研究完善。1.2 云计算与安全
伴随着云计算市场规模的快速扩大,云计算将逐渐成为互联网的核心,使用云计算服务的企业和机构,其数据与信息安全将严重依赖于云计算服务所提供系统的保密性和安全性。一旦掌握了云计算数据中心就控制了互联网信息,进而控制了互联网,这无疑给国家信息安全、企业安全和个人隐私保护带来了前所未有的挑战。近年来发生的众多云计算安全事件更是给云计算的发展敲响了警钟。整个云计算产业链开始日益关注云计算的安全,国家将信息安全提升到国家安全的战略高度,云计算服务提供商纷纷研发相关技术保障自身云计算应用的安全,用户在选择云计算应用时也将安全性作为首要考虑因素。而在关注云计算安全时,我们也不能忽视云计算带给网络安全产业的影响,众多安全厂商大张旗鼓地推出其基于云计算架构的安全产品,也将进一步促进安全市场的产业格局调整。本节主要从近年来典型云计算安全案例出发,分析云计算本身的安全性,以及所面临的安全威胁,并简要讨论云计算给网络安全应用带来的影响。1.2.1 云计算安全案例
一个新生事物的诞生总是伴随着很多的问题,然后才逐步走向成熟,云计算也不能例外。近年来日益频发的云计算安全事件让我们日益深刻地认识到云计算安全的重要性,以及加强云计算安全的紧迫性,安全事故的发生也让我们能够冷静下来,重新审视整个云计算架构,找到那些曾经忽视的薄弱环节并加以改进。下面就让我们回顾一下近年来发生的影响深远的云计算安全事件。
1.事件一:亚马逊云数据中心多次瘫痪
2009年2月和7月,亚马逊的“简单存储服务”两次中断,导致依赖于网络单一存储服务的网站被迫瘫痪。亚马逊解释称服务中断是由于鉴定请求的数量增多造成的。
2011年4月22日,亚马逊云数据中心服务器再次出现大面积宕机,这一事件被认为是亚马逊史上最严重的云计算安全事件。
2.事件二:微软的云计算平台Azure故障
2009年3月17日,微软的云计算平台Azure停止运行约22个小时。虽然微软没有给出详细的故障原因,但有业内人士分析,Azure平台的这次宕机与其中心处理和存储设备故障有关。尽管当时Azure平台正处于测试期,影响范围仅限于测试客户,但Azure平台的宕机可能引发微软客户对该云计算服务平台的安全担忧,也暴露了云计算的一个巨大隐患。
3.事件三:GoogIeGmaiI邮箱爆发全球性故障
2009年2月24日,谷歌的Gmail电子邮箱爆发全球性故障,服务中断时间长达4小时。谷歌事后给出的事故原因为:位于欧洲的数据中心进行例行性维护时,一些新的程序代码出现问题导致欧洲另一个数据中心过载,于是连锁效应就扩及其他数据中心接口,最终酿成全球性的断线,导致其他数据中心也无法正常工作。
4.事件四:Rackspace云服务中断
2009年6月,Rackspace遭受了严重的云服务中断故障,出现供电设备跳闸、备份发电机失效、不少机架上的服务器停机的现象。这场事故造成了严重的后果,给Rackspace公司的声誉造成严重的不良影响。同年11月,Rackspace再次发生重大的服务中断。
5.事件五:SaIesforce.com宕机
2010年1月,约6万8千名的Salesforce.com用户经历了至少1个小时的宕机。本次事故是由于Salesforce.com自身数据中心的“系统性错误”,包括备份在内的全部服务发生了短暂瘫痪的情况,导致服务发生较长时间中断。
6.事件六:Terremark宕机事件
2010年3月,VMware的合作伙伴Terremark发生了7小时的停机事件,造成了受影响用户的自身服务瘫痪。对于事故原因,Terremark官方解释是:Terremark失去连接导致迈阿密数据中心的vCloudExpress服务中断。此次停机事件,让许多客户开始怀疑其企业级的vCloudExpress服务,险些将vCloudExpress的未来断送。
7.事件七:Intuit因停电造成服务中断
2010年6月,Intuit的在线记账和开发服务经历了大崩溃,包括Intuit自身主页在内的线上产品近两天内都处于瘫痪状态,大约一个月后,Intuit的QuickBooks在线服务在停电后瘫痪。这个特殊的服务中断仅仅持续了几个小时,但是在如此短时间内发生的宕机事件也引起了人们的关注。
8.事件八:微软爆发BPOS服务中断事件
2010年9月,微软在美国西部几周时间内出现至少三次托管服务中断事件,导致使用微软北美设施访问BPOS(BusinessProductivityOnlineSuite)服务的客户遇到问题,这次故障持续了两个小时,并在随后几天又出现两次服务中断。这是微软曝出的一次重大的云计算安全事件。
9.事件九:谷歌邮箱再次爆发大规模的用户数据泄露事件
2011年3月,谷歌邮箱再次爆发大规模的用户数据泄露事件,大约有15万Gmail用户在周日早上发现自己的所有邮件和聊天记录被删除,部分用户发现自己的账户被重置。这是Google历史上第一次出现故障导致用户整个账户消失。
众多的安全案例引发了人们对云计算安全的思考,加剧了用户对云计算应用安全的担忧。以上安全案例中的安全事件大多是由云计算中心的网络、系统或应用程序某处故障引起,由于其用户、信息资源高度集中,所带来的安全事件后果与风险,以及波及的范围也较传统应用高出很多;同时从Gmail用户数据泄漏事件也折射出用户数据保护在云计算应用中的重要性。安全问题如果解决不好,将会严重制约云计算的可持续发展。那么云计算的安全性究竟如何,需要从哪些方面审视云计算所面临的安全威胁从而采取相应的应对措施,这正是下一节将要重点介绍的内容。1.2.2 安全:云计算发展的关键
IDC在2009年底发布的一项调查报告显示,云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。该三大挑战排名同IDC于2008年进行的云计算服务调查(如图1-2所示)结论完全一致。2009年11月,ForresterResearch公司的调查结果显示,有51%的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。从这些调查数据我们可以认为,安全性是客户选择云计算应用时的首要考虑因素,已成为影响云计算应用发展的关键要素,因此,在提供一项新的云计算服务之前,我们需要首先深入分析其安全性,全面考虑其所面临的安全威胁。
云计算服务体现了社会化、集约化和专业化等特点,能够提供高效、节能、协同、安全、智能的各类互联网应用,但其作为一种互联网技术发展及服务模式的演进,本身就以传统互联网技术为基础,因而也不可避免地存在信息系统普遍面临的共性安全问题,而且随着技术的发展演进也将带来新的安全问题。从系统安全的角度看,云计算所带来的机遇和挑战并存。图1-2 用户对云计算的主要需求
一方面,云计算通常采用瘦终端的方式将数据和信息高度集中存放于云端,易于实施对核心数据的集中管理,避免由终端造成信息的泄露及大量分散终端难于管控的问题。同时,借助于远程卸载等云计算中心对客户端的管控能力,云计算能够有效保护客户端不受恶意程序侵害。因此,云计算的出现可以解决目前存在的部分安全问题。
另一方面,云计算应用使得IT资源、信息资源、用户数据、用户应用高度集中,尽管这一特性能解决终端安全管控的问题,但是凡事都有两面性,这种高度集中也将产生单点故障问题,而且一旦云计算应用系统发生故障,对用户的影响将非常大。同时,云计算应用数据的无边界性、流动性等特性,也使其面临较多新的安全威胁,无法应用传统的安全防护措施,如传统的安全域划分、网络边界防护等安全机制难以保障云计算数据访问控制的安全需求。而云计算应用数据、API的开放性,也使其更容易遭受外界的攻击,安全风险增加。此外,云计算应用的数据分布式存储,给数据的安全管理,例如数据隔离、灾难恢复等增加了难度。因此,云计算的出现也为系统安全引入了新的潜在问题,主要包括由于病毒、非法入侵、权限控制与防护机制不力、意外灾难等导致数据丢失、被破坏、窃取,以及数据传输安全等。
抛开云计算在安全方面的增强,以及其所面临的与传统互联网服务共性的安全问题,我们更应该关注云计算所引入的潜在的安全问题,也就是由于云计算本身的特点所带来的特定安全风险。总体来说,云计算所面临的安全风险主要包括以下三个方面。
1.服务可用性风险
用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析能力等提出了挑战。同时,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。此外,云计算应用由于其用户、信息资源的高度集中,更容易成为各类拒绝服务攻击的目标,并且由拒绝服务攻击带来的后果和破坏性将会明显超过传统的企业网应用环境。在前面所介绍的安全案例中有大部分安全事件就是由于云计算服务平台发生故障导致服务不可用所引起的。
2.用户信息滥用与泄露风险
用户的资料存储、处理、网络传输等都与云计算系统有关。如果发生关键或隐私信息丢失、被窃取,对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求,如何实施有效的安全审计,对数据操作进行安全监控,如何避免云计算环境中多用户共存带来的潜在风险,都将成为云计算环境下所面临的安全挑战。
3.法律风险
云计算应用地域性弱,信息流动性大,信息服务或用户数据可能分布在不同地区甚至国家,在政府信息安全监管等方面可能存在法律差异与纠纷。同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
上述三大安全风险正是云计算应用在建设发展中需要着重研究解决的三个重要方面。从技术角度来看,传统的互联网安全技术仍然适用于云计算应用的安全部署,只不过由于云计算的特点及所面临的特定安全风险,其对某些安全技术有特别的需求,同时由于云计算引入虚拟化、分布式处理、在线软件等技术并进行充分的发展演进,在这些新技术和新应用的安全保障上也需要针对其特定需求采取一些新的安全技术手段。而从非技术的角度来看,云计算应用自身的安全保护需要集中政府、企业乃至广大个人用户等多方力量共同应对:一方面,在国家层面制定和完善相应法律法规,制定云计算服务标准和准入机制,扶持具备信息安全运营资质的信息服务提供商,提供具有自主知识产权或主导运营的云计算服务,建立健全相应的审查及保障机制;另一方面,在企业和广大用户层面加强云计算安全意识,普及云计算安全知识,在云的各个接入端最大程度降低潜在的安全风险。1.2.3 云计算:安全领域的新宠
云计算作为互联网技术及服务模式的发展演进,本身不可避免地存在安全问题,通过各类网络安全技术的实施能够促进云计算的部署和实施;与此同时,云计算理念也对网络安全领域产生了巨大的影响,成为近年来网络安全领域讨论和研究的热点。前面我们已经对云计算应用自身安全的重要性及面临的安全风险有了大概的了解,下面将讨论云计算对于网络安全领域的影响。
在1.1节已经提到,云计算不仅是一种技术,更是一种服务模式,它改变了传统互联网服务和应用的模式。在网络安全领域,云计算引入的最大影响恰恰是对于传统网络安全服务模式的改变,它为网络安全应用提供了新的服务模式,将网络安全本身作为一种服务,以SaaS、PaaS、IaaS的模式向用户提供,本书第7章将详细探讨网络安全服务的几类服务模式。目前越来越多的安全厂商已经认识到云计算服务模式对于网络安全应用的价值,提出了安全即服务的理念,并积极推出各类安全即服务的产品,事实上,安全即服务的市场也在迅速扩大,有数据表明,这种类型的安全服务正以每年12%的速度在增长。
而从技术的角度来看,云计算技术应用于网络安全领域也能为网络安全技术和服务的发展起到极大的促进作用。目前网络攻击行为呈现商业化的趋势,传统的网络安全系统与防护机制在防护能力、响应速度、防护策略更新等方面越来越难以满足日益复杂的安全防护需求。如基于传统的病毒代码防护技术、基于特征的入侵防御技术越来越陷入困境,病毒代码库越来越大,更新和扫描操作严重影响网络和系统性能,原有的网络安全产品存在平滑扩容难、不能按需服务、利用率较低等问题。云计算技术可实现超大规模的分布式计算能力、海量存储能力,以及网络化提供能力,可全面满足网络发展对安全系统和防御机制的性能要求,例如可提升对新威胁的响应速度、提升对病毒样本的收集能力、提升对恶意代码收集及应急响应能力等,同时也为实现全网安全防御提供了可能,例如通过集中控制、分布式部署的协同机制实现全程全网的DDoS攻击防护等。
网络安全产品的“云化”是目前云计算在网络安全领域的主要应用之一。一方面,在网络安全设备层面可以结合虚拟化技术,实现灵活、按需扩展的系统架构,另一方面,利用云计算中心的强大数据运算与同步调度能力,在对海量安全事件进行关联分析的基础上,可在第一时间将补丁或安全策略分发到各安全节点,极大地提升网络安全设备对新威胁的响应速度和防护处理能力。此外,安全互联网化也将改变过去网络安全设备单机防御的思路,通过全网分布的安全节点、安全云中心超大规模的计算处理能力,为实现统一策略动态即时更新、全网协同防御提供了可能。
正因为如此,越来越多的安全厂商加入云计算的阵营,通过安全系统、设备等的云化或构建集中的云安全中心,为企业和个人用户提供基于云计算的安全服务,如瑞星的“云安全”计划、McAfee的云技术杀毒软件、EMC的RSA云可信权威服务、思科的云火墙等。随着基于云计算的安全服务技术和应用的发展,云计算应用在安全领域的这一分支也将大放异彩,带来安全即服务市场的繁荣。1.3 云计算安全内涵
当提到“云计算安全”这个词,人们自然而然会联想到云计算应用面临的安全风险,以及相应的安全保护措施,也就是在上述1.2.2节中所讨论的云计算自身的安全。事实上,国外研究机构对于“CloudSecurity”的解释,也主要指的是云计算应用自身的安全。当前主流云计算服务提供商及研究机构所关注的重点也是云计算应用自身的安全。
而在国内,近年由传统防病毒厂商提出来的“云安全”这个名词,其主要思路是将用户和厂商安全中心平台通过互联网紧密相连,组成一个庞大的对病毒、木马、恶意软件进行监测、查杀的“安全云”,每个用户都是“安全云”的一个信息节点,用户在为整个“安全云”网络提供服务的同时,也分享所有其他用户的安全成果。这实际上是云计算理念在安全领域的一个具体应用。这也正是我们在上述1.2.3节中所探讨的云计算技术、理念的提出对于安全领域的影响所产生的结果。
尽管不如人们对云计算的理解那样百花齐放,业界对云计算安全的认识及研究应用也逐步呈现了上述的两大分支。正如本章前面所提到的,云计算应用的无边界性、流动性等特点,引发了很多新的安全问题。安全已成为影响云计算应用发展的一个关键要素,各云计算服务提供商都在积极探索研发相关安全技术来保证云计算应用的安全;而同时云计算技术也对传统安全技术及应用产生了深远的影响,基于云计算的安全应用已成为当前网络安全领域研究和讨论的热点,各传统安全厂商都纷纷采用云计算技术来提升安全服务的效能。
综合以上的分析,从完整意义上来说,云计算安全的内涵包含两个方面:一方面是“云上的安全”,即云计算应用自身的安全,如云计算应用系统及服务安全、云计算用户信息安全等;另一方面是云计算技术在安全领域的具体应用,即通过采用云计算技术来提升安全系统的服务效能,如基于云计算的防病毒技术、挂马检测技术等。前者是各类云计算应用健康、可持续发展的基础,后者则是当前安全领域最为关注的技术热点。当然,这两方面也并非完全独立,在具体应用中两者之间存在一定的交集,例如当某一安全技术采用云计算理念进行优化改进之后用于保障云计算应用的安全性,在本书后面提到的基于生物特征的访问控制技术就是这样的实例;又如某一基于云计算的安全服务需采用云计算应用安全技术来保障其云计算平台的安全性等。
为便于区分,本书将前者定义为云计算应用安全(Securityin Cloud Computing),而将后者定义为安全云计算,简称安全云(SecurityasaCIou Sevice)。本书将围绕这两方面的内容而展开,其中第2章到第6章主要阐述云计算应用面临的安全挑战、安全体系及关键技术、云计算应用的安全防护技术及方案,以及云计算应用安全实践及案例分析;第7章到第8章主要阐述安全云技术及应用理念、安全云的应用实践及案例分析;第9章则主要对云计算应用安全和安全云的发展动态进行概要介绍。第2章 云计算面临的安全挑战2.1 云计算带来的安全挑战2.2 云计算用户面临的安全挑战2.3 云服务提供商面临的安全挑战2.4 云计算与信息化
由于云计算系统规模巨大,承载了诸多用户隐私数据,以及前所未有的开放性和复杂性,因而其安全面临比传统信息系统更为严峻的挑战。
云计算服务基于宽带网络,特别是互联网提供,面临各类传统安全威胁,且安全问题随系统规模化而被放大。传统IT系统中各个层次存在的安全问题在云计算环境中仍然存在,如系统的物理安全、网络安全、主机安全及应用安全等,且在云计算环境下被放大了若干倍。
另一方面,和传统的计算模式相比,云计算具有开放性、分布式计算与存储、无边界、虚拟性、多租户、数据的所有权与管理权分离等特点,同时,云中包含大量软件和服务,以各种标准和协议为基础,数据量庞大,系统非常复杂,因而在技术、管理和法律等方面面临新的安全挑战。云计算系统中存放着海量的重要用户数据,对攻击者来说具有更大的诱惑力,如果攻击者通过某种方式成功攻击云系统,将会给云计算服务提供商和用户带来重大损失,因此,安全性面临着比以往更为严峻的考验。
云计算面临的安全挑战,成为个人和企业等各类用户选择云计算服务时的主要顾虑,但不同用户在选择云计算服务时对安全的要求和考虑点又有所不同。个人用户关注个人隐私,担心隐私可能泄露的方式;企业用户则更关注敏感数据安全和业务连续运营,因而更关心数据控制权问题,以及如何选择服务提供商、如何界定与服务提供商的安全责任、如何确保服务的连续性等。
信息化是推动经济社会变革的重要力量,大力推进信息化,是覆盖我国现代化建设全局的战略举措。云计算作为一种新兴技术和商业模式,其发展和运用将加速信息产业和信息基础设施的服务化进程,推动全社会信息化水平不断提高,给我国信息化带来机遇。但其安全问题也是信息化所面临的挑战,如何掌握自主技术,如何通过立法保障云计算服务规范性、应对各类安全挑战,是国家信息化主管部门需要考虑的问题。2.1 云计算带来的安全挑战
随着云计算的兴起,业界针对云计算安全存在的问题开展了一些研究工作。早在2008年6月,美国权威的IT研究与顾问咨询公司Gartner就发布了《评估云计算的安全风险》报告,从供应商的安全能力角度分析了云计算面临的安全风险。报告认为云计算主要存在7大安全风险,即优先访问权风险、管理权限风险、数据位置风险、数据隔离风险、数据恢复风险、调查支持风险和长期发展风险。云安全联盟CSA在发布《云计算关键领域安全指南》之后,也发布了一份云计算安全风险简明报告,主要从攻击者角度归纳了云计算环境可能面临的主要威胁,罗列出了最为常见、危害程度最大的7种威胁:滥用和恶意使用云计算、不安全的接口和API、不怀好意的内部人员、基础设施共享问题、数据丢失或泄露、账户或服务劫持,以及其他未知的风险。
Gartner和云安全联盟的报告,分别从用户选择服务提供商以及攻击者的角度分析了云计算所面临的安全风险。实际上,云计算安全风险既包括技术风险,也包括管理和法律方面的风险,上述报告对其中的主要风险进行了归纳,本章将从云计算技术、管理和法律这几个方面分别详细阐述,力求全面分析云计算面临的各类安全风险。2.1.1 云计算技术安全挑战
云计算是由规模经济驱动的大规模分布式计算模式,通过这种计算模式,实现抽象的、虚拟的、可动态扩展、可管理的计算、存储、平台和服务等资源池由互联网按需提供给外部用户。从技术角度来看,云计算系统和传统IT系统类似,包括终端、网络、服务器(集群)和应用系统/支撑系统等几个部分,简化的系统结构如图2-1所示。图2-1 云计算系统结构简化图
相应地,传统IT系统中各个层次存在的安全问题在云计算环境中仍然存在,如系统的物理安全,主机、网络等基础设施安全,应用安全等。对大部分传统安全风险,本章将不再赘述,而重点阐述与云计算特点关系密切的几个关键技术问题。
1.身份假冒:云计算面对的首要威胁
云计算基于网络提供服务,所有的应用都放置于云端。与其他网络应用相同,由于网络的虚拟性,确认使用者的身份、确保身份的合法性是其面对的首要问题。一旦攻击者获取到用户的身份验证信息,假冒合法用户,用户数据将完全暴露在其面前,其他安全措施都将失效,攻击者将可以为所欲为,如窃取、修改用户数据,窃听用户活动,恶意消费等。因而,身份假冒是云计算面对的首要安全威胁。
用于识别用户身份的信息可能在客户端、网络传输和服务器等各个环节被窃取,对于复杂性不高的口令,甚至可能被用户猜到。因此,合适的认证机制及管理对于确保身份识别信息的安全性,从而提高云计算系统的安全至关重要。“在互联网上,没有人知道你是一只狗”,1993年美国杂志《纽约客》的一幅漫画(图2-2)形象地说明了虚拟网络世界中确认用户身份的重要性。而在云计算中,身份保护及其认证安全的重要性更为凸显。图2-2 《纽约客》杂志关于网络虚拟性的漫画
2.共享风险:云计算特有的安全风险
云计算中,软硬件平台通过虚拟化为多个用户所共享,从而实现IT资源利用效率和灵活性的最大化,优化资源使用,节约能源和硬件设备,并简化管理,有效降低成本,这是云计算得以发展的关键。
但是虚拟化技术也引入了比物理主机更多的安全风险。由于传统安全策略主要适用于物理设备,如物理主机、网络设备、磁盘阵列等,而无法管理到每个虚拟机、虚拟网络等,因而使得传统的基于物理安全边界的防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。虚拟化使得访问控制、认证和授权更为困难,从而使得恶意代码的传播和感染主机变得相对容易。另外,虚拟机的软件特性会使存储在其上的数据因为其意外终止而消失,也会使其上的数据随着虚拟机一起扩散到不安全的地方。由于各虚拟机共享物理内存,用户的机密数据有可能通过内存泄露,或者黑客利用虚拟机进行拒绝服务攻击。因此,云计算服务可信性必须解决虚拟计算平台软件的安全,特别是虚拟机管理软件的安全。
由于云计算服务是多租户共享的,如果用户之间的隔离措施失效,一个用户完全有可能侵入另一个用户的数据,或者干扰其他用户应用的运行。而且,很有可能出现竞争对手共用一台服务器的情况,甚至专门从事黑客活动的用户使用云计算服务,企图干扰、破坏用户正常服务的运行,这显然存在很大的安全隐患。
3.数据安全风险及隐私泄露:用户最为关注的问题
对于用户而言,数据的安全性和隐私保护是其最为关注的问题。数据安全方面的风险包括数据泄露、数据篡改和数据丢失,可能发生在数据传输、处理、存储的各个环节。
用户在使用云计算服务的过程中,不可避免地要通过互联网将数据从其主机移动到云上,并登录到云上进行相应的管理。在此过程中,不安全的客户终端可能被黑客控制或者运行木马程序,导致重要数据从终端泄露或者被篡改。
用户数据在网络传输过程中,如果没有采取足够的安全措施,也同样面临着被泄露(如图2-3所示)和篡改(如图2-4所示)的风险。图2-3 网络传输中数据泄露的风险图2-4 网络传输中数据篡改的风险
云计算中,用户数据存储在云端,对于用户来说是透明的:用户并不清楚自己的数据被存储在哪几台服务器上,这增加了其对安全性的担忧。云服务提供商都会对数据的存储采取隔离措施,并对访问权限进行控制,但是如果防护不当,也可能被其他用户访问,导致数据被泄露、篡改甚至丢失。实际上,2009年3月,Google Docs系统就曾出现错误,导致他人可以访问用户的私密文件。此外,存储设备的硬件故障、管理员的误操作也可能导致数据丢失。
由于云计算硬件资源共享,存储资源被重分配给新用户之前,如果没有进行完整的数据擦除,新用户可能通过数据恢复技术还原之前用户的数据,从而导致数据泄露。在用户发出删除指令之后,云计算平台如果没有彻底删除存储于平台的所有数据,也可能被非法恢复,导致数据泄露。
4.云计算平台业务连续性:影响大量用户、危害巨大
云计算平台以多种标准和协议为基础,包含虚拟机管理软件、操作系统、中间件及各类应用系统等大量软件,系统非常复杂,很难避免漏洞的存在,防护不当的计算和存储会导致用户的私密数据被非授权用户非法访问。如Amazon的AWS主页所用的签名算法就曾存在漏洞,而使其SimpleDB和EC2受到了影响。
云计算平台聚集了大量用户应用和数据资源,因而更容易成为黑客的攻击目标,因为一旦攻破它就能获得大量的“战利品”。同时,集中的资源放大了云平台故障的危害。云平台集中了大量用户的计算和数据,一旦遭受黑客攻击或其他软硬件故障,会导致大量用户计算的异常终止和数据丢失,危害巨大。
另外,云计算平台上的计算和数据处于云服务提供商的控制之下,通过分析用户的行为,云服务提供商能够获知用户的隐私信息。用户也难以监管其程序和数据的使用情况,无法确认程序和数据是否得到正确的保护,是否会被滥用、窃取或篡改,删除的数据是否还存在云上等。如果内控措施不足,云服务提供商的员工也可能盗取用户的私密信息,给用户带来不可估量的损失。
云计算平台中的大量廉价的资源也很可能被犯罪分子利用作为犯罪的工具。犯罪分子可以利用它们来发动DDoS攻击、暴力破解密码、散播非法信息、发布恶意软件等。
5.不安全的接口:使云服务面临直接暴露的风险
开放性是云计算的重要特征之一,云计算服务按照不同应用层次,把硬件、平台和应用软件等按照一定的商务模式,提供标准API接口开放给用户,由用户将其集成到上层应用,按需进行使用。由于这些API由云计算服务直接对外开放,用户用之管理及与服务交互,因此,从某种意义上说,API的安全性体现了云计算服务的安全性。
不安全的API将使云计算应用面临极大风险。如API访问密钥的丢失,将使攻击者能够直接访问用户数据,导致敏感数据泄露;通过API实施注入攻击,可能篡改或者破坏用户数据。如果由于API的漏洞,导致攻击者绕过虚拟机管理器的安全控制机制,获取到系统管理权限,将给云计算服务带来灾难性的后果。2.1.2 云计算管理安全挑战
数据的所有权与管理权分离是云计算服务模式的一个重要特点。由于用户并不直接控制云计算系统,对系统的防护依赖云计算服务提供商,而云计算服务提供商对用户的上层应用并不清楚,因此双方需要在安全界面上达成一致。安全责任不清,很可能带来新的安全风险。用户使用云计算模式,也就放弃或降低了诸多影响安全问题的决策权和管理权。用户将所属的数据外包给云计算服务商或者委托其运行所属的应用时,云计算服务商就获得了该数据或应用的优先访问权。在这种情况下,云计算服务提供商的管理规范程度、对合同的履行情况、双方安全界面的划分、服务提供商的连续服务能力将直接影响到用户应用和数据的安全性。
云计算管理方面的安全挑战主要有以下几个方面。
1.人员管理风险
• 内部人员管理风险
云计算服务提供商的内部人员,特别是具有高级权限管理员的失职,将可能给用户数据安全带来很大威胁,如导致用户数据泄露,甚至将其盗卖给竞争对手。
• 用户管理风险
云服务提供商如果对用户登记管理不严,任何人或组织都可以注册并立即使用云服务,将为网络犯罪分子滥用云计算提供便利,网络犯罪分子将可以进行攻击或发送恶意软件,危及其他用户的安全。
2.安全责任风险
云计算服务提供商和用户安全职责的划分,与云计算的几种服务模式(IaaS、PaaS、SaaS)相关,服务层次越高,服务提供商的安全职责就越多,用户职责则越少,如图2-5所示。数据安全保障需要采取综合保护措施,由服务提供商和用户共同承担;信息内容安全则主要由用户负责,但服务提供商也负有一定的监管职责。图2-5 云计算服务安全职责划分
3.合规风险
用户在使用云计算服务前,都会和云计算服务提供商签署协议,但服务提供商是否履行了服务协议,则是使用服务的一个风险。如用户使用习惯隐私是否被记录或分析、用户数据是否被正确存储在其指定区域、不需要的数据是否已被彻底删除等,而当云服务提供商未按约定履行义务时用户可能也无法监测。
4.运营管理风险
• 多层服务模式风险
云计算的发展趋势之一是IT服务专业化,云计算服务提供商在对外提供服务的同时,自身也需要购买其他云服务商所提供的服务。因而用户所享用的云服务间接涉及多个服务提供商,多层转包无疑极大地增加了问题的复杂性,也进一步增加了安全风险。
• 连续运营风险
理想情况下,云计算提供商将不会破产或被大公司收购。但是用户仍需要确认,在发生这类问题的情况下,自己的数据会不会受到影响。用户需要确认云服务提供商如何拿回自己的数据,以及拿回的数据是否能被导入到替代的应用程序中。
5.安全监管风险
云计算服务模式,也给安全监管带来了挑战。云计算平台的测评与认证和传统方式相比发生了根本性的变化。我国实行的等级保护安全测评体系正在建设中,主要针对一个信息系统的静态模式和框架来实施,一旦动态变化,整个体系将会发生变化,它的安全等级划分和边界都将无法确定,实际上带来了巨大的挑战。此外,由于云计算平台规模庞大、体系复杂,给信息安全等级保护体系和规范也带来了新的问题。对于网络空间监管而言,现有监管预警体系主要针对传统的Web等开放式网络环境,而针对云计算业务的监管与控制则难以实施,因而给司法机关打击网络犯罪带来了侦破、取证和责任认定等多方面的困难。
云计算的高度动态性增加了网络内容监管的难度。首先,云计算所具有的动态性特征使得建立或关闭一个网站服务较之以往更加容易,成本代价更低。因此,各种含有黄色或其他不良内容的网站将很容易以打游击的模式在网络上迁移,使得追踪管理难度加大,对内容监管更加困难。其次,云服务提供商往往具有国际性的特点,数据存储平台也常跨越国界,将网络数据存储到云上可能会超出本地政府的监管范围,或者虽然同属多地区或多国的管辖范围,但这些不同地域的监管法律和规则之间很有可能存在着严重的冲突,当出现安全问题时,难以给出公允的裁决。2.1.3 云计算安全法律风险
信息安全的实质是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏。在信息安全保障体系的建设中,法律环境的建设是必不可少的一环,也可以说是至关重要的一环。信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务的明确、违反信息安全行为的处罚等,都要通过相关法律法规予以明确。
云计算的虚拟性及国际性特点催生出了许多法律和监管层面的问题。首先,云计算应用具有地域性弱、信息流动性大的特点,信息服务或用户数据可能分布在不同地区甚至国家,在政府信息安全监管等方面可能存在法律差异与纠纷,不同国家有不同的司法系统,这就会带来潜在的法律风险。将数据存储到云上或许会突破本地政府的监管范围,而这是监管部门通常所不允许的;即便允许,当出现冲突时,应该遵从哪一方制定的规则也是个问题。另外,如果出现了安全问题,谁应该为此负责,例如不同国家对数据丢失责任、数据知识产权保护、数据的公开政策的司法解释可能是不一样的。同时,由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
1.主要国家/经济体关于计算机犯罪的立法情况
发达国家在维护信息安全方面已建立了较为完善的法规体系。比如美国,既是世界上第一个引入信息战概念的国家,也是信息安全法律规范体系建设较系统的国家,历来重视打击危害信息安全的犯罪行为,以国内法弥补国际法的不足,并坚持持续更新,不断强化信息安全的法律保护。
欧盟的《网络犯罪公约》是第一部反网络犯罪的国际性公约,它明确了网络犯罪的主要形式包括以下几类:
• 侵犯计算机数据或系统的机密性、完整性及可用性的犯罪,具体罪名包括非法访问、非法截获、数据干扰、系统干扰和设备滥用等。
• 与计算机相关的犯罪,包括与计算机相关的伪造犯罪、诈骗犯罪等。
• 与内容有关的犯罪,包括与儿童色情有关的犯罪。
• 侵犯著作权及相关权利的犯罪。
当前世界各国的法律基本上都涵盖了以上几方面,但由于在政治、文化、经济等方面的差异,在信息安全相关法律上也存在着较大差异。表2-1列出了我国与欧美国家在信息安全保护立法方面的主要差异。表2-1 我国与欧美国家在信息安全保护立法方面的差异
信息安全相关的法律,大部分同样适用于云计算,但与传统信息系统的差异性,使得云计算在法律方面也存在不少争议,很多国家已经开始讨论在法律上对其加以规范,适用原有的数据保护法、隐私法或者有针对性地制定相关法律。但不少问题具有全球性,除了各国在各自管辖权范围内完善法律法规外,在国际层面的立法努力将更有助于云计算的发展和安全保护。
2.跨境法律管辖权风险
由于互联网上没有国界的限制,使用云计算服务时,数据有可能存放在世界各地任何角落的数据中心里,用户并不清楚自己的数据储存在哪里,甚至不知道位于哪个国家。即使云计算服务提供商是本国企业,其使用的数据中心也有可能在国外,因而不能直接受本国法律法规的管辖。存放在他国的数据有可能依据所在国法律被审查,在发生事故之后,遭受损失的用户可能无法通过本国的法律手段获得相应的赔偿或追讨。这在保密性要求很高的领域是不可接受的。比如,由于存在跨境风险,法国政府颁布了法令禁止政府官员使用黑莓手机。因为保存黑莓信息的服务器位于美国、英国和加拿大,在某些情况下,那可能会给法国政府造成威胁,比如国家安全署或联邦调查局可能会窃取其中的数据。
传统的刑事管辖主要包括以下几个原则。
• 属地原则。凡是发生在本国领域内的一切犯罪活动,无论是本国人还是外国人都适用本国刑法。属地管辖建立在国家对于领域内的主权基础上,这是刑事管辖权最古老的国际法原则,也是一切法系国家行使管辖权的最基本原则。
• 属人原则。即以一个人是国家的公民为前提,本国人犯罪适用本国法律。
• 保护原则。该原则要求,在国外犯有危害这个国家主权和安全罪行的外国人,当其进入该国境内时,对其行使管辖权。
• 普遍管辖原则。是以保护国际社会的共同利益为标准,凡发生国际条约所规定的侵害国际社会共同利益的犯罪,不论犯罪人是本国人还是外国人,也不论犯罪地在本国领域内还是在本国领域外,都适用本国刑法。
一般国家大多不单纯采用一种管辖原则,而是采用几种管辖原则相结合的原则,确立自己的管辖范围。我国刑法第6~11条规定确立了我国的刑事管辖原则,即以属地为基础,以属人管辖为原则,保护管辖和普遍管辖为补充的刑事管辖原则。刑法第8条规定,外国人在中国领域外对我国和我国公民犯罪,可以适用我国刑法,但有严格的限制。其限制条件有如下几条。
A.犯罪行为侵害了我国和我国公民的利益。
B.按我国刑法规定最低刑必须是3年以上有期徒刑。
C.按犯罪地的法律规定也应受处罚。
根据这些条件,如果外国人在中国领域外犯罪,即使我国刑法规定最低刑为三年以上有期徒刑,但按其犯罪地的法律不受处罚的话,也不能适用我国刑法(如图2-6所示)。这方面在国外已有先例。1997年克罗地亚三名中学生在互联网上利用计算机破译了美国国防部五角大楼的计算机系统密码口令,侵入美国军事计算机系统,将美国战略战术导弹部署、军事卫星用途等高级机密文件资料饱览一通后从容退出。事后美国向克罗地亚提出引渡这三名中学生到美国受审的要求,遭到克罗地亚的拒绝,就是因为克罗地亚的刑法不承认计算机入侵为犯罪。图2-6 云计算面临跨境管辖权的风险
在云计算应用中,更为复杂的情况是云服务用户(数据资产所有者)、云计算应用使用者(数据消费者)、云服务运营商、应用系统、数据存储地点、入侵者分属不同的国家,数据还可能存储在多个国家,而产生更为错综复杂的司法管辖权问题,这给世界各国都带来了挑战。
3.信息监管和隐私保护风险
许多国家或地区都有严格的隐私保护法,禁止将某些数据存储在本国或本地区外的物理机器上,对违反这些法律的组织及其管理层通常将进行严厉处罚。任何在云中存储敏感数据的组织必须能够证明其云服务提供商从不将数据存储在某个特定地理区域以外的物理服务器上。
不过,各国在信息监管、隐私保护方面也有较大差异。在美国,涉及爱国者法、萨班斯法及保护各类敏感信息的相关法律。爱国者法案授权美国的执法者为反恐目的,经法庭批准后,不经允许地接触到任何人的个人记录。这意味着,如果你使用位于美国的服务器或位于美国的云计算服务提供商,美国执法者为了反恐调查的目的,可以通过取得一个法庭命令的方式,不经你的允许而检查你的数据。加拿大也有类似的规定,它的反恐法案和国防法赋予了国防部长检查数据保存的权力。美国爱国者法的第326章还要求所有的金融机构(包括信用卡公司)获取、证明和记录每一个账户中开户、变更和付费人的信息。萨班斯法案(Sarbanes-Oxley)的颁布也为数据保护提供了法律依据,适用萨班斯法案的企业在使用云计算服务的时候必须确保他们的云服务提供商符合萨班斯法案的要求。
法、德等国积极推动下的欧盟2001年《网络犯罪公约》在涉及密码监管内容时作出了如下规定,“各方应当采取必要的立法和其他措施,以授权其主管机构能够要求:1)管辖范围内的个人提交存储于计算机系统或数据存储介质中的个人占有或控制下的特定计算机数据;2)管辖范围内的服务提供者提交其占有或控制下的服务用户信息”。
欧盟1995年通过了《数据保护指令》(即欧洲议会和理事会1995年10月24日关于涉及个人数据处理的个人保护及此类数据自由流动的95/46/EC指令),通常称为“一般指令”。对于云计算,最主要的规定是,在缺乏特定承诺机制的情况下,欧盟禁止居民的个人信息转移出欧盟到美国和世界上大部分国家。这对云计算意味着如果用户想将包含欧盟居民个人信息的数据放到云上(这些个人信息可能是简单如一个邮件地址或雇佣信息),将这些数据从欧盟传送到世界上的几乎任何地方,需要至少符合以下条件之一。
• 国际安全港认证,允许数据从欧盟传送到美国,但不包括到其他国家。
• 格式合同,允许数据从欧盟传送到非美国的其他国家。
• 有约束力的公司规则(即根据欧盟数据保护法制定的跨国公司、国际组织跨境传送个人信息的规则)。
由于云计算可能涉及多层服务提供商,并不一定能满足格式合同的要求,同时也不一定能满足针对跨国公司设计的公司规则的要求,对于这类云服务提供商,其存储的欧盟居民个人信息将被禁止转移到欧盟之外。
4.计算机犯罪取证风险
计算机犯罪取证又称数字取证或电子取证,是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看做犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。
传统的计算机取证必须按照以下步骤执行:收集犯罪现场或是被捕获地点的媒体内容;保存媒体内容;验证、分析、诠释、文档化,以及法庭上呈现检查结果。在传统的计算机取证中,媒体所包含的证据须在捕获时刻起法律实施范围以内。由云计算所造成的取证挑战将来自于对证据的控制,包括收集、保存和检验。
由于云计算基于网络存储,因而必须保证这些数据存储服务能够满足法定的保护数据的时间期限要求,以便在法律诉讼等法律行动事件中,可以提供所需数据。
但数据可能分布存储在不同的地方,在跨司法管辖范围的时候,证据的收集存在困难,甚至可能只能取得部分证据。云计算虚拟性也对证据收集带来了挑战,由于资源动态分配,在重新分配时,数据会被清除,不利于证据的收集。
多租户、虚拟化使云计算取证面临如何分离数据的技术问题,云计算服务提供商必须能够把虚拟化的数据组合为一个副本并且隔离法院要求的数据,同时还要保护其他用户的敏感数据的秘密。如果不能提供这个数据,法院很可能会把整个硬件拿走,这对于云计算服务提供商来说是一个非常可怕的结果。2.2 云计算用户面临的安全挑战
从用户的角度来看,在云计算环境下,用户对于应用运行和数据存储的物理环境缺乏必要的管理和控制权限,安全性建立在对云提供者的信任基础之上,而没有监控和审核的信任往往又是最不安全的。因此,用户必须充分意识到云计算这种服务模式固有的安全风险,特别是在相关的法律法规还不健全,第三方监督还没有有效建立的情况下,必须考虑与云服务提供者达成详细的有约束力的契约。
使用云计算的各类用户一般都会很注重数据安全性,但不同用户在选择云计算服务时对安全的要求和考虑点又有所不同。个人用户关注个人隐私,担心隐私可能泄露的方式,以便更好地保护隐私;企业用户则更关注敏感数据安全和业务连续运营,因而更关心数据控制权问题,以及如何选择服务提供商、如何界定与服务提供商的安全责任、如何确保服务的连续性等。2.2.1 个人用户
对个人用户而言,使用云计算服务,主要关注的是隐私保护问题。云计算需要为用户提供安全可靠的数据存储和网络服务,但在这种新的模式下,用户的数据不是存储在本地计算机上,而是存储在远程服务器中,这增加了数据保密性的隐忧。
1.客户端隐私风险
云计算是以现有的分布式网络为基础,网络上的每一台计算机都可以被认为是一个节点。当计算机联网以后,就成为互联网的一部分,如果没有有效的安全保护,云中的每一台计算机都可以通过一定的手段访问到其他节点。比如一些商业性的公司利用cookie窥探用户上网的活动、浏览过的网页;利用僵尸程序实现对别的电脑的控制;掌握用户在云中使用了哪些服务等。可以说用户的任何操作都会在自己的电脑上留下痕迹,并可以通过一定的途径获得。在云计算模式下数据异地集中存储,对客户来说,信任问题可以说是实现云计算的关键问题,但如果云计算运营厂商数据中心的数据安全没有得到有公信力的第三方在制度上的保证,则很难消除用户把数据放进运营商的数据中心的安全疑虑。
2.网络传输风险
对于云计算提供的IaaS、PaaS、SaaS这三种服务,用户使用时,可以像直接调用本地资源一样方便,而网络传输的过程是必不可少的,如果由于技术原因导致服务中断,几乎所有的数据都存放在云中,用户也只能是束手无策。云计算故障事件已经多次发生,如亚马逊S3服务的中断、GoogleApps服务的中断、Gmail服务中断等。
网络传输过程中面临的隐私问题还包括数据包被非法窃取,非法攻击,非法修改、破坏等。可见,网络传输的稳定和安全是云计算普及要关注的重要问题。
3.服务器端风险
据报道,谷歌曾向部分在线文档和电子表格服务用户发送通知称,曾在未经用户许可的情况下,误将用户的部分文档进行共享。虽然受此安全事件影响的用户文档比例不足0.05%,但却为云计算的安全问题敲响了警钟。云计算的隐私安全问题大部分在服务器端。云计算模式下数据集中存储,物理资源共享带来了新的数据安全和隐私风险,很难再依靠机器或网络的物理边界防护得到安全保障,因而增加了服务器端数据和用户管理的难度。
服务器端安全风险,主要源于以下几个方面。(1)人员管理。指所有可以登录云计算平台的各类人员的管理,包括云服务提供商、运维人员、客户等。首先,对于众多云服务提供商来说,如何保证客户的数据不被其他云服务提供商非法窃取与利用是一项重大问题。其次,运维人员要负责数据的存储和备份,并根据不同数据的安全级别,对数据进行分类管理。在这一过程中,运维人员需要登录客户的系统,并对数据进行分析,如何保证这些特权用户不危及用户数据安全,是云服务提供商需重视的问题。最后,云计算客户位于世界各地,并且同一时间在线用户的数量、注册用户的数量不断变化,对用户认证、权限控制、访问审计、攻击防护等进行控制,保证用户的登录权限并正确访问自己的资源,也是云计算需要解决的一大问题。(2)存储安全。云计算的存储安全主要涉及数据隔离、数据的存储位置、数据恢复、数据的长期生存性等问题。一旦将数据存储在云中,对数据的控制权就转移到了云服务提供商手中,某些不法分子可能利用非法手段从云服务提供商获取客户的隐私资料,这比从客户或其他途径获得数据会相对容易。其次,客户不能确定数据在云中的存储位置,难以评估其安全性。此外,客户端还存在数据无法访问的风险,如果云计算设施出现故障,数据是否还存在,能否保证数据的长期生存性,这些对客户来说都是模糊的。(3)云服务提供商的监管和审计。云计算环境下,所有数据的存储和操作都要涉及“云端”的资源,安全由云服务提供商负责。但云计算为客户提供的服务难以达到完全的透明,客户对云内部的处理过程、数据的存储位置等信息并不了解,如果发生意外,客户并不清楚数据将面临什么样的情况。2.2.2 企业用户
对于企业用户而言,应用云计算的最大障碍在于人们对其安全性的担忧。首先,商业公司提供的云计算服务是不是安全可信,用户是不是能将包括商业机密等关键信息数据放心地托管出去。其次,云计算赖以生存运行的各种网络环境是否安全。一旦网络出现堵塞或遭到攻击而瘫痪,所有的服务都可能完全中断,从而引发大规模安全事件。第三,云计算这种技术本身及相关的软硬件设备是否安全。2009年3月,提供云计算服务的谷歌公司的在线办公软件GoogleDocs爆出安全漏洞,用户存储的部分文档被共享,但是文件的所有者却毫不知情。这些问题对当前各国的信息安全管理在理念和机制上都提出了新的要求。
1.失去控制权的风险
当转向基于云计算的计算服务时,企业必须把许多问题的控制权交给云计算服务提供商。这可能会对安全带来负面影响。
传统模式中,应用程序安装在自己的计算机上,数据存储在本地,用户对数据具有完全的控制权,但是采用云计算后,企业将对物理设备、数据存储失去控制权,甚至不知道数据存储于何处、程序运行在哪台机器。云计算服务提供商具有比用户优先的访问权,服务提供商管理员是否会窃取商业秘密,成为了企业用户最为关注的安全问题。
企业不仅失去了对物理设备的控制权,对主机系统、应用程序的管理也将受限。传统上,企业用户可以通过端口扫描、安全漏洞扫描和入侵检测等技术手段对系统进行安全评估。然而,云计算系统多租户的特性,使用户的操作可能对其他用户造成影响,因而需要遵循双方签署的服务协议。
2.服务中断/迁移的风险
云计算服务基于网络提供,当企业把运营系统迁移到云计算系统后,一旦与云计算平台的网络连接中断或者云计算平台出现故障,造成服务中断,将影响到企业的正常运营。
目前云计算服务还没有统一的标准,各服务提供商之间的系统接口互操作难度较大。从传统的IT系统迁移到云计算系统,以及云计算系统之间的迁移,需要遵循各服务提供商的标准。如果在服务过程中,需要更换云服务提供商,应用和数据的迁移将存在一定的风险。
特别地,当云服务提供商退出服务时,存放在云计算系统的企业数据能否顺利取回,也是企业面临的较大的风险。
3.服务连续性风险
维护业务的持续性是一个企业必须具备的操作预案,以确保一些关键的业务功能对客户、提供商、监管机构和其他必须能够访问这些功能的实体是可用的。这些活动包括许多常规操作,如项目管理、系统备份、控制更改。灵活性是系统必须具备的一个特征,它使系统本身能够适应自然或人为事件所造成的灾难性故障后果。
在非云计算环境下,保证业务的连续性是公司或者组织的职责。公司或者组织理应制定计划,执行业务连续性。因为公司或组织拥有完备的IT基础设施,有能力和资源开发有效的业务连续性计划。在使用云的情况下,企业维护业务持续性的责任必须授权下放给云服务提供商。公司或组织失去了制定和执行业务连续性计划的控制权。因此,万一出现灾难,在大的灾难发生时没有足够能力保证业务连续性的公司或组织可能会遇到危险。
4.安全责任风险
非云计算环境下,企业自行承担系统安全责任;云计算服务中,系统的安全责任由云服务提供商和企业共同承担,因此在服务界面上可能存在分工不清、责任不明的风险。
5.云服务提供商选择风险
在美国上市的企业须遵循萨班斯法案,该法案对IT内控具有严格要求,这类企业在使用云计算服务时,对于服务提供商的选择也必须符合相关规定。
萨班斯法案是美国政府出台的一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,为公众公司的外部审计创建了一个新的监督体制,并把对财务报告的内部控制作为关注的具体内容。所有在美国上市的公司,包括在美国注册的上市公司和在外国注册而于美国上市的公司,都必须遵守该法案。
法案明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。要求上市公司必须在年报中提供内部控制报告和内部控制评价报告;上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价。为了达到条款的要求,上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。
在很多公司内部,财务报告流程是由IT系统驱动,无论是ERP还是其他系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说,IT是保证财务报告内部控制的有效性的基础,为了遵循萨班斯法案,也要对IT内部控制的有效性予以评估。
对于这类将IT系统移植到云计算平台的企业,为了满足法案的内控要求,在使用云计算服务的时候必须确保他们的服务提供商符合萨班斯法案的要求。2.3 云服务提供商面临的安全挑战
作为一种新型的计算模式,云计算的运营有别于传统IT业务,对云计算服务提供商带来的安全挑战,主要体现在两方面:一是云计算系统安全防护的挑战,云计算将基础设施、平台或软件以服务的形式提供给用户,为保证用户服务的不间断提供和保护其数据安全,须确保底层设施可靠、稳定运行,并采取必要防护措施保障用户数据安全;二是对安全运营体系、管理模式方面的挑战,云计算服务跨地域提供、强大的计算能力、数据管理权与所有权的分离等特点,有别于传统的业务,要求服务提供商通过有效的管理,使分支节点能够相互配合联动解决安全问题,并确保内部管理人员不会超越权限,用户不会滥用云计算资源,危害云计算基础设施以及其他用户应用、数据的安全,同时须对运营范围内的信息安全履行必要的监管职责。
云计算服务稳定、可靠和安全提供是云计算业务得以持续开展的前提。
1.云计算服务运营在技术层面面临着诸多安全挑战。
云计算的技术特点,使云计算服务提供商面临着诸多安全挑战,如动态虚拟化管理及多租户共享模式带来的运行环境安全问题;缺乏清晰的安全边界;资源复用的威胁,多个虚拟资源很可能会被绑定到相同的物理资源上,可能导致信息泄露;虚拟化软件缺陷的威胁、软件中存在的安全漏洞,导致用户的数据可能被其他用户访问;在开放平台服务带来的用户代码运行安全问题等。为了规避以上风险,云计算服务提供商必须对云进行系统、全面的安全加固,不仅要在网络层面,在云中部署针对性的安全防护产品,更需要从系统层面,建立完善的密钥管理、权限管理、认证服务等安全机制。
2.云计算服务跨地域提供,以及系统的庞大和复杂,也给云服务提供商现有的安全运营管理体系带来了挑战。
传统的IT业务系统,用户数据通常集中存储在服务提供商的单一系统或者某个分支节点的子系统中,系统基础设施和业务数据的运营管理与组织对应,各分支节点运营相对独立,管理比较简单,如图2-7所示。图2-7 传统IT业务运营管理模式
而云计算运营管理模式则发生了很大变化,系统基础设施和数据的管理不再一一对应,如图2-8所示,数据可能分布在多个存储区域。一旦系统出现故障或者遭受攻击,需要相关节点配合联动,给系统安全运营管理带来了很大挑战,对运维人员也提出了更高的要求。
数据管理权与所有权分离是云计算的一个重要特点,云计算服务提供商的管理人员具有比用户更高的管理权限,这是用户对云计算安全担忧的一个重要原因。作为云计算服务提供商,除了采取必要的技术措施之外,如何对管理人员的权限进行合理分配、制定有效的管理制度和流程,以遏制管理人员泄露用户机密数据,也是云计算服务提供商需面对的一个挑战。图2-8 云计算业务运营管理模式
3.云计算平台强大的计算能力,可能吸引攻击者利用计算资源从事非法行为,甚至是进行恶意攻击,给云计算服务的安全运营带来巨大的挑战。
云计算平台可为用户提供更强大更廉价的计算能力,然而云计算平台既不能识别用户的使用目的,也不能区分这一计算任务是合法的还是非法的。对云计算的不当使用将对当前信息安全体系带来极大的冲击,因为利用云计算可大大提升计算的效率和能力,也会给非法行为带来便利,如利用云计算资源破译口令和系统密码。
针对云计算平台的安全攻击将带来更为严重的安全问题,一旦云计算服务平台被攻击者控制,安全漏洞被利用,云用户身份被盗用,攻击者就可能利用云服务平台庞大的网络资源、用户身份资源、计算资源,组织类似DDoS的大规模攻击行为。按照云计算对计算资源根据实际使用付费的方式,这一受控客户将在并不知情的情况下为黑客发起的资源连线偿付巨额费用。不仅如此,与以往DDoS攻击相比,基于云的攻击更容易组织,破坏性更大。而一旦攻击的对象是云计算服务提供商,势必影响大批用户,所造成的损失就更加难以估量。由于云计算服务平台的动态特性,对于此类攻击难以定位和追踪。2.4 云计算与信息化
信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。大力推进信息化,是覆盖我国现代化建设全局的战略举措,是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。云计算是一种新兴技术和商业模式,其发展和运用必将加速信息产业和信息基础设施的服务化进程,催生大量新型互联网信息服务,带动软件产业格局的整体变革,推动全社会信息化水平不断提高。云计算产业是我国战略性新兴产业,2011年发布的《我国国民经济和社会发展十二五规划纲要》中也明确指出要大力发展云计算等产业。
信息技术发展给人类社会带来了巨大进步,成为推动经济发展和社会进步的重要推动力。与此同时,国与国之间信息领域的争夺也日益激烈,控制信息权成为新的战略制高点,世界主要国家都将信息安全提高到了前所未有的高度,将信息网络安全纳入国家安全战略,采取不断完善网络信息安全立法、建立网络信息安全保障体系等措施维护国家的信息安全。例如美国一直高度重视信息安全问题,把确保信息系统安全列为国家安全战略最重要的组成部分之一,采取了一系列旨在加强网络基础设施保密安全方面的政策措施。美国是世界上第一个引入网络战概念的国家,也是第一个将其应用于战争的国家。为防止“网络911”事件的发生,美国组建了网络黑客部队,严防网络恐怖袭击。2011年5月,美国司法部、国土安全部等六大部门在白宫发布了《网络空间国际战略》。在政策重点部分,列出了七大政策,涵盖了政治、军事、经济等各方面的网络政策,其中四条跟网络安全相关。在军事领域与盟友通力合作,应付21世纪网络所面对的威胁。其中明确指出,如果网络空间遭到严重威胁,美国将动用一切可用手段,包括军事手段。这充分证明了美国在维护网络利益上的强硬态度。
同样,我国政府也高度重视信息安全,将其提升到了国家安全的战略高度。2004年中共十六届四中全会通过的《中共中央关于加强党的执政能力建设的决定》和2006年十六届六中全会通过的《中共中央关于构建社会主义和谐社会若干重大问题的决定》,都明确提出了“确保国家政治安全、经济安全、文化安全、信息安全”,将信息安全和政治安全、经济安全、文化安全并列为国家安全的四大范畴,如图2-9所示。图2-9 国家安全四大范畴
信息安全已经与政治安全、经济安全、文化安全等共同成为国家安全的重要组成部分。
云计算作为新的互联网应用模式,其超大规模、虚拟化、高可靠性、通用性和资源复用率高等特点,将彻底改变旧有的互联网应用模式,被称为信息技术领域里的又一次革命,代表了未来信息技术领域的核心竞争力。云计算在颠覆原有互联网应用模式的同时,也给国家安全带来了新的挑战。
我国的信息安全产品制造有了很大的进步,但其中许多核心部件的研发、生产能力较弱,关键部件受制于人。不少信息安全产品依赖购买国外技术设备建设,然而,发达国家出于意识形态和国家利益的考量,对安全产品和技术的出口设置了重重障碍。
以密码技术为例,美国一直对密码产品的出口实施严格的限制政策,直到2000年,在密码出口商和密码出口诉讼案例的推动下,为了扭转美国公司在与欧洲和其他各家公司在加密软件的市场竞争中的不利地位,美国才放宽了出口限制,实施了新的规则,包括以下内容。(1)任意密钥长度的密码都被允许基于许可证除外规定在技术审查后向任何非政府最终用户出口(排除7个“恐怖主义”国家),向政府出口需要许可证审核。(2)任意密码长度的密码零售(例如不要求实质支持,以有形方式零售出口的密码产品,或为个人消费者使用特定设计的密码产品),在经过技术审查后允许向任何非恐怖主义国家接受者出口。(3)无限制的密码源码(类似于“开放源码”软件)和可公开获取的商业源码(类似于社区源码“CommunitySourceCode”)允许不经技术审查适用许可证例外向任何最终用户出口,同时需要向BXA提供源码副本或链接。所有其他源码允许基于许可证除外规定在技术审查后向非政府最终用户出口,但不得故意向“恐怖主义”国家出口源码,尽管密码源码可能通过WWW方式下载,且出口商无法彻底检查下载是否位于“恐怖主义”国家。(4)允许任何密码无须技术审查向美国公司的国外分支机构(再)出口,在境内的外国人不再要求用于为美国厂商加密工作的出口许可证。(5)该规则执行1998年Wassenaar协定的修订(允许向非“恐怖主义”国家出口56位和64位大宗贸易产品密码)。(6)出口64位以上的特定产品要求出口报告。
随着云计算技术的大量运用,将会有越来越多的企业将应用迁移到云计算系统,企业和行业的大量经济信息、竞争信息将进入运营商的资源池中,如果这些应用数据由国外运营商掌控,将会面临很大的风险。在当前全球经济一体化的背景下,企业只有掌握竞争情报,并注意保护好自已的商业秘密,才能在激烈的市场竞争中处于主动地位。特别地,创新型无形资产和竞争性商务信息是企业和商家核心的商业秘密。所以必须高度警惕和有效防止信息资源集聚过程中的无意流失和有意窃取。
当今世界,高性能计算已成为理论和实验之外的第三种科学研究手段,计算能力因而成为衡量一个国家综合国力和科学研究能力的指标,成为一种重要的战略资源,其重要性不亚于石油和其他战略物资。在实体的超级计算机研发耗资巨大且性能突破受到物理制约的条件下,相当于虚拟超级计算机的云计算则可无限扩充,并以更低成本、更高的计算能力和更方便的应用环境为国家重要战略领域的高端研究提供支撑。据报道,美国有多家科研机构都在尝试通过云计算来提供大量科研数据和超级计算机的运算能力,以便推动科研平民化的进程,动员更多的研究力量,促进科研在更大规模、更高层次上开展。
许多发展中国家包括我国科研领域一直寄期望在信息网络时代,通过借助信息化的手段来缩短科研水平同发达国家的差距,甚至实现超越。随着云计算时代的到来,正在掀起新一轮产业变革,将重塑IT产业格局。鉴于这样的背景,当前我国一些地区发展云计算产业的热情高涨,出台了产业发展规划、行动计划,力图服务于本地区经济的发展。但也存在着需求不明确、盲目发展的问题,从而带来了严重的信息安全、信息监管方面的隐患,亟待加强规范和引导。因此,需要未雨绸缪,通过加强技术研发,健全法律法规等手段,不断完善云计算自身安全,以及云计算信息安全及隐私保护等问题,为云计算发展营造良好环境,进而推动我国信息化的良性发展。第3章 云计算应用安全体系及关键技术3.1 云计算安全体系及关键技术3.2 身份认证与访问管理3.3 加密与密钥管理技术3.4 VPN与传输安全3.5 灾难备份与恢复
如本书第1章所述,云计算是传统IT领域和通信领域不断交融、技术进步、需求推动和商业模式转换共同促进的结果,新的业务形态和部署模式正在不断涌现。在云计算应用环境中,最终用户可能不再直接拥有基础设施的软硬件资源,越来越多的的应用和数据存储都在云计算平台中实现。这种应用模式的开放性、无边界、虚拟性等特点,导致云计算的安全体系和传统的信息安全体系存在较大差异。
结合云计算的应用特点,本章将从云计算的应用模式、支撑性安全基础设施建设的角度,提出云计算应用安全体系,并对其中的关键技术进行概要介绍。3.1 云计算安全体系及关键技术3.1.1 云计算应用安全体系
如第2章所提到的云计算应用面临的各种安全挑战及风险,并不是说在传统的IT系统中就不存在,而是说,许多问题在云计算环境中更为明显或更有挑战性。云计算应用安全体系的主要目标是实现云计算应用及数据的机密性、完整性、可用性和隐私性等。
本章将从云计算安全模块和支撑性基础设施建设两个角度,提出云计算应用安全体系,通过在各层次、各技术框架区域中实施保障机制,最大限度地降低安全风险,保障云计算应用及用户数据的安全。在云计算安全体系(图3-1所示)中,支撑性基础设施是各种云计算应用模式的共同关注点,其技术具有一定的通用性。(1)物理安全。物理安全主要包括以下几个方面:机房环境、通信线路、设备、电源。它是整个云计算数据中心安全运作的前提,是指保护数据中心的网络设备、存储设备和计算设备等免遭地震、洪水、火灾等环境事故、人为操作失误或各种非法行为所导致的破坏。主要安全措施包括CCTV(闭路监控电视系统)、安全制度、辐射防护、屏幕口令保护、隐藏销毁、状态检测、报警确认等。(2)基础设施(计算/存储/网络)安全。基础设施安全包括服务器系统安全、网络管理系统安全、域名系统安全、网络路由系统安全、局域网和VLAN配置等。主要的安全措施包括安全冗余设计、漏洞扫描与加固、IPS/IDS、DNSSec等。考虑到云计算环境的业务持续性,设备的部署还必须要考虑到高可靠性的支持,诸如双机热备、配置同步、链路捆绑聚合及硬件Bypass等特性,实现大流量汇聚情况下的基础安全防护。图3-1 云计算安全体系(3)虚拟化安全。虚拟化的安全包括两方面的问题:一是虚拟技术本身的安全,二是虚拟化引入的新的安全问题。虚拟技术有许多种,最常用的是虚拟机(VM)技术,需考虑VM内的进程保护,此外还有Hypervisor和其他管理模块这些新的攻击层面。可以采用的安全措施有:虚拟镜像文件的加密存储和完整性检查、VM的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM进程监控、VM的安全迁移等。(4)数据传输安全。云计算环境下,数据传输有两种方式:网络传输和物流传输。选择两者的标准在于数据的传输时间,对于超大型数据中心的迁移,采用物流传输这样物理迁移的方法,可能更可以节省成本。对于网络传输,主要的安全措施可以充分利用现有网络安全技术的技术成果;对于物流传输,主要的安全措施是一系列完善的管理制度办法。(5)计算能力接口安全。IaaS提供的服务,其理想状态是向用户提供一系列的API,允许用户管理基础设施资源,并进行其他形式的交互。需注意避免利用接口对内和对外攻击,避免利用接口进行云服务的滥用等非法行为。其安全措施包括对用户进行强身份认证、加强访问控制等。(6)模块集成安全。目前由于缺少相关标准,云计算中不同功能模块的集成存在很大困难。XML也许是把数据从一个基于Web的系统移到另一个类似系统的最简单方法,但是在云计算环境下,将不得不整合Web系统和非Web系统,而且是在云计算系统和内部系统混合的环境下进行整合。这一技术现状同时反映了模块集成安全评估的困难。对于用户而言,可采取的安全措施包括:对于某功能模块,尝试使用不同的API,并进行大量的测试工作,保证应用相应的速度和流畅性。(7)中间件安全。云计算的到来,将带来更多的智能终端实现业务或应用的无缝体验,如同一应用可在PC、智能手机、平板电脑等终端实现。不同类型的智能终端具有不同的操作系统,为了保持业务的一致性,需要采用针对不同操作系统环境下的中间件,这就带来了中间件安全问题。可采取的安全措施包括采用数据加密、身份认证等技术。(8)内容安全。在云计算环境中,用户的应用数据将主要存储于云计算的数据中心。各国的信息安全法律法规并不一致,在部分国家,在必要时依据特定的程序,政府有权力对其国内的数据中心进行内容审计。云计算系统一般都支持对用户数据进行加密以保证数据安全,这一技术现状客观上加大了内容审计的难度。目前,有关加密数据的检索技术仍在研究中,对云计算的内容安全,尚未有成熟的解决方案。(9)应用安全。云计算的应用主要通过Web浏览器实现。因此,在云计算中,对于应用安全,尤其需要注意的是Web应用的安全。要保证SaaS的应用安全,就要在应用的设计开发之初,制定并遵循适合SaaS模式的安全开发生命周期(SecurityDevelopmentLifecycle,SDL)规范和流程,从整个生命周期上去考虑应用安全。可以采用的防护措施有访问控制、配置加固、部署应用层防火墙等。(10)数据安全。数据安全就是要保障数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。其主要安全措施包括对不同的用户数据进行虚拟化的逻辑隔离、使用身份认证及访问管理技术措施等。(11)用户认证及访问管理(IAM,IdentityandAccessManagement)。IAM是保证云计算安全运行的关键所在。传统的IAM管理范畴,例如自动化管理用户账号、用户自助式服务、认证、访问控制、单点登录、职权分离、数据保护、特权用户管理、数据防丢失保护措施与合规报告等,都与云计算的各种应用模式息息相关。关于IAM的具体介绍参见3.2节。(12)密钥分配及管理。加密是云计算各种应用模式中保护数据的核心机制,而密钥分配及管理的安全是数据保密的脆弱点。密钥分配及管理还提供了对受保护资源的访问控制。关于密钥分配及管理的具体介绍参见3.3节。(13)灾难备份与恢复。在各种应用模式中,云计算提供商必须确保拥有提供持续服务的能力,甚至服务迁移能力。前者是指在出现一些严重不可抗拒的灾难时,如火灾、长时间停电以及网络故障等,服务不中断;后者是指当需要更换云计算提供商时,原提供商需提供业务迁移办法,维持用户的业务不中断。由于目前云计算仍处于普及阶段,关于后者,虽然业界已有共识,但是尚未形成一致标准。关于灾难备份及恢复参见3.5节。(14)安全事件管理及审计。在云计算的各种应用模式中,需要对安全事件进行集中管理,从而可以更好地监测、发现、评估安全事件,及时有效地对安全事件作出响应,预防类似的安全事件再次发生。3.1.2 云计算安全关键技术
如上所述,云计算安全体系涉及了云计算的各个技术层面,这些安全技术目前都已有实现。只不过,在云计算环境下,这些具体的安全技术增添了新的内涵。(1)身份认证与访问管理技术。主要关注用户身份的管理和通过相应的目录服务来提供授权管理、分级权限控制。企业用户在将IT业务迁移到云计算时,需要考虑如何将已有的身份认证与访问管理技术迁移到云计算平台中。例如,用户账号的发放和回收、认证联合等。此外,值得注意的是,云计算给传统数字密码学理论提出了重大的挑战,过去许多认为不可行的攻击方式,在云计算的环境下需要重新评估。同时,云计算所带来的网络接入宽带化、终端智能化浪潮,也给基于生物特征的身份识别技术带来了新的发展契机。(2)加密与密钥管理技术。采用数据加密技术实现用户信息在云计算共享环境下的安全存储与安全隔离,而加密算法的健壮性更依赖于良好的密钥管理技术。采用适当的数据加密算法可以防止用户数据被偷窃、攻击和篡改。同时,密钥管理也是实现用户身份鉴别与认证的前提。(3)VPN与传输安全。VPN技术会给云计算用户提供一个虚拟的企业内网地址和加密的网络通道,用户通过身份认证、授权等方式,利用这个虚拟地址访问云计算数据中心的实例,可防止网络传输的数据被泄露。云计算提供商及用户可以设置灵活的访问控制策略,使用户还像在传统的局域网一样使用云计算服务。(4)灾难备份与恢复。灾难恢复,不仅包含从影响整个数据中心的自然灾难中恢复,也包含从可能影响单个系统的事件(例如硬件错误、安全入侵等)中恢复。在云计算环境中,灾难恢复的定义与传统环境中的没有区别,同样需要决定一些内容,如可容忍的最大宕机时间、可容忍的最大数据损失等。在云计算环境中,虚拟化存储典型地以离散方式存放文件,因此,灾难恢复可以有更简单的流程、更大的资源便携性及更短的恢复时间。3.2 身份认证与访问管理
身份认证与访问管理(IAM)的技术前提是身份认证和访问控制技术。下面先对现有的技术作一简单介绍,随后分析目前IAM的应用现状,并对云计算环境下的IAM演进进行分析。3.2.1 身份认证
身份认证是指通过网络对另一方通信实体的身份进行确认。TCP/IP网络模型中,各层上都具有同等的通信实体,都需要身份认证。其中,与业务应用最密切的是应用层用户身份确认。对用户的身份认证遵从三种基本方法:验证用户身上独一无二的生理特征(如人脸、指纹、虹膜)、验证用户是否拥有物理介质式的令牌(如智能卡)和验证用户是否知道某个秘密(如数字密码)。
1.口令核对法
最常见也是最简单的方法就是口令核对法:系统为每一个合法用户建立一个〈用户名,口令〉,当用户需要认证身份时,提示用户输入用户名和相应的口令,系统核对用户输入的〈用户名,口令〉与系统内存储的〈合法用户名,口令〉,如果一致,则说明是合法用户;否则是非法用户。
若用户的口令较短,这种方案容易遭受口令猜测攻击,甚至被暴力破解;另外,网络环境下,口令的明文传输使得攻击者能在网络信道中截获用户口令,使得这种身份认证方案变得极不安全。一种改进的办法是将口令加密后再传输,这可在一定程度上防止网络窃听,但攻击者仍可以对系统采取离线方式的口令猜测攻击。此外,这种改进的办法还带来了加密密钥的交换和管理问题,需要求助于一个权威的第三方——PKI(公钥基础设施)。
2.基于智能卡的用户身份认证
这种认证方法的思想是,验证用户是否拥有物理介质式的令牌。它首先将用户信息〈合法用户名,口令〉储存到智能卡中,身份认证服务器中存入某个事先由用户选择的随机数。当需要身份认证时,用户首先输入〈用户名,口令〉,系统以此判断智能卡的合法性,最后由智能卡鉴别用户身份。若为合法用户,则智能卡中的随机数会自动发送给身份认证服务器作进一步认证。
这种方案基于智能卡的物理安全性,不易伪造,不能直接读取其中的数据。即使智能卡被盗,入侵者仍然需要猜测用户口令,这大大增强了系统的安全性。
3.一次性口令机制
这种方法的特点是用户每次登录系统时口令互不相同。它主要有两种实现方式:第一种是挑战/应答方式。用户登录时,系统随机提示一条信息,这条信息可以通过第三方渠道,如文本短信、电话语音等方式发送给用户,而用户根据这一信息连同其个人数据共同产生一个口令字,在输入这个口令字后就完成一次登录过程;第二种方法采用时钟同步机制,即根据这个同步时钟信息连同其个人数据共同产生一个口令字。这两种方案均需要身份认证服务器端产生与用户端相同的口令字。
4.Kerberos认证
Kerberos是为TCP/IP网络系统设计的可信的第三方认证协议,它提供了一种具有较高安全性能的用户身份认证和资源访问认证的机制。
Kerberos认证体制中除了认证服务器外,还有一个授权服务器。认证服务器中保存了所有用户的口令。用户登录系统并表明访问某个系统资源S时,遵循以下过程。(1)认证服务器从用户口令中产生一个密钥K,并传送给用户一个可以访问授权服务器的门票T1。(2)用户将获得的T1,连同其个人账户信息发送到授权服务器。(3)授权服务器对用户身份信息认证后,若该用户是正常用户,则发送给用户一个新的门票T2。T2是用户访问系统S的合法凭证。(4)用户将获得的T2连同其个人账户信息发送给系统S。(5)系统S对信息认证后给用户提供相应的服务。
一个门票具有有效期限,可以使用多次直至过期。在以上过程中,Kerberos还为用户和服务器提供证明双方安全通信的会话密钥。
5.基于生物特征的身份认证
截止到2011年上半年,大部分的云计算基础设施,已建立在具有不同虚拟化技术水平的服务器和高度可靠的服务之上(其中,这些服务由大型的数据中心提供)。与蓬勃发展的云计算业务及应用相比,在用户的身份认证技术方面,却仍然主要以“账号+口令”的方式进行,这使得用户身份泄露的风险加大。由于为了简便记忆,在云计算众多的个人业务及应用中,用户常常设置相同的账户名及口令;另一方面,云计算的强大计算能力,使得原本看似“健壮”的密码变得较容易被破解,这又进一步加大了用户身份泄露的风险。
生物特征包括人的生理特征和行为特征两大类,其中生理特征如指纹、人脸、虹膜、静脉等;行为特征主要有步态、笔迹和语音等。在计算机普及之前,主要靠人工专家来识别生物特征(如公证处的指纹、字迹识别专家),而随着信息技术的进步和普及,使用计算机进行自动生物特征识别就逐渐成为潮流。基于生物特征的身份认证是指通过自动化技术测量人体的生理特征和(或)行为特征,并将这些特征与数据库中的模板数据进行比较,从而完成身份认证的一种解决方案。采用基于生物特征的身份认证,其好处有以下几点。(1)生物特征是复杂、独一无二的,世界上几乎不存在两个不同的人却具有完全相同的生物特征,这就可以保证被认证对象与需要验证的身份依据之间严格的一一对应关系。(2)人的生物特征是相对固定的,可以保证用户身份认证信息的长期有效性,便于管理。
由于以上好处,基于生物特征的身份认证技术,在公共安全领域一直有着广泛应用。随着云计算时代的到来,云计算技术为实现基于生物特征的身份认证可扩展系统奠定了基础。(1)云计算环境下认证中心具有强大的计算能力,具备对组合生物特征识别的能力,如可以结合使用指纹、人脸等进行身份识别,这大大拓宽了系统的应用范围。(2)云计算的强大能力使得传统数字密码的破解时间大大缩短,原有的数字密码安全性需要重新评估。由于基于生物特征的数字密钥的高复杂性(难以伪造)、唯一性(不存在密钥的生成和分配问题),在技术和协议方面,不容易被黑客破解。(3)云计算的到来,加快了终端智能化、网络接入宽带化的步伐。移动智能终端已经开始普及,通过摄像头、触摸屏、麦克风等传感器对用户的生物特征进行采样变得更加便捷、简单;网络接入的速率大幅度提升,使得图像、视频等信息的传输大大加快,有利于实现各种生物特征的统一认证;随着技术的进步,移动智能终端将逐步具备PC级的计算能力,使得在终端实现生物特征的预处理、编码、压缩和加密成为可能。
下面介绍典型的生物特征识别系统。典型的生物特征识别系统包括用户注册和用户识别两部分。如图3-2所示,用户注册部分包括特征采集、特征提取和模板存储等步骤,在线识别包括特征采集、特征提取和匹配识别等步骤。用户在注册时,将其身份与特征模板进行一对一的绑定;在身份识别时,系统根据用户申明的身份,首先在特征模板库中找到该身份对应的特征模板,然后将此模板与所采集的用户生物特征进行匹配识别。匹配识别的核心算法是模式识别的分类技术。
特征采集是指借助物理传感器,采集用户的生物特征,如指纹、虹膜和脸型等。由于采集的环境影响,采集后的生物特征含有一定的噪声。特征抽取是一种提取有效信息的方法,目的就是从充满噪声的原始数据中分离出有用的信息,并减少数据的维数,以简化匹配识别所进行的计算。匹配识别的算法有神经网络、支撑向量机等人工智能经典算法,经实践证明,这些算法都有较高的精度。尽管基于生物特征的身份识别技术已取得一定的应用,如目前已有支持人脸、指纹开机的PC、智能手机,但是要推广到一般的IT系统仍有一些问题需要克服。图3-2 基于生物特征的身份识别技术原理流程图(1)生物特征管理,尤其在用户的生物特征模板保护方面存在风险。一旦用户的生物特征模板被泄露、盗用或篡改,如指纹或人脸特征,由于生物特征所具有的固定性和唯一性,难以进行类似密码重置的补救措施,将有可能给用户造成极大的损失。(2)生物特征的模糊性与密码学所要求的精确性存在矛盾。没有两个人具有完全一样的生物特征,同样地,一个人在不同时候也不会有完全一样的生物特征。生物特征的“固定性”是一个统计结果描述,是否“固定”往往取决于匹配识别算法所设阈值的尺度。如果尺度太大,则对用户有较高的可识别能力,同时也增大了两个相似的人被识别为同一个人的概率;反之,则可能出现“拒识别”的现象,对真实用户也不能识别其身份。
云计算所带来的网络接入宽带化、终端智能化浪潮,使得生物特征与传统数字密码学的结合给人们带来新的期望。近年来,在学术研究层面,生物特征的加密研究及应用已取得重大进展,并已出现相关的技术产品,如FuzzyVault(模糊保险箱)方法,很好地把生物特征的模糊性和密码算法的精确性联系了起来。总的来说,这一诱人技术的安全性有待于实践检验和逐步完善。3.2.2 访问控制
在对用户进行身份认证后,需要对其按用户身份及其所归属的某预定义组来限制其对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。它可以防止非法用户进入受保护的网络资源,同时防止合法用户对受保护的网络资源进行非授权的访问。
访问控制策略是面向应用的,可跨越不同的计算平台。目前一般的访问控制策略有:自主访问控制(Discretionary Access Control)、强制访问控制(Mandatory Access Control)和基于角色的访问控制(Role-Based Access Control)。各种访问控制策略之间并不排斥,目前大部分IT系统中都是多种访问控制策略并存,系统管理员能够对安全策略进行配置使之达到安全风险控制的要求。
1.自主访问控制
自主访问控制(DAC)根据用户的身份及允许访问权限决定其访问操作。只要用户的身份被确认,即可根据访问控制表上赋予该用户的权限进行限制性访问。由于DAC对用户提供灵活和易行的数据访问方式,能够适用于许多的系统环境,因而是目前最普遍的访问控制安全策略。
但是,DAC往往容易被非法用户绕过。例如,若用户A有权访问文件F,而用户B无权访问F。若A获取F后再传送给B,则B也可访问F,从而绕过了之前设定的安全策略。其原因是,DAC并没有限制用户对文件信息的操作,所以DAC提供的安全性还相对较低,不能够对系统资源提供充分的保护。
2.强制访问控制
强制访问控制(MAC),由系统对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样类型的访问。即使是创建者用户,在创建一个对象后,也可能无权访问该对象。
与DAC相比,MAC无法绕过。在MAC中,每个用户及文件都被赋予了一定的安全级别,用户不能改变自身或任何客体的安全级别,只有系统管理员才可以确定用户和组的访问权限。系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件。MAC不允许一个进程生成共享文件,从而可防止文件泄露。此外,MAC可通过使用敏感标签对所有用户和资源强制执行安全策略。
3.基于角色的访问控制
基于角色的访问控制(RBAC)的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色来获得角色所拥有的访问许可权。角色可以看做是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。一个用户可以充当多个角色,一个角色也可以由多个用户担任。
RBAC根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的MAC和DAC将权限直接授予某个具体用户的方式不同。通过给用户分配合适的角色,让用户与访问权限相联系,角色成为了访问控制中访问主体和受控对象之间的一座桥梁。
通过定义模型各个部分,可以实现DAC和MAC所要求的控制策略,目前这方面的研究及应用还处在实验探索阶段。3.2.3 云计算环境下的身份认证和访问管理
随着信息化的高速发展,各大公司的IT系统和用户数量都在快速增加,企业内部用户和社会用户的数量都在急剧增长。在以前的IAM体系中,大多数应用系统都有各自独立的一套用户信息管理子系统,负责该系统的账号管理、认证和授权工作,并且孤立地以日志形式审计操作者在系统内的操作行为。这种账号口令管理、访问控制以及审计方式己经远不能满足企业自身的发展和安全需要,问题主要表现为以下几方面。(1)企业中存在大量的应用系统,它们往往分别属于不同的部门或者业务系统。并且,这些不同的应用系统间还有各自独立的IAM系统,由相应的管理员负责维护和管理。当维护人员同时对多个IAM系统进行维护时,工作量将成倍增加。同时,为了进行安全加固,对于每个新上线的应用系统,企业都要开发一套安全系统。伴随着新业务的不断开发,这种不断的投资将极大地消耗开发成本并且延缓应用系统的开发进度,使安全成为企业的沉重负担。(2)各IAM系统分别管理其所属的系统资源,为系统的用户分配权限。由于缺乏统一的资源授权管理平台,无法严格按照最小权限原则分配权限。(3)日常使用中,用户往往需要同时使用几个不同应用系统的服务,这就需要在系统间进行切换,而每次切换时,用户都需要输入用户名和口令进行登录,影响了工作效率。为了便于记忆,用户往往会采用较简单的口令,或者将多个系统的口令设置成相同的形式,这种行为客观上降低了所有应用系统的安全性。(4)与各系统的独立运行、维护和管理相对应,各系统的审计也是独立的,缺乏集中统一的访问审计。在这种“各自为战”的局面下,安全人员难以对所有的应用系统进行综合分析,无法及时发现可能的入侵行为。
综上所述,IAM仍然是当今信息安全领域的研究热点。从长远来说,将用户的身份认证及访问管理迁移到云计算平台、实现用户身份统一授权认证的技术路线,是实现按需计算服务战略的先导。因此,这一技术路线的实施有赖于云计算提供商安全技术能力的提高,更依赖于整个云计算生态系统的不断进步。
另外,与蓬勃发展的云计算业务及应用相比,在当前很多云计算平台所采用的用户身份认证技术方面,仍然主要以“账号+口令”的方式进行,这使得用户身份泄露的风险加大。由于为了简便记忆,在云计算众多的个人业务及应用中,用户常常设置相同的账户名及口令;另一方面,云计算的强大计算能力,使得原本看似“健壮”的密码变得较容易被破解,这又进一步加大了用户身份泄露的风险。因此,需要在云计算平台中积极引入高安全性的身份认证及访问管理技术,提高云用户身份及其访问控制的安全性,进而保障云计算环境下的应用及信息安全。3.3 加密与密钥管理技术
密码学是一门古老而深奥的数学学科,是整个信息安全的理论基础。它通过采用不同的密码技术对数据进行加密变换,实现信息的隐藏,防止攻击者获得信息。本节将在介绍现代加密技术原理及密钥管理办法的基础上,结合云计算应用场景,分析密码技术的应用发展趋势。3.3.1 加密技术原理及典型算法
随着互联网的快速发展,人们的日常生活已经和互联网中信息的产生、存储、传递和处理发生了密切联系。所以,保护人们的重要信息、私人信息的安全就有着无可代替的重要性。数据的加密技术是信息安全保护最重要的手段之一。在数据加密的算法中,可以根据加密密钥和解密密钥是否相同而对其分类。如果加密和解密密钥是一样的,则被称为对称密码;反之,则被称为非对称密码。
对称密码是一种传统的密码,其优点是计算开销小,加密速度快,保密强度高,是目前用于信息加密的主要算法。它的缺陷主要有两点:一是密钥的传递和管理比较困难,对于具有n个用户的网络,就需要n(n-1)/2个密钥。对于大型网络,当用户群很大、分布很广时,密钥的分配和保存就成了大问题;二是它仅能用于对数据进行加解密处理,保证数据的机密性,而不能用于数字签名,无法验证用户身份。比较著名的对称加密算法有DES(DataEncryptionStandard,数据加密标准)算法及其各种变形,比如TripleDES(三重DES)、AES(高级加密标准)和欧洲的IDEA等。
针对对称密码的缺陷,在20世纪70年代,Diffie和Hellman提出了非对称密码。在该算法中,加密和解密使用两把不同的密钥,并且要从一个密钥推导出另一个密钥是不可行的。加密密钥向公众公开,称为公钥;解密密钥只有解密人自己知道,称为私钥。如果一个人选择公布了他的公钥,其他任何人都可以用这一公钥来加密传送给他的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,客观上,完成了对消息传送者的身份认证。非对称密码具有很高的加密强度,同时解决了密钥管理问题,通过特有的密钥发放体制,不需要在通信过程中传输密钥,使得即使用户数大幅度增加,密钥也不会向外扩散,安全性大大提高。非对称密码不仅可以作为加密算法使用,而且可以用于数字签名和对对称加密的密钥分配与管理,特别适应网络开放性要求。其缺点是对数据的加密、解密的速度较慢,复杂性较高,不适合用于对较长的信息进行加密。目前比较著名的公钥密码算法有:RSA、背包密码、DiffieHellman、零知识证明算法和椭圆曲线算法等。
为了充分发挥对称密码和非对称密码各自的优点,在实际应用中通常将这两种加密算法结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称密码中的密钥。3.3.2 密钥管理
随着互联网TCP/IP的巨大成功,一系列技术的标准化工作也取得了巨大的进展,信息的快速传播和分享带来了对信息安全的强大需求。在这个开放式的网络协议架构下,加密算法等安全机制成为标准而被公开。在很大程度上,信息系统的安全性取决于密钥的安全。从过去的著名黑客事件来看,从密钥管理的漏洞窃取密钥远比单纯破译密码的成本要低。在现实中,密钥管理是现代密码学领域最困难的部分。
密钥管理向来是一项复杂而细致的长期工作,既包含一系列的技术问题,又包含许多管理问题。密钥管理包括以下内容:密钥分发;密钥与身份的绑定;密钥生成;密钥的维护以及吊销。以下分别对这些内容作简单介绍。
1.密钥生成
算法的安全性依赖于密钥,如果用一个弱的密钥产生方法,那么整个系统都是弱的。因为要是能破译密钥产生算法,就没有必要去破解加密算法了。一个好密钥的标准是:长度应该足够长,以保证足够大的密钥空间,增大暴力破解的难度;应尽可能“随机化”,防止字典猜测攻击。
对于公钥密码来说,产生密钥更加困难,因为密钥必须满足一些数学特征,如必须是素数、二次剩余等。
2.密钥分发
在对称加密中,通常需要由信息加密方把密钥经公认安全的其他途径发送给解密方,例如,可以使用合格邮政或快递公司的文件快递服务来传送。随着对安全通信的需求逐渐增加,为了方便加密密钥的交换,同时降低成本,人们通过“公认安全的其他途径”传递用于加密密钥的密钥,这样就可以将密钥在加密后经公网传递给信息解密方。为增强保密性,还可以将一个密钥分成许多不同的部分,甚至再对不同的部分进行加密,然后经不同的信道发送出去。在非对称加密中,通过一些预先的安排,就可以较好地解决密钥的分发问题。
在互联网应用中,密钥的分发往往采用非对称密码机制,引进可信第三方服务器,使得密钥分发走向“自动化”。
3.密钥验证
密钥在传输过程中可能会发生错误,因此需要附着一些检错和纠错位来传输。一旦发生错误,就能很容易地被检查出来;并且更进一步地,若需要,密钥可被重传。
最常用的一种方法是,发送方首先用密钥加密一个常量,然后把密文的前2~4字节与该密钥一起发送。在接收端,在接收完密文解密后得到明文,如果接收端对明文加密后,得到密文的前2~4字节能与密钥接收的数据匹配,则传输正确。
4.密钥的维护与更新
当密钥需要频繁地改变时,频繁进行密钥分发是件痛苦的事。通常的解决办法是从旧的密钥中产生新的密钥,例如可以使用像哈希函数一样的单向函数进行密钥更新。在实践中,如果共享同一密钥的双方保证了时间同步,那么,只要它们采用同一个单向函数进行操作,就会得到相同的密钥更新结果,保证通信的连续畅通。
5.密钥存储
密钥存储是指用一种安全的方式存储密钥。密钥存储时必须保证密钥的机密性、认证性和完整性,防止泄露和被修改。所有存储在硬件中的密钥都应被加密,操作口令应由密码操作员掌握。这样即使硬件设备丢失,也能保证密钥的安全。
6.密钥备份
当存储密码的设备遭受破坏,但密钥没有泄露时,密钥备份对于维持应用系统的正常运行是非常重要的。密钥备份有密钥托管、秘密分割、秘密共享等方式。
最简单的方法是使用密钥托管。它要求所有用户将自己的密钥交给密钥托管中心,由密钥托管中心备份密钥(如锁在某个地方的保险柜里或用主密钥对它们进行加密保存)。一旦某用户的密钥丢失(如该用户遗忘了密钥或用户意外去世),按照一定的规章制度,就可从密钥托管中心索取他的密钥。另一个类似方案是用智能卡作为临时密钥托管。如甲把密钥存入智能卡,当甲不在时就把它交给乙,乙可以利用该卡进行甲的工作,当甲回来后,乙交还该卡,由于密钥存放在卡中,所以乙不知道密钥是什么。同时,由于系统具有的审计功能,还可以看到该密钥的具体使用情况。
秘密分割是把秘密分割成许多碎片,把这些碎片放到一块,秘密就会重现出来。相较之,更好的方法是采用秘密共享协议。通过数学方法将密钥K分成n块,只要知道其中任意m个或更多的块就能够还原出密钥K,而知道任意m−1个或更少的块都不能够还原出密钥K。
7.密钥有效期
加密密钥不能无限期使用,不同密钥应该有不同有效期。
密钥加密密钥无须频繁更换,因为它们只是偶尔地用于密钥交换。类似地,数据文件的加密密钥也不能经常地变换,这是由于巨大的文件数据量和较长的加密时间反而会给攻击者带来更多机会。通常是每个文件用唯一的密钥加密,然后再用密钥加密密钥把所有密钥加密,密钥加密密钥要么被记忆下来,要么保存在一个安全地点。
非对称密码中,私钥的有效期是根据应用的不同而变化的。用于数字签名和身份识别的私钥必须持续数年(甚至终身),而用于抛掷硬币协议的私钥在协议完成之后就应该立即销毁。
8.密钥销毁
如果密钥必须定期替换,旧密钥就必须销毁。通常最容易被忽视的是,因为计算机的网络通信机制,当由计算机操作系统控制销毁过程时,无法保证计算机中所有的密钥已被安全销毁,密钥可能还存在于内存、临时文件或交换文件中。此外,如果密钥在硬盘中被删除,还可以通过数据还原软件恢复数据。谨慎的做法是:使用一个特殊的删除程序,检查所有磁盘、内存,确保密钥被真正删除。如果密钥之前存储在硬盘中,应多次重写覆盖之前存储的实际位置,甚至把硬盘毁坏。
试读结束[说明:试读内容隐藏了图片]