云安全 云安全浅析

一、云安全概述

自从云计算提出以来，安全性已经成为阻碍云计算发展的首要因素。趋势科技较早提出“云安全”的概念。2008年5月，趋势科技在美国正式提出“云安全”技术，使“云安全”成为云计算应用开发中最重要的研究课题之一。但对“云安全”概念的理解，可以说是仁者见仁智者见智。现阶段，业界有两种声音:一种是云本身的安全防护，也称云计算安全，包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等。；另一种是以云的形式提供和交付安全，即云计算技术在安全领域的具体应用，也称为安全云计算，即采用云计算技术来提高安全系统的服务性能，如基于云计算的反病毒技术、挂马检测技术等。这两个声音不仅代表了行业对云安全的需求，也推动了云安全研究方向的发展。

目前，云安全的研究主要分为三个方向:

(1)云计算安全，主要研究如何保证云本身及其各种应用的安全，包括云计算系统安全、用户数据的安全存储和隔离、用户访问认证、信息传输安全、网络攻击防护、合规性审计等。；

(2)安全基础设施云化，主要研究如何利用云计算技术构建和整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件和信息收集处理平台，实现海量信息的收集和关联分析，提高全网安全事件控制能力和风险控制能力；

(3)云安全服务，主要研究基于云计算平台为用户提供的各种安全服务，如防病毒服务。

第二，云安全面临的挑战

根据云安全联盟发布的统计数据，云计算面临的九大安全威胁是数据破坏、数据丢失、劫持账户或业务流、接口和API不安全、拒绝服务、恶意内部人员、滥用云服务、部署云服务前对云计算审查不足、技术漏洞共享。可见，云安全面临的挑战涉及技术、管理、法律法规等多个方面。

1.云安全面临的技术挑战

云计算平台的灵活性、可靠性和可扩展性的优势必须依赖于一些新技术，但这些新技术的使用不仅给云计算带来了安全性，也带来了一些新的安全风险。云计算提供的服务从下至上可以分为三个层次:IaaS、PaaS和SaaS。IaaS的虚拟化技术、PaaS的分布式处理技术和SaaS的应用虚拟化技术是构建云计算核心架构的关键技术，也是云计算平台面临技术风险的主要来源。除了下层云服务存在的技术风险，上层云服务也会有新的技术风险。

(1)对1)IaaS层的挑战分析

IaaS通过虚拟化技术集成和复用计算、存储、网络等IT基础设施，然后通过网络以服务的形式将这些IT资源提供给用户，让用户可以在这些资源上部署和运行软件，包括操作系统和应用程序。虚拟化技术是IaaS层的核心技术。由于系统虚拟化、网络虚拟化和存储虚拟化等虚拟化技术的使用，IaaS层面临着主机安全、网络安全、数据存储和迁移等诸多安全挑战。主机安全挑战来自虚拟机管理程序和虚拟机，例如通过虚拟机管理程序提供的API攻击的恶意代码、虚拟机管理程序自身的安全漏洞以及对虚拟机的外部攻击将在虚拟机集群中传播。一方面，网络安全挑战来自虚拟机与外部系统之间的通信安全风险，如DoS、网络监控等网络攻击。传统网络安全防护边界的消失，大大削弱了边界防火墙、入侵检测等传统网络安全防护技术的有效性；另一方面，来自于虚拟机之间的通信安全风险，比如同一虚拟局域网内存在多个虚拟机，给网络渗透攻击带来了机会。在数据存储方面，IaaS采用多租户架构，难以有效隔离数据。人为攻击和物理灾难可能导致数据丢失；在数据迁移方面，数据传输过程中的安全性难以保证，数据迁移措施的严格性和复杂性随着迁移数据量的增加而逐渐增加。

(2)PaaS层挑战分析

①①平台即服务中的数据处理安全风险

在云计算中，分布式文件系统和分布式数据库是基于云数据中心的大规模廉价服务器。因此，对于PaaS来说，数据不仅面临着IaaS中数据存储和迁移的安全挑战，还面临着数据处理的安全风险。数据处理安全风险主要体现在无法保证数据和计算的可用性，包括组件故障、处理速度慢、多用户并发访问、动态扩展等。

存储服务器和计算服务器的故障会导致分布式文件系统和分布式数据库无法正常存储和处理数据，从而可能导致数据丢失或同一数据的多个副本之间的数据不一致。数据分布在云平台中，数据处理的速度直接受到网络性能的影响。此外，每个位置的数据都与大量其他数据存储在一起，因此很难从海量数据中快速准确地检索到所需的数据。当多个用户并发访问时，文件系统或数据库的访问效率可能很低；对并发操作的不当控制可能会导致数据处理错误。让分布式文件系统和分布式数据库自动感知服务器的变化，并对相应的存储和处理操作进行一定的调整，使数据处理的性能不受服务器增减的影响，是PaaS面临的一个技术问题。

②平台即服务中的应用安全

PaaS为用户提供开发、测试和部署应用程序所需的编程接口、编程模型、软件堆栈和其他相关服务。服务的安全性直接关系到上层应用的安全性。因此，PaaS必须考虑应用程序安全保护措施。

在应用开发阶段，用户使用PaaS提供商提供的开发环境进行应用开发，风险主要来自三个方面:PaaS提供的开发环境不安全，用户提供的编程模型不清晰，PaaS提供的编程接口过于复杂。在应用部署阶段，用户在PaaS中部署自己的应用，PaaS的运营管理系统负责解决基础设施资源的所有供应和管理问题。用户部署措施不当，PaaS提供商运营管理措施不当，都会直接影响应用的安全性。

(3)SaaS层挑战分析

①来自SaaS供应商的安全风险

在多租户架构下，所有应用程序共享相同的存储、计算和其他基础架构。如果SaaS提供商不能隔离每个用户的应用程序，恶意用户就可以直接访问其他人的应用程序，并且可以更改应用程序的原始设置、窃取私人数据等等。

由于采用虚拟化技术，不同版本的虚拟机和数据库需要安装不同的补丁。因此，在云应用系统上安装补丁之前，SaaS提供商需要确认应该使用哪个版本的补丁，并进行安全性测试；此外，如果修补程序与应用程序不兼容，安装修补程序后应用程序将受到影响。

②传输链路的安全风险

用户通过网络传输个人信息和应用数据。攻击者不仅可以窃取和修改用户的应用数据，还可以通过各种网络攻击获取用户的身份信息，然后进行非法访问；此外，DoS、DDoS等攻击也可能导致云应用服务不可用。

2.云安全面临的管理挑战

与传统的IT架构不同，云计算中数据的所有权和管理权是分离的。用户将自己的数据存储到云服务提供商，完全由云服务提供商管理；云服务提供商对云数据没有所有权，不能直接查看和处理数据本身，因此管理方式受到很大限制。此外，云服务提供商无法知道用户使用的终端和相关操作是否安全，这可能会导致许多不可控和意外的风险。因此，与传统的IT架构相比，云计算面临着许多新的管理挑战。

(1)云服务不能满足SLA

在实际的服务过程中，云服务提供商很难完全履行在服务水平协议(SLA)中对可用性、响应时间和安全性所做的承诺，原因有很多:与传统IT架构相比，云计算面临很多新的安全风险，相关防御技术还不成熟；大量云用户的海量云数据难以安全存储和管理；目前，“宽带不广”已经成为云计算发展的瓶颈，网络攻击难以防范；当大量终端接入云服务时，终端风险会严重威胁云服务质量。此外，如果用户在使用云服务时对云服务中的一些参数设置不当，也会在一定程度上影响云服务的性能。

(2)云服务不可持续的风险

在云计算中心，任何小的代码错误、设备故障或操作错误都可能导致服务失败；针对云中心的攻击和网络攻击层出不穷，也极大影响了云服务的可用性；除了设施故障和人为原因外，地震、台风等自然灾害也可能造成服务中断。此外，如果云服务提供商破产，云服务将被终止。如果收购云服务提供商，会有因技术升级导致原有云服务中断一段时间的风险，甚至不可避免的被终止。此外，基础设施提供商和技术提供商是云服务供应链中不可或缺的参与者。如果任何一方突然无法继续供应，云服务提供商无法立即找到新的提供商，供应链将会中断，然后相关的云服务可能会失败或终止。

(3)身份管理面临挑战

云服务面临着来自不同领域的大量用户，不同的用户具有不同的身份属性。如何从多个身份属性中选择一个属性集，并使每组属性信息一一对应特定权限的用户，难度更大；云数据的所有者可以向其他用户授予一些访问和操作权限。因此，同一个用户可能有多个身份，很难为同一个用户设置不同的身份并严格授权。不同领域的数据有不同的安全标准，同一用户拥有的数据有不同的敏感度。也很难制定访问策略来使数据满足安全要求。此外，云服务提供商还必须考虑申请使用云服务的人员的合法性。如果攻击者能够注册并使用云服务，那么攻击者就有可能向云发送恶意数据，攻击云服务，给云服务的安全带来很大的风险。

3.云安全面临的法律和监管挑战

云计算作为一种新的服务模式，具有虚拟性和国际性的特点，这导致了许多法律和监管问题，使云服务面临各种法律和监管挑战。

(1)跨境数据

云计算的特点是地域性弱，信息流动性大，数据可以跨边界存储和传输。每个国家对于是否允许在本国跨境存储和传输数据都有相关的法律要求，云服务中的跨境数据可能会违反云用户所在国家的法律要求。

(2)隐私保护

在云服务中，云服务提供商需要有效保护用户隐私，不能允许未授权用户以任何方式、任何形式获取用户隐私信息。但一些国家的隐私保护法明确规定，允许部分执法部门和政府成员在未经数据所有者许可的情况下查看自己的隐私信息，以有效保护国家安全。因此，云服务中的隐私保护政策可能与一些国家隐私保护法的相关规定相冲突。

(3)安全评价和责任认定

目前，云计算安全标准和评估体系尚未建立。因此，云用户的安全目标和云服务提供商的安全服务能力不能参照统一的标准来衡量，在发生安全事件时，也不能根据统一的标准来确定责任。目前还没有专门针对云安全的法律。因此，云服务提供商和用户之间签订的合同的合规性和合法性无法确定。一旦发生安全事件，云服务提供商和用户可能会各持己见，根据不同的标准确定各自的责任，以实现自身利益最大化，从而引发诸多争议和纠纷。

三、云安全技术的现状

为了应对云安全的挑战，业界和学术界从虚拟安全技术、数据安全技术和应用安全技术三个方面进行了研究。

1.虚拟安全技术

虚拟技术是实现云计算的核心技术，用虚拟技术搭建的云计算平台必须为用户提供安全和隔离保障。

(1)虚拟机隔离技术

目前，虚拟机安全隔离的研究大多基于Xen虚拟机监控器。林坤等人提出了基于英特尔VT-d技术的虚拟机安全隔离架构；Santhanam等人提出了基于虚拟机技术的网格环境下的隔离执行机；Raj等人提出了两种资源管理方法，通过缓存层次结构可感知地分配内核，并对缓存划分的页面进行染色，实现了性能和安全的隔离。通过适当的访问控制机制增强虚拟机之间的隔离也是虚拟机隔离技术的一个重要研究方向。典型的虚拟机访问控制模型是Reiner Sailer在2005年提出的sHype。

(2)虚拟机安全监控

目前虚拟机安全监控的相关研究工作可分为内部监控和外部监控两大类。内部监控是指将内核模块加载到虚拟机中，拦截目标虚拟机的内部事件，内核模块的安全性由Hypervisor保护。外部监控是指通过虚拟机管理程序拦截目标虚拟机中的事件。基于虚拟化的内部监控模型的典型代表系统是Lares和SIM，基于虚拟化的外部监控模型的典型代表系统是Livewire。现有的工作大多集中在使用Hypervisor来保护目标虚拟机中的钩子函数，或者从目标虚拟机外部查看内部状态。虽然这两种监控方法可以很好地实现虚拟机的安全监控，但也存在一些不足，主要体现在两个方面:一是现有的研究工作缺乏普适性；第二，虚拟机监控和现有安全工具之间存在融合问题。

(3)虚拟机的安全保护和检测

虚拟机的安全保护需要重点关注虚拟机之间的流量安全。根据流量的转发路径，用户流量可以分为纵向流量和横向流量两个维度。垂直流量包括从客户端到服务器的访问请求流量和不同虚拟机之间的三层转发流量。这些流的共同特征是它们的交换必须通过外部硬件安全层，这种层称为垂直流控制层。与传统的数据中心流量安全保护相比，垂直流量的保护没有本质区别。垂直流量的保护可以直接借鉴传统的保护方式，通过挂在汇聚层旁边或者在核心层和汇聚层之间串联，可以安全部署内置拦截安全攻击能力的防火墙和入侵检测系统。同一台服务器上不同虚拟机之间的流量(水平流量)在服务器内部直接交换，使得外部网络安全管理员无法通过传统的保护和检测技术监控虚拟机之间的水平流量。目前，监控和检测同一台服务器上不同虚拟机之间流量的技术途径主要有两种:一种是基于虚拟机的安全服务模型技术，另一种是利用边缘虚拟桥接(EVB)技术实现流量重定向的安全检测。

2.数据安全技术

(1)数据隔离技术

建立有效的数据隔离机制是保证云数据安全的重要措施之一。将数据分为不同的安全级别是成功实施数据隔离和数据保护的第一步。其次，需要根据数据属性制定访问策略，防止未经授权的用户查看、获取和处理其他用户的数据，从而实现有效的数据隔离。

近年来，密码学为访问控制技术的研究注入了新的活力，许多高安全性的访问控制技术在云计算中得到了广泛的应用。加州大学的Sahai A和斯坦福大学的Waters B于2005年首次提出了基于属性的加密(Abe)方案，实现了基于属性的加密和解密。为了满足实际应用中访问控制的需要，很多研究者在基本ABE的基础上进行了改进，形成了两种方案:KP-Abe(基于密钥策略属性的加密)和CP-Abe(基于密文策略属性的加密)。

(2)密文云存储技术

在云计算环境下，为了保证数据的机密性，一般的方法是对数据进行加密和存储。但是数据变成密文后，就失去了很多特性，导致了大多数数据分析方法的失败。密文检索技术可以解决云环境下密文的高效检索问题。密文检索技术根据数据类型的不同可以分为三类:非结构化数据密文检索、结构化数据密文检索和半结构化数据密文检索。密文检索的典型方法有两种:基于安全索引的方法为密文关键词建立安全索引，通过搜索索引查询关键词是否存在；基于密文扫描的方法比较密文中的每个单词，确认关键词是否存在，并统计它们出现的频率。由于某些场景(如发送加密邮件)需要支持非所有者用户的检索，Boneh等人提出了一种支持其他用户公开检索的方案。密文处理研究主要集中在秘密同态加密算法的设计上。早在20世纪80年代，就有人提出了各种加法同态或乘法同态算法。然而，由于已证实的安全缺陷，后续工作基本处于停滞状态。最近，IBM研究员Gentry使用“理想格”的数学对象来构造隐私同态算法，或称全同态加密，以便人们可以完全操纵加密的数据。该算法在理论上有所突破，相关研究再次得到研究者的关注，但要付诸实践还有很长的路要走。

(3)云数据完整性验证技术

传统的数据完整性验证方法主要基于数字签名、数据结构和概率。但是在云计算环境下，由于用户上传到云端的数据没有本地副本，传统的数据完整性验证方法无法直接使用。此时，为了验证数据的完整性，最简单的方法是用户从云中下载所有数据，然后按照传统的方法验证数据的完整性，但是这样会给用户带来昂贵的输入/输出开销和通信开销。因此，如何在没有本地数据副本的情况下高效地验证外包云数据的完整性，已经成为云计算环境下确保数据安全的一大挑战。

目前云数据完整性验证技术根据执行实体可以分为两类，即用户与云服务提供商交互完成验证，用户授权可信第三方进行数据完整性验证。无论哪种方式，都要遵循最大限度降低客户端的存储、计算和通信开销以及云负担的原则，才能获得更好的服务质量。

(4)数据隐私保护

云数据隐私保护涉及数据生命周期的每个阶段。罗伊等人将集中式信息流控制(DIFC)和差分隐私保护技术集成到云中的数据生成和计算阶段，提出了一种隐私保护系统Airavat，可以防止地图缩减计算过程中未经授权的隐私数据泄露，支持计算结果的自动解密。在数据存储和使用阶段，莫布雷等人提出了一种基于客户端的隐私管理工具，该工具提供了一种以用户为中心的信任模型，帮助用户控制其敏感信息在云中的存储和使用。Munts-Mulero等人讨论了现有的隐私处理技术，包括K匿名、图匿名和数据预处理，以及一些现有的解决方案。Rankova等人提出了一种匿名的数据搜索引擎，可以让双方搜索对方的数据，获得自己需要的部分，同时保证搜索查询的内容不被对方知晓，在搜索过程中不会获得与请求无关的内容。

3.应用安全技术

在云计算环境中，每个云应用属于不同的安全管理域，每个安全域管理本地资源和用户。当用户跨域访问资源时，需要在域边界设置认证服务，以便对访问共享资源的用户进行统一的身份认证管理。在跨多个域的资源访问中，每个域都有自己的访问控制策略。在共享和保护资源时，需要为共享资源制定共同的访问控制策略，这是双方都同意的。因此，有必要支持政策的综合。这个问题最早是Mclean在强制访问控制的框架下提出的。他提出了一个强制访问控制策略的复合框架，将两个安全网格合并成一个新的网格结构。同时要保证新策略的安全性，新合成的策略不得违反各域原有的访问控制策略。为此，龚提出了自主安全原则。Bonatti提出了一种访问控制策略合成代数，该代数基于集合论使用合成算子来合成安全策略。Wijesekera等人提出了一个基于授权状态变化的策略合成的代数框架。Agarwal为语义Web服务构建了一个策略组合方案。沙菲克提出了一种多信任域的RBAC策略合成策略，该策略主要解决合成策略与每个信任域的原始策略之间的一致性问题。

第四，云安全服务体系

云计算安全服务系统由一系列云安全服务组成，是实现云用户安全目标的重要技术手段。云安全服务根据其不同的层次，可以进一步分为三类:云安全基础设施服务、云安全基础服务和云安全应用服务。

1.安全的云基础设施服务

云基础设施服务为上层云应用提供数据存储、计算等安全的IT资源服务，是整个云计算系统安全的基石。这里，安全有两层含义:一是抵御外部黑客安全攻击的能力；第二是证明你不能破坏用户的数据和应用。一方面，云平台应分析传统计算平台面临的安全问题，采取全面严格的安全措施，例如物理层应考虑工厂安全，存储层应考虑完整性和文件/日志管理、数据加密、备份、灾难恢复等。·网络层应考虑拒绝服务攻击、DNS安全性、网络可访问性、数据传输的保密性等。，系统层应涵盖安全问题，如虚拟机安全、补丁程序管理和系统用户身份管理。数据层包括数据库安全、数据隐私和访问控制、数据备份和清理等。，而应用层要考虑程序完整性检查和漏洞管理等另一方面，云平台要向用户证明自己有一定程度的数据隐私保护，比如在存储服务中，证明用户数据是以保密状态存储的，在计算服务中，证明用户代码运行在受保护的内存中。由于用户的安全需求不同，云平台应该有能力提供不同安全级别的云基础设施服务。

2.云安全基础服务

云安全基础服务属于云基础软件服务层，为各类云应用提供通用的信息安全服务，是支持云应用满足用户安全目标的重要手段。其中，典型的云安全服务类型如下。

(1)云用户身份管理服务

主要涉及身份的提供、注销和身份认证过程。身份联合、单点登录等云身份联合管理流程要在保证用户数字身份隐私的前提下进行。由于数字身份信息可能在多个组织间共享，其生命周期各阶段的安全管理更具挑战性，云计算环境下基于联合身份的认证过程也有更高的安全要求。

(2)云访问控制服务

云访问控制服务的实现取决于如何对传统的访问控制模型和各种授权策略语言标准(如XACML、SAML等)进行适当的扩展。)并将其移植到云环境中。此外，鉴于云中各种企业提供的资源和服务的兼容性和可组合性越来越强，组合授权也是云访问控制服务安全框架中需要考虑的一个重要问题。

(3)云审计服务

由第三方进行的审计对于澄清安全事件的责任和确保云服务提供商满足各种合规性要求非常重要。云审计服务必须提供满足审计事件列表的所有证据，以及证据的可靠性描述。当然，如果证据没有披露其他用户的信息，就需要一种专门设计的数据取证方法。

(4)云密码服务

除了最典型的加密和解密算法服务之外，密码操作中的密钥管理和分发、证书管理和分发可以以基本云安全服务的形式存在。云密码服务不仅简化了用户密码模块的设计和实现，而且使密码技术的使用更加集中、规范和易于管理。

3.云安全应用服务

云安全应用服务与用户需求紧密结合，种类繁多。典型的例子有DDoS攻击防护云服务、僵尸网络检测与监控云服务、云网页过滤与杀毒应用、内容安全云服务、安全事件监控与预警云服务、云垃圾邮件过滤与防范等。传统网络安全技术在防御能力、响应速度、系统规模等方面存在局限性。，这使得越来越复杂的安全需求难以满足，而云计算的优势可以很大程度上弥补这些不足。云计算提供的超大规模计算能力和海量存储能力，可以大大提高安全事件收集、关联分析、病毒防范等方面的性能。可用于构建超大规模安全事件的信息处理平台，提高对全网安全态势的把握能力。此外，可以通过海量终端的分布式处理能力收集安全事件，并上传到云安全中心进行分析，大大提高了收集安全事件和及时响应的能力。