云安全浅析

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：16004488

---

微信公众号：计算机与网络安全

ID：Computer-network

一、云安全概述

自云计算提出后，安全问题已成为阻碍云计算发展的首要因素。较早提出“云安全”这个概念的是趋势科技，2008年5月，趋势科技在美国正式提出了“云安全”技术，使“云安全”成为云计算应用发展中最为重要的研究课题之一。然而，对“云安全”这一概念的理解可谓是仁者见仁，智者见智。现阶段，在业界主要存在2种声音：一种是云自身的安全保护，也称为云计算安全，包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等；另一种是使用云的形式提供和交付安全，即云计算技术在安全领域的具体应用，也称为安全云计算，即通过采用云计算技术来提升安全系统的服务性能，如基于云计算的防病毒技术、挂马检测技术等。这2种声音不仅代表了业界对云安全的需求，同时也促进了云安全这个研究方向的发展。

目前，对云安全的研究主要分为3个方向：

（1）云计算安全，主要研究如何保障云自身及其上各种应用的安全，包括云计算系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；

（2）安全基础设施的云化，主要研究如何采用云计算技术新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；

（3）云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。

二、云安全面临的挑战

根据云安全联盟发布的统计数据，云计算面临的九大安全威胁分别为数据破坏、数据丢失、账户或业务流量被劫持、不安全的接口和API、拒绝服务、恶意的内部人员、云服务的滥用、部署云服务前没有对云计算进行足够的审查、共享技术漏洞。由此可以看出，云安全面临的挑战涉及技术、管理和法律法规等各个方面。

1、云安全面临的技术挑战

云计算平台灵活性、可靠性、可扩展性等优势的保持必然要依赖一些新技术，但这些新技术的使用在给云计算带来保障的同时也带来了一些新的安全风险。云计算提供的服务自下而上可分为IaaS、PaaS和SaaS这3个层面，IaaS的虚拟化技术、PaaS的分布式处理技术以及SaaS的应用虚拟化技术是构建云计算核心架构的关键技术，也是云计算平台所面临的技术风险的主要来源。上层云服务除了面临下层云服务中已有的技术风险之外，还会有新增的技术风险。

（1）IaaS层挑战分析

IaaS将计算、存储、网络等IT基础设施通过虚拟化技术整合和复用后，通过网络将这些IT资源以服务的方式提供给用户，使用户可以在这些资源上部署和运行软件，包括操作系统和应用程序。虚拟化技术是IaaS层的核心技术，由于系统虚拟化、网络虚拟化、存储虚拟化等虚拟化技术的使用，IaaS层面临着主机安全、网络安全、数据存储及迁移等多方面的安全挑战。主机安全挑战来源于Hypervisor和虚拟机，如恶意代码通过Hypervisor提供的API进行攻击、Hypervisor自身存在安全漏洞、外部对某台虚拟机的攻击行为会在虚拟机群中扩散开来等。网络安全挑战一方面来自虚拟机与外部系统之间的通信安全风险，如DoS、网络监听等网络攻击，传统网络安全防护边界消失使边界防火墙、入侵检测等传统的网络安全防护技术的效用大大减弱；另一方面来自虚拟机之间的通信安全风险，如多个虚拟机存在于同一虚拟局域网中，给网络渗透攻击带来机会。数据存储方面，IaaS采用多租户架构使数据难以有效隔离，人为攻击、物理灾害等可能导致数据丢失；数据迁移方面，数据传输过程中的安全性难以保障，数据迁移措施的严格性和复杂度随着迁移数据量的增加也逐渐增大。

（2）PaaS层挑战分析

①PaaS中的数据处理安全风险

在云计算中，分布式文件系统及分布式数据库都基于云数据中心的大规模廉价服务器群，因而对于PaaS，数据除了面临IaaS中存在的数据存储和迁移安全挑战之外，还面临着数据处理安全风险。数据处理安全风险集中体现在数据与计算可用性无法保障，具体包括组件失效、处理速度过慢、多用户并发访问问题、动态扩展问题这4个方面。

存储服务器、计算服务器等的失效会导致分布式文件系统、分布式数据库等无法进行正常的数据存储和数据处理，从而可能导致数据丢失或者同一数据的多副本间数据不一致现象的发生。数据在云平台中分布式存储，数据处理的速度受到网络性能的直接影响；另外，每个位置的数据都和其他大量数据存储在一起，快速准确地从海量数据中检索到所需数据比较困难。多用户并发访问时，文件系统或数据库的访问效率可能很低；若对并发操作控制不当，很可能导致数据处理错误。使分布式文件系统和分布式数据库能自动感知服务器的变化情况，并对相应的存储和处理操作进行一定的调整，使数据处理的性能不因服务器的增减而受到影响，是PaaS面临的技术难题。

②PaaS中的应用安全

PaaS向用户提供开发、测试和部署应用所必须的编程接口、编程模型及软件栈等相关服务，服务的安全性直接关系到上层应用的安全性，因此，PaaS必须考虑应用安全防护措施。

在应用开发阶段，用户利用PaaS提供商提供的开发环境进行应用开发，其风险主要来源于PaaS提供的开发环境不安全、用户对PaaS提供的编程模型不明确和PaaS提供的编程接口过于复杂3个方面。在应用部署阶段，用户将自己的应用部署在PaaS中，由PaaS的运营管理系统负责解决基础设施资源的所有供给和管理问题，用户的部署措施不当及PaaS提供商的运营管理措施不当都会直接影响到应用的安全性。

（3）SaaS层挑战分析

①来自SaaS提供商的安全风险

在多租户架构下，所有应用共享同一存储、计算等基础设施，如果SaaS提供商不能对各个用户的应用进行隔离，则恶意用户就可以直接访问他人的应用，并且可以改变该应用原有的设置、窃取其中的隐私数据等。

由于采用了虚拟化技术，版本不同的虚拟机、数据库等都需要安装不同的补丁，因此， SaaS提供商对云应用系统安装补丁前，需要先确认应该使用什么版本的补丁，并进行安全性测试；另外，如果补丁和应用程序不兼容，那么安装补丁后会影响应用程序的运行。

②来自传输链路的安全风险

用户通过网络进行个人信息和应用数据的传输，攻击者通过各种网络攻击不仅可以窃取、修改用户的应用数据，也可以获取用户的身份信息，进而进行非法访问；另外，DoS、DDoS等攻击还可能导致云应用服务不可用。

2、云安全面临的管理挑战

和传统IT架构不同的是，云计算中数据的所有权和管理权是分离的。用户将自己拥有的数据存储到云服务提供商处，由云服务提供商进行全面管理；云服务提供商没有对云数据的所有权，无法直接对数据本身进行查看和处理，管理方法受到了极大的限制；另外，云服务提供商无法得知用户使用的终端及进行的相关操作是否安全，由此可能引发许多不可控的、意料之外的风险。因此，和传统的IT架构相比，云计算面临着许多新的管理挑战。

（1）云服务无法满足SLA

在实际服务过程中，云服务提供商难以完全履行服务等级协议（SLA, Service Level Agreement）中针对可用性、响应时间、安全保障等做出的承诺，原因有多方面：和传统IT架构相比，云计算面临着许多新安全风险，相关防御技术还不成熟；大量云用户的海量云数据很难被安全存储和安全管理；当前“宽带不宽”已成为云计算发展的瓶颈，且网络攻击事件防不胜防；在海量终端接入云服务的情况下，终端风险会严重威胁到云服务的质量；另外，若用户在使用云服务时对云服务中某些参数设置不当，也会对云服务的性能造成一定的影响。

（2）云服务不可持续风险

在云计算中心内部，任何一个小小的代码错误、设备故障或是操作失误都可能导致服务故障；针对云中心的攻击及网络攻击层出不穷，也极大地影响了云服务的可用性；除了设施故障和人为原因，地震、台风等自然灾害都可能导致服务的中断。另外，如果云服务提供商破产，则云服务就存在被终止的风险；如果云服务提供商被收购，则存在原有云服务因技术升级导致一段时间内服务中断的风险，甚至最终也难逃被终止的厄运。此外，基础设施提供商、技术提供方等都是云服务供应链中不可缺少的参与者，如果任何一方突然无法继续供应，而云服务提供商又不能立即找到新的供应者，就会导致供应链中断，进而可能使相关的云服务故障或终止。

（3）身份管理面临挑战

云服务面对的是来自不同领域的大量用户，不同用户所具有的身份属性千差万别，如何从多个身份属性中选择出一个属性集合，使每组属性信息和具有特定权限的用户一一对应是比较困难的；云数据的所有者可能会将数据的某些访问和操作权限授予其他用户，因而，同一用户可能有多重身份，如何对同一个用户设定不同的身份并严格地进行授权是比较困难的；不同领域的数据具有不同的安全等级标准，同一用户所拥有的数据也有敏感度高低之分，如何制定访问策略使数据满足安全性需求也是比较困难的。另外，云服务提供商还必须考虑申请使用云服务人员的合法性，如果攻击者可以注册并使用云服务，那么攻击者就可能向云端发送恶意数据、对云服务进行攻击等，给云服务安全带来极大的风险。

3、云安全面临的法律法规挑战

云计算作为一种新型的服务模式，其具有的虚拟性及国际性等特点催生出了许多法律和监管层面的问题，使云服务面临多方面的法律法规挑战。

（1）数据跨境

云计算具有地域性弱、信息流动性大的特点，数据可能被跨境存储、跨境传输。对于是否允许本国的数据跨境存储和跨境传输，每个国家都有相关的法律要求，而云服务中的数据跨境可能会违反云用户所在国家的法律要求。

（2）隐私保护

在云服务中，云服务提供商需要切实保障用户隐私，不能让非授权用户以任何方法、任何形式获取用户的隐私信息，然而一些国家的隐私保护法却明确规定允许一些执法部门和政府成员在没有获得数据所有者允许的情况下查看其隐私信息，以切实保护国家安全。因此，云服务中的隐私保护策略和某些国家的隐私保护法的相关规定可能产生矛盾。

（3）安全性评价与责任认定

目前，云计算安全标准及测评体系尚未建立，因此，云用户的安全目标和云服务提供商的安全服务能力无法参照一个统一的标准进行度量，在出现安全事故时也无法根据一个统一的标准进行责任认定。目前，没有专门针对云安全的法律，因此，云服务提供商和用户之间签订的合同的合规性、合法性是无法得到认定的，一旦发生安全事故，云服务提供商和用户可能会各持己见，根据不同的标准来进行责任认定，确保自己的利益最大化，由此会产生许多争议和纠纷。

三、云安全技术现状

工业界和学术界为了应对云安全面临的挑战，从虚拟安全技术、数据安全技术及应用安全技术3个方面进行研究。

1、虚拟安全技术

虚拟技术是实现云计算的核心技术，使用虚拟技术构建的云计算平台必须向用户提供安全性和隔离保证。

（1）虚拟机隔离技术

目前，虚拟机安全隔离研究多以Xen虚拟机监视器为基础。林昆等基于Intel VT-d技术提出一种虚拟机安全隔离架构；Santhanam等提出基于虚拟机技术实现的 grid环境下的隔离执行机；Raj等提出通过缓存层次可感知的核心分配，并给缓存划分的页染色的2种资源管理方法实现性能与安全隔离。通过适当的访问控制机制来增强虚拟机之间的隔离性也是虚拟机隔离技术的重要研究方向，典型的虚拟机访问控制模型是Reiner Sailer等在2005年提出的sHype。

（2）虚拟机安全监控

现阶段，虚拟机安全监控的相关研究工作可以分为内部监控和外部监控两大类。内部监控是指在虚拟机中加载内核模块来拦截目标虚拟机的内部事件，而内核模块的安全通过Hypervisor进行保护。外部监控是指通过Hypervisor对目标虚拟机中的事件进行拦截。基于虚拟化的内部监控模型的典型代表系统是Lares和SIM，基于虚拟化的外部监控模型的典型代表系统是Livewire。现有的工作多集中在利用Hypervisor保护目标虚拟机中的钩子函数或从目标虚拟机外部查看内部状态，虽然这2种监控方式都能很好地实现虚拟机的安全监控，但是也存在一些不足，主要体现在两方面：一是现有研究工作缺乏通用性；二是虚拟机监控与现有安全工具存在融合问题。

（3）虚拟机安全防护与检测

虚拟机的安全防护需要重点关注虚拟机之间的流量安全。根据流量的转发路径可将用户流量划分成纵向流量和横向流量2个维度。纵向流量包括从客户端到服务器的访问请求流量以及不同虚拟机之间的三层转发的流量。这些流量的共同特点是其交换必然经过外置的硬件安全防护层，称之为纵向流量控制层。纵向流量的防护方式与传统数据中心流量的安全防护相比，没有本质区别，对纵向流量的防护可以直接借鉴传统的防护方法，将具备内置阻断安全攻击能力的防火墙和入侵检测系统通过旁挂在汇聚层或者是串接在核心层和汇聚层之间的部署方式对其进行安全部署。而同一服务器上的不同虚拟机之间的流量（横向流量）直接在服务器内部实现交换，使外层网络安全管理员无法通过传统的防护与检测技术手段对虚拟机之间的横向流量进行监控，对同一服务器上的不同虚拟机之间的流量进行监控和检测的技术方式，目前主要有2种：一是基于虚拟机的安全服务模型技术，二是利用边缘虚拟桥（EVB, Edge Virtual Bridging）技术实现流量重定向的安全检测。

2、数据安全技术

（1）数据隔离技术

建立有效的数据隔离机制，是保障云数据安全的重要举措之一。将数据分为不同的安全等级是成功实施数据隔离和数据保护的第一步，其次，要根据数据的属性制定访问策略，防止非授权用户查看、获取、处理其他用户的数据，实现有效的数据隔离。

近年来，密码学为访问控制技术的研究注入了新的活力，许多高安全性的访问控制技术在云计算中得到广泛应用。美国加州大学的Sahai A和斯坦福大学的Waters B于2005年首次提出属性基加密（ABE, Attribute-Based Encryption）方案，实现了基于属性的加解密。为了满足现实应用在访问控制方面的需求，许多研究者在基本ABE的基础上做出改进，形成了密钥策略属性基加密（KP-ABE, Key-Policy Attribute-Based Encryption）和密文策略属性基加密（CP-ABE, Ciphertext-Policy Attribute-Based Encryption）这两类方案。

（2）密文云存储技术

在云计算环境中，为了保障数据的机密性，通用方法是将数据进行加密存储，然而数据变成密文后丧失了许多特性，导致大多数数据分析方法失效，密文检索技术可以解决云环境中密文的高效检索问题。密文检索技术按照数据类型的不同，可主要分为三类：非结构化数据的密文检索、结构化数据的密文检索以及半结构化数据的密文检索。密文检索有2种典型的方法：基于安全索引的方法为密文关键词建立安全索引，通过检索索引查询关键词是否存在；基于密文扫描的方法对密文中每个单词进行比对，确认关键词是否存在，并统计其出现的次数。由于某些场景（如发送加密邮件）需要支持非属主用户的检索，Boneh等提出支持其他用户公开检索的方案。密文处理研究主要集中在秘密同态加密算法设计上，早在20世纪 80 年代，就有人提出多种加法同态或乘法同态算法，但由于被证明安全性存在缺陷，后续工作基本处于停顿状态。近期，IBM 研究员 Gentry 利用“理想格（Ideal Lattice）”的数学对象构造隐私同态（Privacy Homomorphism）算法，或称全同态加密，使人们可以充分操作加密数据，该算法在理论上取得了一定突破，使相关研究重新得到研究者的关注，但目前离实用化仍有很长的距离。

（3）云端数据完整性验证技术

传统的数据完整性验证方法主要是基于数字签名的验证方法、基于验证数据结构的验证方法和基于概率的验证方法。而在云计算环境下，由于用户上传到云端的数据并不在本地存留副本，因此，传统的数据完整性验证方法不能被直接使用。此时，为了验证数据的完整性，最简单的方法就是用户从云端下载所有数据，然后按照传统的方法对数据的完整性进行验证，但这样会给用户带来昂贵的输入/输出开销和通信开销。因此，如何在本地没有数据副本的情况下高效地验证外包云数据的完整性，成为了云计算环境下保障数据安全的一个重大挑战。

目前，云端数据完整性验证技术按照执行实体可以分为两类，即用户与云服务提供商交互来完成验证和用户授权可信第三方进行数据完整性验证。无论哪种方式，都需遵循尽量减小客户端的存储、计算和通信开销，尽量减轻云端负担的原则，以便能够得到更好的服务质量。

（4）数据隐私保护

云数据隐私保护涉及数据生命周期的每一个阶段。Roy等将集中信息流控制（DIFC）和差分隐私保护技术融入云中的数据生成与计算阶段，提出一种隐私保护系统 Airavat，防止Map Reduce计算过程中非授权的隐私数据泄露出去，并支持对计算结果的自动除密。在数据存储和使用阶段，Mowbray 等提出一种基于客户端的隐私管理工具，提供以用户为中心的信任模型，帮助用户控制自己的敏感信息在云端的存储和使用。Munts-Mulero 等讨论了现有的隐私处理技术，包括K匿名、图匿名以及数据预处理等作用于大规模待发布数据时所面临的问题和现有的一些解决方案。Rankova 等则提出一种匿名数据搜索引擎，可以使交互双方搜索对方的数据，获取自己所需要的部分，同时保证搜索询问的内容不被对方所知，搜索时与请求不相关的内容不会被获取。

3、应用安全技术

在云计算环境中，各个云应用属于不同的安全管理域，每个安全域都管理着本地的资源和用户。当用户跨域访问资源时，需在域边界设置认证服务，对访问共享资源的用户进行统一的身份认证管理。在跨多个域的资源访问中，各域有自己的访问控制策略，在进行资源共享和保护时，必须对共享资源制定一个公共的、双方都认同的访问控制策略，因此，需要支持策略的合成。这个问题最早由Mclean 在强制访问控制框架下提出，他提出一个强制访问控制策略的合成框架，将2个安全格合成一个新的格结构。策略合成的同时还要保证新策略的安全性，新的合成策略必须不能违背各个域原来的访问控制策略。为此，Gong 提出自治原则和安全原则。Bonatti提出一个访问控制策略合成代数，基于集合论使用合成运算符来合成安全策略。Wijesekera 等提出基于授权状态变化的策略合成代数框架。Agarwal 构造了语义 Web 服务的策略合成方案。Shafiq 提出一个多信任域 RBAC 策略合成策略，侧重于解决合成的策略与各域原有策略的一致性问题。

四、云安全服务体系

云计算安全服务体系由一系列云安全服务构成，是实现云用户安全目标的重要技术手段。根据其所属层次的不同，云安全服务可以进一步分为安全云基础设施服务、云安全基础服务以及云安全应用服务三类。

1、安全云基础设施服务

云基础设施服务为上层云应用提供安全的数据存储、计算等 IT 资源服务，是整个云计算体系安全的基石。这里，安全性包含2个层面的含义：一是抵挡来自外部黑客的安全攻击的能力；二是证明自己无法破坏用户数据与应用的能力。一方面，云平台应分析传统计算平台面临的安全问题，采取全面严密的安全措施，例如，在物理层考虑厂房安全，在存储层考虑完整性和文件/日志管理、数据加密、备份、灾难恢复等，在网络层应当考虑拒绝服务攻击、DNS安全、网络可达性、数据传输机密性等，系统层则应涵盖虚拟机安全、补丁管理、系统用户身份管理等安全问题，数据层包括数据库安全、数据的隐私性与访问控制、数据备份与清洁等，而应用层应考虑程序完整性检验与漏洞管理等；另一方面，云平台应向用户证明自己具备某种程度的数据隐私保护能力，例如，存储服务中证明用户数据以密态形式保存，计算服务中证明用户代码运行在受保护的内存中等。由于用户安全需求方面存在差异，云平台应具备提供不同安全等级的云基础设施服务的能力。

2、云安全基础服务

云安全基础服务属于云基础软件服务层，为各类云应用提供共性信息安全服务，是支撑云应用满足用户安全目标的重要手段。其中，比较典型的几类云安全服务如下。

（1）云用户身份管理服务

主要涉及身份的供应、注销以及身份认证过程。身份联合和单点登录等云身份联合管理过程应在保证用户数字身份隐私性的前提下进行。由于数字身份信息可能在多个组织间共享，其生命周期各个阶段的安全性管理更具挑战性，而基于联合身份的认证过程在云计算环境下也具有更高的安全需求。

（2）云访问控制服务

云访问控制服务的实现依赖于如何妥善地将传统的访问控制模型和各种授权策略语言标准（如 XACML、SAML等）扩展后移植入云环境。此外，鉴于云中各企业组织提供的资源服务兼容性和可组合性的日益提高，组合授权问题也是云访问控制服务安全框架需要考虑的重要问题。

（3）云审计服务

由第三方实施的审计对于明确安全事故责任、保证云服务商满足各种合规性要求十分重要。云审计服务必须提供满足审计事件列表的所有证据以及证据的可信度说明。当然，若要该证据不披露其他用户的信息，则需要特殊设计的数据取证方法。

（4）云密码服务

除了最典型的加、解密算法服务外，密码运算中的密钥管理与分发、证书管理及分发等都可以以基础类云安全服务的形式存在。云密码服务不仅为用户简化了密码模块的设计与实施，也使密码技术的使用更集中、规范，也更易于管理。

3、云安全应用服务

云安全应用服务与用户的需求紧密结合，种类繁多。典型的例子有DDoS攻击防护云服务、Botnet检测与监控云服务、云网页过滤与杀毒应用、内容安全云服务、安全事件监控与预警云服务、云垃圾邮件过滤及防治等。传统网络安全技术在防御能力、响应速度、系统规模等方面存在限制，难以满足日益复杂的安全需求，而云计算优势可以极大地弥补上述不足。云计算提供的超大规模计算能力与海量存储能力，能在安全事件采集、关联分析、病毒防范等方面实现性能的大幅提升，可用于构建超大规模安全事件信息处理平台，提升全网安全态势把握能力。此外，还可以通过海量终端的分布式处理能力进行安全事件采集，上传到云安全中心分析，极大地提高了安全事件搜集与及时进行响应处理的能力。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】