云服务安全风险分析研究

1、云服务安全风险分析研究陕西省网络与信息安全测评中心2012年5月一. 目前云服务应用现状云计算是近几年来逐渐兴起的新理念，旨在使计算能力和存 储资源简化，变得像公共自来水或者电一样易用，最终实现用户 只要连接上网路即可方便地使用并按量付费的目标。云计算不仅 提供了灵活高速的计算能力，而且还提供了庞大的存储资源，采 用云计算的企业不需要像传统企业一样构建自己专用的数据中心 便可以在云平台上运行各种各样的业务系统。云计算所采用的创 新计算模式，可以使用户通过互联网随时获得近乎无限的计算能 力和丰富多样的信息服务，便于用户对计算能力和存储等服务取 用自由、按量付费。所以，众多it巨头纷纷投入到云计算

2、的建 设之中。1. 知名云计算服务测评中心对冃前国内外云服务应用现状进行了调研，发现包 括亚马逊、ibm、google、微软等it巨头都陆续推出了云计算服 务，以求在这个影响未来it应用模型的市场中找到自己的位置。 比较知名的云计算服务有：第一，亚马逊的在线存储服务(s3)o s3服务对新型企业和用 户的强大吸引力在于这项服务能够与亚马逊的其它在线服务联系 在一起，如弹性的云计算和亚马逊的simpledb服务。使用这三项 服务，新型企业能够节省大量的存储开支，并且可能节省客户的 吋间和金钱；第二,google和ibm在大学开设云计算课程，ibm发布云计 算商业解决方案，推出“蓝云”计划；第三，

3、继windows azure操作系统和云计算数据库sql azure 开始收费后，微软近期宣布，windows azure平台appfabric也 将投入商用。从2010年4月9日开始，全球用户都可以购买 appfabric用以实现云计算和云计算应用程序的轻松通信。此外，还有vmware公司的云操作系统vmware vsphere等等。2. 云计算发展和安全事故下面列举一些云计算服务发展过程中出现的安全事故，包括 亚马逊、google微软等都没能幸免，让人们对云计算安全不无 担忧，若不能为云计算架构加入更强大的安全措施来确保其安全 性，将会对用户数据以及与数据相关的人带來安全和隐私风险。 在这

4、种背景下，进行云计算服务下的潜在安全风险分析就变得非 常必要了。二、云服务下信息系统面临的风险与安全需求分析1.数据安全在传统的企业数据中心中，服务提供商只提供机架和网络， 而包括服务器、防火墙、软件和存储设备等都由企业自行负责。 用户对所有的物理设备和软件系统有完全的控制权，企业不论是 不顾成本自建数据屮心还是租用机房，通过物理隔离的方式都可 以避免未授权用户接触到自己的服务器和数据。而云计算环境匚 企业自身的数据都在云中，而云木身的构架乂是不透明的，从而 会产生一种不信任的心理。这不仅仅是一个商业问题，其中涉及 到诚信、法律法规等多方面的因素，解决云计算的安全性问题也 要从技术和非技术着手

5、。我们作为一个技术机构，更多关注的是 云计算安全性问题的技术方面，从“云计算”的概念提出以来, 关于其数据安全性的质疑就一直不曾平息，这里的安全性主要包 括两个方面：一是口己的信息不会被泄露避免造成不必要的损失, 二是在需要时能够保证准确无误地获取这些信息。总结起来，用 户在选择云计算服务时主要关注的安全风险有以下几方面：a. 数据传输安全企业数据中心保存有大量的企业私密数据，这些数据往往代 表了企业的核心竞争力，如企业的客户信息、财务信息、关键业 务流程等等。企业将数据通过网络传递到云计算服务商进行处理时，面临 着几个方面的问题：第一，如何确保企业的数据在网络传输过程 屮严格加密不被窃取；第

6、二，如何保证云计算服务商在得到数据 时不将企业绝密数据泄露出去；第1，在云计算服务商处存储时, 如何保证访问用户经过严格的权限认证并且是合法的数据访问， 并保证企业在任何时候都可以安全访问到自身的数据。b. 数据存储安全企业的数据存储是非常重要的环节，其中包括数据的存储位 置、数据的相互隔离、数据的灾难恢复等。数据存储安全在云计算模式下，云计算服务商在高度整合的 大容量存储空间上，开辟出一部分存储空间提供给企业使用。在 这样的环境下，和比传统数据存储模式而言，客户可能面临一些 新的风险：第一，客户并不清楚自己的数据被放置在哪台服务器 上，甚至根本不了解这台服务器放置在哪个国家，得到的只是云 服

7、务提供商的保证:第二,云计算服务商在存储资源所在国是否 会存在信息安全等问题，能否确保企业数据不被泄露；第三，云 计算服务商是否能够保证数据z间的有限隔离；第四，即使企业 用户了解数据存放的服务器的准确位置，也必须要求服务商作出 承诺，对所托管数据进行备份，以防止出现重大事故时，企业用 户的数据无法得到恢复。c. 数据审计安全企业进行内部数据管理吋，为了保证数据的准确性往往会引 入第三方的认证机构进行审计或是认证。在云计算环境下，云计 算服务商如何在确保不对其他企业的数据计算带来风险的同时， 又提供必要的信息支持，以便协助第三方机构对数据的产生进行 安全性和准确性的审计，实现企业的合规性要求d

8、. 云计算环境下的黑客攻击用户将大量的敏感数据放在全球叮以访问的云中，因而攻击者不再需要到现场窃取数据，甚至其从地球的任一个角落就能发 起攻击，在云屮采取虚拟化技术使多个企业的虚拟机共存于同一 物理服务器上，而传统数据中心采用的物理隔离和基于硬件的安 全防护无法防止云中虚拟机之间的相互攻击。2.需求和风险的转变计算中心的安全建设模型和传统的企业安全防护思路，在安 全需求方面存在非常明显的差异。主耍原因是因为云计算服务商 在建设资源高度整合的云计算中心时，安全更多的是作为一种服 务提供给云计算客户。差异归结起来主要有以下几个方面:a. 流量模型的转变从分散走向高度集中，设备性能面临压力传统的企业

9、流量模型相对比较简单，各种应用基准流量及突发流量有规律可循，即 使对较大型的数据中心，仍然可以根据web应用服务器的重要程度进行有针对性的防护，对安全设备的处理能力没有太高的要求, 但是从分散走向高度集中，设备性能面临压力，在云计算环境下，服务商建设的云计算中心，同类型存储服务器的规模以万为单位 进行扩展，并且基于统一基础架构的网络进行承载，无法实现分 而治之，因此对安全设备捉出了很高的性能要求。b. 虚拟化要求在云计算环境下，存储资源和服务器资源高度整合，云计算 服务商在向客户提供各项服务的吋候，存储计算资源的按需分配、 数据之间的安全隔离成为基础耍求，虚拟化成为云计算中心的关 键技术，安全

10、设备如何适应云计算中心基础网络架构和应用服务 的虚拟化，实现基础架构和安全的统一虚拟交付。c. 安全边界消失云计算环境下的安全部署边界在哪里？在传统安全防护中，很重要的一个原则就是基于边界的安全 隔离和访问控制，并且强调针对不同的安全区域设置有差异化的 安全防护策略，在很人程度上依赖各区域之间明显清晰的区域边 界。但是在云计算环境下，存储和计算资源高度整合，基础网络 架构统一化，安全设备的部署边界已经消失，这也意味着安全设 备的部署方式将不再类似于传统的安全建设模型，云计算环境下 的安全部署需要寻找新的模式。d. 未知威胁检测引擎的变更客户端将从主体检测引擎转变为辅助检测的传感器。传统的 安全

11、威胁检测模式中，客户端安全软件或硬件安全网关充当了威 胁检测的主体，所有的流量都将在客户端或网关上完成全部的威 胁检测。这种模式的优点是全部检测基于本地处理延时较小，但是由 于客户端相互独立，系统之间的隔离阻止了威胁检测结果的共享。 这也意味着在企业a已经检测到的新型威胁在企业b依然可能造 成破坏，没有形成整体的安全防护。而客户端将从主体检测引擎 转变为辅助检测的传感器，云计算环境下，客户端更多的将充当 未知威胁的传感器，将本地不能识别的可疑流量送到云端，充分 利用云端的超强计算能力进行未知威胁的检测，从而实现云模式 的安全检测。通过对云服务环境下信息系统面临的风险分析，以及云安全 模型与传统

12、安全模型的差异比较工作，针对如何加强云服务安全 风险管理，我们将给出对策措施和下一步测评中心的工作方向。三. 云计算下的安全风险管理云计算的安全风险主耍体现在用户担忧自己数据的私密性、完整性和可用性上。相应的，我们也分情况提供一些安全风险管 理措施。1云中的数据访问需要权限控制需求：能够控制谁访问到自己的哪些数据，并进行分级管理。每次对数据访问时需要用户认证和授权，并对用户的访问情况做日志记录管理措施：采用集屮化的身份和访问管理，对于云服务商采取权限控制，从而避免产生用户数据通过云服务商中某人就能获 取的现象。云维护和管理人员不能越权，同吋要限制对云中应用 的可见性可见性：无法判断一个具休用户

13、的数据是存储在哪个存储设备上2.用户数据在云存储中的私密性需求：存储在云中的数据不能被其他人查看或更改解决方案：采用数据隔离、数据加密、数据切分的方式。由 于云存储对用户数据可以采用统一的共享设备或提供单独的存储 设备这两种方式，所以数据隔离的方式也有所不同。如果是共享存储设备，采用存储映射功能，加上存储设备自 身的安全措施可以确保数据的隔离。如果是单独存储设备，在物 理层面上就隔离开来，从而保护了企业的重耍数据数据隔离机制可以防止非授权用户对数据的访问，数据加密 则可以避免云服务商对数据的访问。通过对称加密、公钥加密等 成熟的技术手段，使数据在用户侧加密后再上传至云计算环境中, 使用时再实时

14、解密，从而避免将解密后的数据存放在任何物理介 质上。3. 用户数据在运行时的私密性需求：存储在云中的数据在加载到运行时的系统内存后，不 会被其他人查看或更改。措施：在做好数据隔离的基础上，做好虚拟机隔离和操作系统隔离即可避免这方面的风险。4. 用户数据在网络传输时的私密性需求：数据在云内部网络以及互联网上传输时不会被其他人查看或更改。措施：可采用在网银、电子支付等金融领域已经得到广泛应用的传输层加密技术。5. 用户数据在云存储中的完整性需求：存储在云中的数据保持不变，不会随着时间的变化而发生损坏。措施：针对用户存储在云屮的数据，可采用传统的快照、备份和容灾等保护手段来确保数据的安全。6. 用户

15、数据在云存储中的持久可用性需求：即使发生黑客攻击、病毒等突发事件或地震、火灾等 灾难，用户也可以随时获得自己的数据。措施：用户应该选择不同地点的云服务商进行冗余备份，这 样即使遭到灾难也可以迅速恢复业务。7. 用户数据在云存储中的访问速度需求：对于较大的数据量，也能够较快地进行访问措施：最直观有效的措施是使用高速网络來提高访问速度， 另外也可以采用本地数据缓存等方式来加速。8. 传统技术手段的采用一些传统的非技术手段仍然可以被采用，以约束云服务商。 第三方认证是提高信任关系的一种非常有效的手段。第三方认证 是采用一个中立机构來对双方进行约束，中立机构必须具备很好 的公信力，机构的作用是对云服务

16、商进行安全认证，找岀安全漏 洞并对云服务商进行评价。微软已经在2009年请verisign公司 为其windows azure平台提供基于云计算的安全和认证服务。合同约朿：需要和云计算服务商建立规范的合同条款来规避 风险，包括选择较高信誉度的服务商、要求企业和云计算服务商 之间的数据传统通道进行加密传输、要求云计算服务商承诺数据 存储位置的安金性以及和其他企业数据之间的加密隔离，同时和 服务商签订sla服务质量保证协议，明确服务商要具备数据恢复 的能力并定义清楚数据恢复的时间限制等。.云计算下的安全防护思路通过综合的整合分析，为我们在云计算环境下规避风险，建立安全防护措施提供了思路1.建设高性

17、能高可靠的网络安全体化防护体系为了应对云计算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整，为了应对云计算环境下的流量模 型变化，安全防护休系的部署需要朝着高性能的方向调整，同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可 靠性的支持，诸如双机热备、配置同步、电源风扇的冗余、链路 捆绑聚合、硬件bypass等特性，真止实现大流量汇聚情况下的基 础安全防护。2.建设以虚拟化为技术支撑的安全防护体系目前，虚拟化已经成为云计算服务商提供“按需服务”的关键技术手段，包括基础网络架构、存储资源、计算资源以及应用 资源都已经在支持虚拟化方面向前迈进了一大步，只有基于这种虚拟

18、化技术，才可能根据不同用户的需求，提供个性化的存储计 算及应用资源的合理分配，并利用虚拟化实例间的逻辑隔离实现 不同用户之间的数据安全。安全无论是作为基础的网络架构，还 是基于安全即服务的理念，都需要支持虚拟化，这样才能实现端 到端的虚拟化计算。从网络基础架构的角度（如状态防火墙的安全隔离和访问控制），需要考虑支持虚拟化的防火墙，不同用户可以基于vl心等 映射到不同的虚拟化实例中，每个虚拟化实例具备独立的安全控 制策略，以及独立的管理职能。从安全即服务的角度，云计算服 务商联合内容安全提供商提供类似防病毒和反垃圾邮件等服务， 也必须考虑配合vmware等中间件实现操作系统层面的虚拟化实例, 同

19、一服务器运行多个相互独立的操作系统及应用软件，每个用户的 保密数据在进行防病毒和反垃圾邮件检查的时候，数据不能被其 他虚拟化系统引擎所访问，只有这样才能保证用户数据的安全。3以集中的安全服务中心应对无边界的安全防护和传统的安全建设模型强调边界防护不同，存储计算等资源的高度整合，使得不同的企业用户在中请云计算服务时，只能实 现基于逻辑的划分隔离，不存在物理上的安全边界。在这种情况下，已经不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。因此安全服务部署应该从原來的 基于各子系统的安全防护，转移到基于整个云计算网络的安全防 护，建设集中的安全服务中心，以适应这种逻辑隔离的物理模型。云计

20、算服务商或企业私有云管理员可以将需要进行安全服务的用户流量，通过合理的技术手段引入到集中的安全服务中心, 完成安全服务后再返回到原有的转发路径。这种集中的安全服务 中心，既可以实现用户安全服务的单独配置提供，又能有效的节 约建设投资，考虑在一定收敛比的基础上提供安全服务能力。4.充分利用云安全模式加强云端和客户端的关联耦合在云安全建设中，充分利用云端的超强计算能力实现云模式 的安全检测和防护，是后续的一个重要方向。与传统的安全防护模型相比，新的云安全模型除了耍求挂在 云端的海量本地客户端具备基础的威胁检测和防护功能外，更强 调其对未知安全威胁或是可疑安全威胁的传感检测能力。任何一个客户端对于本

21、地不能识别的可疑流量都要第一吋间 送到后台的云检测中心，利用云端的检测计算能力快速定位解析 安全威胁，并将安全威胁的协议特征推送到全部客户端或安全网关, 从而使得整个云中的客户端和安全网关都具备对这种未知威胁的 检测能力，客户端和云端的耦合得到进一步加强。基于该模式建 立的安全防护体系将真止实现pdrr(protection、detection、 reaction restore)的安全闭环)，这也是云检测模式的精髓所在。最后，为实现在享用云计算带来的强大计算能力和方便性的 同吋，避免信息安全事件的发&，就必须尽早发现信息安全风险， 这就要求我们要对信息系统进行定期、不定期高效的信息安

22、全风 险评估，因此，建立一套针对云计算环境的信息安全风险评估办 法是十分必要的。同时，作为基于网络的计算模式，云计算中数据的处理、传输 和存储都依赖于互联网和相应的云计算平台，数据流程对于用户 来说是不可知的。对于传统的信息安全风险评估方法已在很大程 度上不再适用，因此，有必要针对云计算建立一套相应的度量指标 和评估方法。因此，结合陕西省网络与信息安全测评中心开展的业务方向， 拟将本次云服务安全风险分析研究工作的开展方向定为“云计算 下的风险评估模型完善工作”。在充分分析现有云计算平台结构的基础上，结合传统的信息 安全风险评估方法，完善云计算下的风险评估模型，建立一套针 对云计算的信息系统的风险评估方法，测评中心将來可以开展针 对采用云服务的政府部门、涉及国家安全和国计民生的重点领域 的风险评估业务。五、云计算下的风险评估1.完善云计算下的风险评估模型为实现在享用云计算带来的强大计算能力和方便性的同时， 避免信息安全事件的发生，就必须