云計算面臨的安全問題
? ?來源:面向云計算的可信虛擬環(huán)境關鍵技術研究_石勇
虛擬化安全問題
? ?虛擬化技術是云計算的核心技術。虛擬機監(jiān)視器VMM或Hypervisor是虛擬機化技術中的一個特權關鍵部件檬某,它運行在操作系統(tǒng)和硬件之間螟蝙,為每個操作系統(tǒng)提供虛擬的專口硬件支持胰默,能夠?qū)崿F(xiàn)硬件資源的復用漓踢,并且實現(xiàn)虛擬機之間的隔離漏隐。由于VMM或Hypervisor的特殊地位,它經(jīng)常成為黑客攻擊虛擬機的首選目標挺据。此外脖隶,虛擬機系統(tǒng)的遠程管理技術大多是用HTTP/HTTPs來連接控制的,因此产阱,VMM必須運行服務器來接受HTTP連接。那么攻擊者就可利用HTTP的漏洞來進行惡意代碼的攻擊。
? ?虛擬化安全的另一方面是虛擬機操作系統(tǒng)的安全問題榨乎。云計算系統(tǒng)中,云計算服務提供商管理的虛擬機數(shù)量龐大铐姚,如果虛擬機之間的安全防護措施不足肛捍,將導致一臺虛擬機被入侵,大批虛搗機受到危害的后果拙毫。惡意代碼還可能會使租戶或云服務設置的安全機制無法執(zhí)行或被旁路,從而使所設置的安全機制如同虛設峭跳,無法發(fā)揮作用缺前,這也必將導致云計算運行環(huán)境不可信。
? ?因此衅码,云計算平臺必須從虛擬化技術安全和虛擬機操作系統(tǒng)安全兩個方面入手,為租戶提供可信的虛擬計算資源環(huán)境垛玻。
云應用安全問題
? ?云應用安全包括云應用環(huán)境的安全和云應用自身的安全兩個方面。
? ?一方面夭谤,承載云應用的虛擬機操作系統(tǒng)的安全性是云應用安全的基礎,攻擊者可通過虛擬機操作系統(tǒng)的安全漏洞來對應用進行攻擊颊乘。由于云計算具有資源共享的特點醉锄,不同云應用使用的虛擬資源可能被綁定到相同的物理資源上,只要有共享資源就不可避免地存在惡意租戶對同一物理主機上其他租戶的云應用進行攻擊檩小。
? ?另一方面烟勋,云應用的安全漏洞巧能造成租戶的數(shù)據(jù)被惡意租戶非法訪問和攻擊。因此卵惦,建立可信的應用環(huán)境,確保云應用按照租戶預期執(zhí)行丛塌,是確保租戶數(shù)據(jù)的安全畜疾、保護租戶隱私信息的必要手段。這關系到云計算業(yè)務被租戶接受的程度啡捶,進而成為影響云計算業(yè)務發(fā)展的最重要因素。
租戶安全問題
? ?在傳統(tǒng)信息系統(tǒng)中徒溪,用戶數(shù)據(jù)安全主要關注數(shù)據(jù)的加密存儲和傳輸金顿、安全審計和容災備份,而在云中揍拆,云計算的特點決定了要實現(xiàn)集中式的數(shù)據(jù)存儲和資源共享,必須確保不同租戶的安全隔離播揪。在云計算環(huán)境下,租戶隔離機制必須保證共享計算資源和存儲資源的各個租戶不會受到其它租戶的任何行為的影響猪狈,其私有數(shù)據(jù)不會被其它租戶非法獲取。租戶的安全隔離體現(xiàn)在以下三點谓形。
? ?首先疆前,云服務提供商(CSP)在提供云計算服務時,如何使用網(wǎng)絡隔離機制童太、虛擬機隔離技術胸完、訪問控制、安全審計等措施來進行租戶隔離赊窥,是CSP建立云計算系統(tǒng)中必須考慮的首要問題。
? ?其次,云計算采用租賃方式向租戶提供資源肴捉,這意味著一個租戶使用過的存儲區(qū)域會被其他租戶使用,存在數(shù)據(jù)殘留問題傲隶。數(shù)據(jù)殘留是指數(shù)據(jù)刪除后的殘留形式(邏輯上已被刪除窃页,但在物理上依然存在)。在云應用中脖卖,如果一個租戶使用過的存儲空間在未被初始化的情況下分配給另外一個租戶使用,就可能導致一個租戶的數(shù)據(jù)被無意透露給未授權的一方袖扛。因此,剩余信息保護也是保證租戶隔離安全的前提條件之一唇礁。
? ?最后惨篱,云計算服務作為一種第三方服務,CSP在向租戶提供服務時砸讳,必須建立租戶隔離機制來保護租戶私有數(shù)據(jù)安全,并且CSP也必須向租戶提供有力證據(jù)吏奸,證明租戶隔離機制的安全和有效陶耍。但是,目前CSP使用的虛擬機隔離技術烈钞、訪問控制技術等措施,都是單方面從CSP的角度出發(fā)建立租戶隔離機制馒过。如何向租戶證明隔離機制的可信酗钞,提高租戶對隔離化制的信也,也是CSP需要考慮的問題窘奏。
? ?總的來說葫录,云計算技術的硬件和服務是分開的,租戶只是使用服務米同,根本不關必也不可能知道真正提供服務的服務器在哪里,再加上云龐大的規(guī)模和復雜性少孝,增加了整個系統(tǒng)出問題的可能性熬苍,一個小小的問題都可能造成整個云服務的崩潰,并且在出現(xiàn)問題后也很難定位。送對現(xiàn)有的安全體制提出了更離的挑戰(zhàn)梦裂。而目前對云的安全考慮主要集中在隱私盖淡、數(shù)據(jù)保存、身份管理褪迟、認證味赃、平臺環(huán)境安全等方面,迫切需要構建可信的云計算環(huán)境心俗,保證云計算的安全和服務的正常運行,確保用戶私有數(shù)據(jù)的安全和可控揪利,從而促進云計算的發(fā)展狠持。
