云计算安全问题浅析
【摘要】云计算是基于互联网的技术,本文从云计算的三个层次分析了云计算的安全问题,并提出了解决问题的方法。
【关键词】云计算;安全;模型
1. 引言
云计算被看作第三次IT浪潮。它改变了信息技术的供给和使用方式,可以按需获取和使用,并按使用付费,将带来生活、生产方式和商业模式的根本性改变。
来自云安全联盟的调查表明,有88%的受访者担心自己在云端的敏感数据可能会丢失或者遭到破坏。IT经理担心如果把数据迁移到云端就会处于危险之中,因为他们不知道数据会不会得到正确的保护,而且这样有可能会影响他们的工作和业务。
大致可以将云计算面临的安全威胁划分为以下九种:(1)数据破坏;(2)数据丢失;(3)帐户劫持;(4)不安全的API;(5)拒绝服务;(6)恶意的内部人员;(7)滥用和恶意使用;(8)审查不足;(9)共享技术问题。
2. 云计算的概念
美国国家标准与技术研究所(national institute of standards and technology ,NIST)定义了云计算的5个关键特征、3种服务模型和4种部署模型,此定义被业界广泛采纳。
2.1 云计算关键特征
1) 按需自助服务 (on-demand self-service)
2) 宽带网络接入 (broad network access)
3) 虚拟化的资源“池” (resource pooling)
4) 快速弹性架构 (rapid elasticity)
5) 可测量的服务 (measured service)
2.2云服务模型
1) 软件作为服务 (software as a service, SaaS)
2) 平台作为服务 (platform as a service, PaaS)
3) 基础设备作为服务 (infrastructure as a service, IaaS)
2.3 云部署模型
1) 公共云 (public cloud)
2) 私有云 (private cloud)
3) 社区云 (community cloud)
4) 混合云 (hybrid cloud)
3. 云计算中的信息安全
现实中的各种云产品,在服务模型、部署模型、资源物理位置、管理和所有者属性等方面呈现出不同的形态和消费模式,从而具有不同的安全风险特征和安全控制职责和范围。因此,需要从安全控制的角度建立云计算的参考模型,描述不同属性组合的云服务架构,并实现云服务架构到安全架构之间的映射,为风险识别、安全控制和决策提供依据。
CSA(cloud security alliance云安全联盟)的模型
图1 云模型,安全控制和合规模型
从服务模型的角度,CSA(云安全联盟)提出了基于3种基本云服务的层次性及其依赖关系的安全参考模型,并实现了从云服务模型到安全控制模型的映射,如图1所示。该模型显示PaaS位于IaaS之上,SaaS位于PaaS之上。该模型的重要特点是供应商所在的等级越低,云服务用户所要承担的安全能力和管理职责就越多。
根据资源或服务的管理权、所有权和资源物理位置的不同,CSA也给出了不同的云部署模型的可能实现方式及其不同部署模式下共享云服务的消费者之间的信任关系,如图2所示。
图2 云部署模型的实现
对于每一种云部署实现方式,都可以提供3种基本的云服务。云部署实现的不同方式和基本云服务的组合构成不同的云服务消费模式。结合图1所示的云服务安全参考模型,可以确定不同的云服务消费模式下供应商和用户的安全控制范围和责任,户评估和比较不同云服务消费模式的风险及现有安全控制与要求的安全控制之间的差距,做出合理的决定。
4. 云计算的安全挑战
CSA发布的最新版本《云计算关键领域安全指南》,主要从攻击者角度归纳云计算环境可能面临的主要威胁,提出12个关键安全关注域,罗列出了最为常见、危害程度最大的7个威胁,如表1。
表1 CSA列出的7大云计算安全威胁
威 胁 描 述
滥用和恶意使用云计算 利用云服务发送垃圾邮件或传播恶意代码等恶意活动
不安全的接口和API 接口质量和安全没有得到保障以及第三方插件的安全
不怀好意的的内部人员 从组织内部发起攻击,如果公司使用了云服务,威胁将会进一步放大
基础设施共享问题 攻击者获取IaaS供应商的非隔离的共享基础设施的不受控制的访问权
数据丢失或泄露 云中不断增长的数据交互放大了数据丢失或泄露的风险
账户或服务劫持 攻击者获得云服务的凭据,导致云服务客户端的问题
未知的风险 未知的安全漏洞、软件版本、安全实践、代码更新等
5. 云计算安全应对策略
5.1 针对云模型不同层次的安全对策
云计算中的安全控制机制与传统IT环境中的安全控制机制没有本质的不同。三个层次的安全,IaaS是基础,PaaS是应用开发框架,SaaS是面向用户提供最直接的服务,三个层次对应的信息保护措施如表2。
表2 云计算安全模型框架中安全问题与对策
服务层 安全问题 应对措施
IaaS 物理安全 加强公共基础设施保护能力、服务商对云服务的基础设施包提供一定的质量保证。加强硬件系统和操作系统的安全和稳定。
存储安全
因篇幅问题不能全部显示,请点此查看更多更全内容