云安全技術解決方案發展趨勢

從整體上來說，國際上關于云計算安全問題的研究也是剛剛起步，雖然很多的組織和機構都在積極地對云計算的安全問題進行分析和研究，但主要是CSA 以及微軟、谷歌、亞馬遜等幾個為數不多的組織和機構能夠比較清晰地提出各自對云計算安全問題的基本認識以及關于云計算安全問題的初步解決方案。為此，現對主流企業云安全研究進展及技術解決方案進行闡述。



（1）微軟




微軟的云計算平臺叫做Windows Azure。在Azure 上，微軟通過采用強化底層安全技術性能、使用所提出的Sydney 安全機制，以及在硬件層面上提升訪問權限安全等系列技術措施為用戶提供一個可信任的云，從私密性、數據刪除、完整性、可用性和可靠性五個方面保證云安全。



·私密性：Windows Azure 通過身份和訪問管理、SMAPI 身份驗證、最少特權用戶軟件、內部控制通信量的SSL 雙向認證、證書和私有密鑰管理、WindowsAzure Storage 的訪問控制機制保證用戶數據的私密性。



·隔離：把不同的數據適當地進行隔離，作為一種保護方式。微軟提供了管理程序，Root OS 和Guest VMs 的隔離、Fabric Controllers 的隔離、包過濾、VLAN 隔離、用戶訪問的隔離五種隔離方式給用戶數據提供保護。



·加密：在存儲和傳輸中對數據進行加密，確保數據的保密性和完整性。此外，針對關鍵的內部通信，使用SSL 加密進行保護。作為用戶的選擇之一，Windows Azure SDK 擴展了核心。NET 類庫以允許開發人員在Windows Azure 中整合。NET 加密服務提供商（CSPs）；



·數據刪除：Windows Azure 的所有的存儲操作，包括刪除操作被設計成即時一致的。一個成功執行的刪除操作將刪除所有相關數據項的引用使得它無法再通過存儲API 訪問。所有被刪除的數據項在之后被垃圾回收。正如一般的計算機物理設備一樣，物理二進制數據在相應的存儲數據塊為了存儲其他數據而被重用的時候會被覆蓋掉。



·完整性：微軟的云操作系統以多種方式來提供這一保證。對客戶數據的完整性保護的首要機制是通過Fabric VM設計本身提供的。每個VM被連接到三個本地虛擬硬盤驅動（VHDs）：D 驅動器包含了多個版本的Guest OS 中的一個，保證了最新的相關補丁，并能由用戶自己選擇；E 驅動器包含了一個被FC 創建的映像，該映像是基于用戶提供的程序包的；C 驅動器包含了配置信息，paging 文件和其他存儲。另外存儲在讀/ 寫C:驅動中的配置文件是另一個主要的完整性控制器。至于Windows Azure 存儲，完整性是通過使用簡單的訪問控制模型來實現的。每個存儲賬戶有兩個存儲賬戶密鑰來控制所有對在存儲賬戶中數據的訪問，因此對存儲密鑰的訪問提供了完全的對相應數據的控制。Fabric 自身的完整性在從引導程序到操作中都被精心管理。

·可用性：Windows Azure 提供了大量的冗余級別來提升最大化的用戶數據可用性。數據在WindowsAzure 中被復制備份到Fabric 中的三個不同的節點來最小化硬件故障帶來的影響。用戶可以通過創建第二個存儲賬戶來利用Windows Azure 基礎設施的地理分布特性達到熱失效備援功能。



·可靠性：Windows Azure 通過記錄和報告來讓用戶了解這一點。監視代理（MA）從包括FC 和RootOS 在內的許多地方獲取監視和診斷日志信息并寫到日志文件中，最終將這些信息的子集推送到一個預先配置好的Windows Azure 存儲賬戶中。此外，監視數據分析服務（MDS）是一個獨立的服務，能夠讀取多種監視和診斷日志數據并總結信息，將其寫到集成化日志中。



（2）谷歌



在2010 年，為使其安全措施、政策及涉及到谷歌應用程序套件的技術更透明，谷歌發布了一份白皮書，向當前和潛在的云計算客戶保證強大而廣泛的安全基礎。此外，谷歌在云計算平臺上還創建了一個特殊門戶，供使用應用程序的用戶了解其隱私政策和安全問題。



谷歌的云計算平臺上主要從三個部分著手保障云安全。



·人員保證。谷歌雇傭一個全天候的頂級信息安全團隊，負責公司周圍的的防御系統并編寫文件，實現谷歌的安全策略和標準。



·流程保證。應用要經過多次的安全檢查。作為安全代碼開發過程，應用開發環境是嚴格控制并認真調整到最大的安全性能。外部的安全審計也有規則的實施來提供額外的保障。



·技術保證。為降低開發風險，每個Google 服務器只根據定制安裝必需的軟件組件，而且在需要的時候，均勻的服務器架構能夠實現全網的快速升級和配置改變。數據被復制到多個數據中心，以獲得冗余的和一致的可用性。在安全上，實現可信云安全產品管理、可信云安全合作伙伴管理、云計算合作伙伴自管理、可信云安全的接入服務管理、可信云安全企業自管理。在可信云安全系統技術動態IDC 解決方案中，采取面向服務的接口設計、虛擬化服務、系統監控服務、配置管理服務、數據保護服務等方法，實現按需服務、資源池、高可擴展性、彈性服務、自服務、自動化和虛擬化、便捷網絡訪問、服務可度量等特點。

（3）亞馬遜



亞馬遜是互聯網上最大的在線零售商，但是同時也為獨立開發人員以及開發商提供云計算服務平臺。亞馬遜是最早提供遠程云計算平臺服務的公司，他們的云計算平臺稱為彈性計算云（Elastic ComputeCloud，EC2）。亞馬遜從主機系統的操作系統、虛擬實例操作系統火客戶操作系統、防火墻以及API 呼叫多個層次為EC2 提供安全，目的就是防止亞馬遜EC2 中的數據被未經認可的系統或用戶攔截，并在不犧牲用戶要求的配置靈活性的基礎上提供最大限度的安全保障。EC2 系統主要包括以下組成部分。



·主機操作系統。具有進入管理面業務需要的管理員被要求使用多因子的認證以獲得目標主機的接入。這些管理主機都被專門設計、建立、配置和加固，以保證云的管理面，所有的接入都被記錄并審計。當一個員工不再具有這種進入管理面的業務需要時，對這些主機和相關系統的接入和優先權被取消。



·客戶操作系統：虛擬實例由用戶完全控制，對賬戶、服務和應用具有完全的根訪問和管理控制。AWS 對用戶實例沒有任何的接入權，并不能登錄用戶的操作系統。AWS 建議一個最佳實踐的安全基本集，包括不再允許只用密碼訪問他們的主機，而是利用一些多因子認證獲得訪問他們的例子。另外，用戶需要采用一個能登錄每個用戶平臺的特權升級機制。例如，如果用戶的操作系統是Linux，在加固他們的實例后，他們應當采用基于認證的SSHv2 來接入虛擬實例，不允許遠程登陸，使用命令行日志，并使用“sudo”進行特權升級。用戶應生成他們的關鍵對，以保證他們獨特性，不與其他用戶或AWS 共享。



·防火墻：亞馬遜EC2 提供了一個完整的防火墻解決方案。這個歸本地的強制防火墻配置在一個默認的deny- all 模式，亞馬遜EC2 顧客必須明確地打開允許對內通信的端口。通信可能受協議、服務端口以及附近的的源設定接口的網絡邏輯地址的限制。防火墻可以配置在組中，允許不同等級的實例有不同的規則。



·實例隔離：運行在相同物理機器上的不同實例通過Xen 程序相互隔離。另外，AWS 防火墻位于管理層，在物理網絡接口和實例虛擬接口之間。所有的包必須經過這個層，從而一個實例的附近的實例與網上的其他主機相比，沒有任何多余的接入方式，并可認為他們在單獨的物理主機上。物理RAM也使用相同的機制進行隔離。客戶實例不能得到原始磁盤設備，而是提供虛擬磁盤。AWS 所有的的圓盤虛擬化層自動復位用戶使用的每個存儲塊，以便用戶的數據不會無意的暴露給另一用戶。AWS 還建議用戶在虛擬圓盤之上使用一個加密的文件系統，以進一步保護用戶數據。



（4）中國電信



作為擁有全球最大固話網絡和中文信息網絡的基礎電信運營商，中國電信一直高度關注云計算的發展。對于云安全，中國電信認為，云計算應用作為一項信息服務模式，其安全與ASP（應用托管服務）等傳統IT 信息服務并無本質上的區別，只是由于云計算的應用模式及底層架構的特性，使得在具體安全技術及防護策略實現上會有所不同。為有效保障云計算應用的安全，需在采取基本的IT 系統安全防護技術的基礎上，結合云計算應用特點，進一步集成數據加密、VPN、身份認證、安全存儲等綜合安全技術手段，構建面向云計算應用的縱深安全防御體系，并重點解決如下問題。



·云計算底層技術架構安全：如虛擬化安全、分布式計算安全等。



·云計算基礎設施安全：保障云計算系統穩定性及服務連續性。



·用戶信息安全：保護用戶信息的可用性、保密性和完整性。



·運營管理安全：加強運營管理，完善安全審計及溯源機制。



隨著云計算部署和實施規模的日益擴大，對“云”安全的研究及技術解決方案的探索將持續深入。微軟、谷歌、亞馬遜等IT 巨頭們以前所未有的速度和規模推動云計算的普及和發展，而云安全技術推出的時間不長，且網絡威脅是動態變化的，所以云安全技術永遠都處于不斷研發、完善和前進的過程中。各大公司積極地應對云安全，為此，我們對云計算主流企業的云安全研究進展和解決方案進行分析和跟蹤，對我國云計算安全事業的發展有一定的現實意義。

來源：CIO時代網

　　版權及免責聲明：凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀