云安全的现状、问题及对策分析

1云安全的现状、问题及对策分析摘 要随着新技术的不断发展,云安全走进了人们的生活,它利用互联网的传输及计算功能，将原来放在客户端的分析计算能力转移到了服务器端。 “云安全”技术的应用越来越广泛,这项技术将在传统的病毒防御技术的基础之上,建立起更加完备的立体型的安全防御体系。随着云技术的不断发展,将会有更多的使用群体加入进来,那时云安全技术的发展以及安全的“云”将会具有更大的影响力,将会有越来越多的用户受益于“安全云” 。此次研究探讨了国内外云安全研究现状，指出云安全当前面临的主要问题，再以主流云安全厂商为例，为未来日子里的“云安全”建设提供防护建议，对云安全检测软件也具有一定的借鉴参考作用。关键词：互联网；云安全；应对策略绪论1.1 选题背景和意义云计算引起的安全事件和风险相对于传统应用要高出非常多，其原因是用户及信息资源的高度化集中。自 2009 年起，Microsoft、 Amazon、Google 等 IT 企业云计算服务器发生重大安全事故使众多客户的信息服务遭受影响，这都让业界对于云计算应用安全的忧虑与日俱增。2图 1-1 云安全信任危机数据来源：杨光华伴随着信息技术的更新换代，云安全进入了人们的视线，它运用了互联网的传输和计算功能，把分析计算能力从原来的客户端挪到了服务器端。云安全技术的应用层面越来越广，在未来，它会在传统的病毒防御技术的基础上构建起更完善的立体型安全防御体系。在不久的将来，会有更多的使用群体受益于“安全云” ，届时云安全技术的发展和安全的“云”会造成更大的影响。此次研究旨在为未来日子里的“云安全”建设提供防护建议，对云安全检测软件也具有一定的借鉴参考作用。1.2 文献综述 从 2009 年开始， “云技术” 、 “云计算”和“云安全”等相关“云”词汇便开始进入我们生活，面对互联网新的一股技术浪潮，各界都有着自己的看法，对“云”的探讨从未停止。SpringBoard 分析师副经理刘经纬在 2011 年表示，使用公有云的企业可以通过租用公有云服务的方式来达到减少硬件投资的目的，然而若企业对于可用性要求会高一点的话，则需要投入大量资金购买私有的基础设施等方式来构建私有云。 1天云科技韦轶群在 2011 年表示，要实现较好的运算云计算中心仅仅用小型服务就可以做到，若是运算量大又要求效率高的话，大型服务器则是必须的，例如天气信息的计算等等。 2曙光天演信息技术有限公司副总裁聂华在 2011 年表示，尽管云计算技术的确不够成熟，但是传统运作模式也因之被注入了更多的活力。就好像大家用的谷歌搜索引擎1范伟,云计算及其安全问题探讨田J,保密科学技术,2011(10)2胡晓荷，云安全 网页挂马的克星J，信息安全与通信保密，2009（2）:31-32.3那样，我们可以通过购买服务等模式让生活更加简便，这也是我们看到的云计算的发展希望。 3应用程序安全公司 Veracode 的共同创办人及首席技术官 Chris Wysopal 在 2011 年表示，由于应用程序已经转移到云提供商的原因，现在对于应用程序在公司内部范围内能够接受的风险问题要重新慎重考虑。 4CSA 的创办会员 Dennis Hurst 在 2011 年指出，之所以大多数应用程序的存储方式、数据传输的方式的安全性被认可，是因为它们都是在企业数据中心的基础上建立起来的。 5Zscaler 的 Sutton 在 2012 年指出，身处云环境中时，企业使用的安全工具及服务不可以和公司内部的一样，例如网络应用防火墙等等。举个例子说明，企业使用网络应用防火墙来提高传统应用程序的安全级别，那么在云里则不能再次使用这种工具了。6惠普的 Hurst 在 2012 年表示，改善云安全状况的一个机会是将传统的应用程序挪往云环境里。 7中国联通研究院研发部副经理张云勇 2012 年在接受采访时表示，云计算由传统分布式计算发展过来的，可不能说只是新瓶装旧酒。 8鲍尔墨在 2012 年表示计算机领域的下一个阶段是云技术，这也是互联网赐予人类的礼物。 9德国信息技术、通信及新媒体协会主席迪特尔肯普 2013 年在汉诺威信息及通信技术博览会上接受新华社记者专访，说到：“单单从技术层面观看，云计算的发展是符合逻辑的；若是从调整自身基础架构和企业的应用来说，这是革命” 。 10趋势科技大中华区执行副总裁张伟钦 2013 年表示：“我们公司为了中国的云计算用户给在极早期便作出了大量投资和北京的云基地谋求共同发展，给他们提供最先进的、全生命周期的混合云管理安全解决方案” 。 113吉义，沈千里，章剑林，沈忠华，平玲娣，云计算：从云安全到可信云.计算机研究与发展J.中国信息界，2010(11) 4潘剑锋，主机恶意代码检测系统的设计与实现D，安徽：中国科学技术大学计算机科学与技术学院出版社，2009.5肖珑，张翠，鹿凯宁，基于趋势和瑞星云安全方法的改进设计J中国教育网络，2011，2:86-876游项锋，打造安全的网络环境之“云安全” ，电脑编程技巧与维护J， 商务现代化，2009 年（7）7余娟娟 ，浅析“云安全”技术J，计算机安全，2011（09）8张茜，云安全环境下的恶意代码前端检测技术研究D，安徽：合肥工业大学计算机与信息学院出版社，2011.9朱芳芳，云安全实现措施的研究J，商品与质量.2010 年（6）10 Jon Oberheide,Evan Cooke,Farnam Jahanian.Rethinking anivirus:Executable analysis in the network cloudC.USENIX Association,Boston,MA:2nd USENIX Workshop on Hot Topics in Security,2007-08.11 Yan W,Ansari N.Why anti-virus products slow downn your machine?C.San Francisco,California,USA:Proceedings of 18th International Conference on Computer Communications and Network,2012.4图 1-2 业界探索云计算安全体系架构数据来源：杨光华1.3 概念界定云技术：即云计算（cloud computing） ，是一种分布式计算技术，通过网络自动把海量的计算处理程序拆分成无数个子程序，然后让众多服务器形成的庞大系统经过搜寻、计算、分析过后把处理的结果回传到用户手里。有了这门技术，网络服务供应商能享受到像“超级计算机”一样的超高效网络服务，在仅仅几秒内就可以处理上千万甚至上亿的信息。表 1-1 云计算与传统方式的对比传统方式 云计算实现模式 采购设备，开发系统 购买外部服务商业模式 支付设备和劳动力费用 所用即所付，按需服务技术模式 用户单一 多用户，有弹性计算能力 特定规模 超大规模可扩展性 不可扩展 可扩展，可以动态伸缩运行成本 高 极其廉价数据来源：郭春梅云安全：“云安全（ Cloud Security） ”，融合了未知病毒行为判断、网格计算、并行处理等技术，透过网状的海量客户端监测异常软件行为，把最新获得的木马及恶意程序交由 Server 端作分析处理并将木马病毒的解决方案发放到每一个客户端。5图 1-3 云安全概述数据来源：杨光华按需的自服务：云计算服务区别于传统网络服务或者普通的 IT 服务的特点是它不需要人工干预即可自助服务，比如缴费、开通服务、变更配置等等。快速弹性架构：云计算服务的用户不必再为系统规模的扩大缩小而烦恼，这些只要点下鼠标就能轻松解决。软件即服务（SaaS）：用户可以在服务提供商端获取完备的应用程序，只要网络连接便可以使用，但只可以对其做小幅度的改变，不能作调整。无论是前台的办公应用，还是后台的客户关系管理、数据分析，亦或业务流程管理及人力资源管理等，全能在云端取得支持。平台即服务（PaaS）：一种能为使用者提供特定的平台、工具，将其所开发的应用程序部署到云上运行的服务。服务提供商让用户自行编写新的程序，且提供给他们一个构建、部署和管理的平台（架构与软件系统） ，从而迅速将程序部署在互联网。这种服务能让开发者省去大量软硬件成本，支持特定形式的程序语言及环境。架构即服务（IaaS）：出租基本运算和储存能力的服务，一般来说指服务器，包括网络、CPU、储存资源、操作系统和其他的资源。云服务提供商接受企业的委托为其提供企业内部所需的架构，这样，IT 基础架构也成为了服务。用户无需对云端底层基础架构进行管理，然而还是可以对操作系统、网络、储存和所部署的应用程序有所掌握。服务提供商会为用户提供虚拟机，计价方式是以实际使用量来计算。6图 1-4 SaaS、PaaS、IaaS 概述数据来源：百度图片图 1-5 安全控制与 SaaS、PaaS、IaaS数据来源：赵粮1.4 研究框架1.4.1 研究内容此次研究的思路大概如下：所要研究问题的背景问题的现状探讨解决问题的建议策略结合案例分析总结1.4.2 研究方法1.文献法：研读国内外安全信息技术领域专家作品文献等资料，整理其关于云安全的观点内容，同时结合自己的见解作出分析。72.实证分析法：搜集云计算服务厂商所公开的数据并进行分析，提取有价值信息。3.案例研究法：引用实际案例对云安全发展进程进行探讨，为云安全建设提供借鉴 2 云安全现状分析“云”的世界风起云涌，云安全公司、云服务提供商、企业、消费者都在努力寻找自身的角色定位，以适应这互联网的又一巨大变革！图 2-1 云，让你生活更简单数据来源:百度图片2.1 全球企业和消费者对云计算安全的关注云计算能够充分利用互联网的高速传输能力，可以让数据的处理过程在大型计算中心和个人计算机之间互相转移，又能提供计算能力、储存能力的服务，是新型的商业计算模式。业界对云计算模式普遍认可，将其纳为信息技术领域新的发展方向。云计算的广泛使用也使得云的安全性受到更多质疑，我们在享受云计算便利的同时也不能无视它的风险所在，若安全问题无法得到妥善解决，云计算也终将是“云烟” ，无法触碰。对于云计算，有众多讨论中，调查特别有代表性的是 Safenet。 “关于云计算的问题，有 88.6%的企业表示最担忧其安全性。从一个方面来说，要想实现云计算的大规模运用，安全防护是最大的拦路虎；另外，它也能为在云模式的大环境下寻求有效的数据保护方式推波助澜，企业能够依靠云模式激发最大的商业潜力不断创新，不断成长。 ”从消费者的角度来看，传统的安全产业受到了弹性计算及海量数据计算的强大冲击，消费化趋势越来越明显，安全因为云计算从开始的“奢侈品”变成了“消费品” 。社会调查结果显示，企业及消费者最为关心的是怎样确保云环境的安全，怎样处理好云计算的安全和管理问题也是云计算产业迫在眉睫要解决的重要问题。82.2 云计算安全理论研究及规范、标准现状分析云计算是一种新型 WEB 服务模式，计算和存储能力从桌面端转移到云端、及网络资源的动态伸缩是其内在本质，目的是提高企业运作效率和减少 IT 成本，涵括了软件即服务（SaaS） 、平台即服务（PaaS） 、和架构即服务（IaaS）等方面。不难预见的未来，云计算对当下的工作方式和商业应用造成了翻天覆地的变化，担负着在 IT、电信、互联网、政府和金融企事业单位众多范围内的构建信息化的重任。云计算应用安全的研究在不断成熟当中，现有的主流研究组织有CAM(common assurance metric beyond the cloud通用保障测量体系 )和CSA(Cloud Security Alliance，云安全联盟) 。业内多家企业为加强云计算应用安全的研究和发展，指引用户们进行安全云计算，于2008年的12月共同建立了CSA这样一个非盈利的组织。2009年12月7日，CSA对外发布了新一期的 云计算安全指南 （V2.1 ） ，分析了云计算当中的安全控制模型、技术架构模型和相关合规模型之间的映射关系，并于云计算用户的角度说明了安全威胁、商业隐患和理应进行的安全举措。图2-2 云计算安全指南数据来源：张立强 CAM项目，是由欧洲网络信息安全局（ENISA）和CSA共同发起的，它的目标是研发出一个科学、合理的测量标杆，来对云计算服务提供商的安全执行力做出评测。并且，在2011年1月，为给公有云计算的安全及隐私保护提供安全性意见，SP800-1449标准草案也被美国国家标准委员会所推出。3 “云安全”存在的威胁及应对策略云技术的兴起使人类在互联网的发展到达了又一巅峰，然而“云”也是一把双刃剑，威胁必然存在，如果要帮助人们解决对云计算安全威胁的担心，第一步就是正确的识别安全威胁，然后研究开发出正确的威胁消灭方案，与时俱进不断革新，适应不断变幻的“云”威胁。图 3-1 云安全的疑惑数据来源：中关村在线3.1 云计算的滥用、恶用、拒绝服务攻击第一，云计算会遭遇严峻挑战的原因之一是它提供服务的方式是WEB方式和宽带网络，对此，云计算服务提供商必须作出强有力的保护举措来面对云计算服务的拒绝服务攻击威胁。另一方面，按需自服务的特征要求在开通服务和变更服务这些环节更具灵动性，服务提供商根据云计算快速弹性的特征又会被要求拥有极强的网络与服务器资源。这样，云计算服务的滥用和恶意使用就不足为奇了。2010年，David Bryan在Defcon会议上当众表演发动拒绝服务攻击，仅仅用了6美元就在Amazon的EC2云计算服务平台对目标网站完成了。恶意使用案例还有很多，例如建起僵尸网络、破解密码等都是通过云计算服务实现的。可行对策：强化防拒绝服务攻击能力，包括在最初的云计算服务设计阶段深化安全意识；对第一次注册与验证过程进行严密的设计，监管协调信用卡当中的诈骗行径；搭设可能遇到的安全威胁场景然后在业务逻辑设计步骤里面进行特定的保护；提高快速响应能力应对网络诉求和监管机构的问询；留意自身网络有没被当做恶意软件及垃10圾邮件来源；随时查看公共黑名单。3.2 不安全的接口和 AP为了在技术层面上让资源和能力开放这个云计算时代非常关键的业务改革实现，海量网络接口与API就要云计算服务提供商来供应，以此来寻求业务伙伴，协调上下游工作，乃至向客户供应直接的服务。然而当前的测试工具或者测试方法在面对网络接口与API的实际运作当中依然不够成熟，业内的种种实践已经表明更多的安全入侵入口已然出现，原因是本在后台相对比较安全环境中运行的功能也走向了前台。可行对策：深化接口和API整个生命周期的安全实践，添加更完善的安全测试案例，大规模使用认证、审计、加密、访问控制这些安全举措。3.3 恶意的内部员工云计算服务可以说是一种外包业务，随着不断发