云计算的安全风险、模型和策略
 

2010-12-27 作者:褚诚云 来源:网络

 

  在这篇文章中,我们将着重探讨云计算中与安全相关的各类问题,例如云计算供应商采用的安全模式,企业在使用云计算平台中应该考虑的安全风险和采取的安全策略等。

需要强调的一点是:本文涉及的“云安全”并非是目前国内反病毒业界中非常热门的“云安全”、“云查杀”这类反病毒技术。“云安全”反病毒技术只是将云端的计算和商用模式应用到反病毒领域。换句话说,是云计算在一个特定领域的应用。

本文讨论的是通用意义上的云安全(Cloud Security)。它的影响范围和对象要比“云安全”反病毒技术广泛得多。云安全涉及的不仅仅是云计算中的相关技术,如虚拟化技术等的安全问题,而且还需要全面考虑和评估云计算所带来的潜在的技术、政策、法律、商业等各方面的安全风险。

云计算中的安全风险

云计算的服务和计算分配模式

按通用的理解,云计算是基于网络,特别是基于互联网的计算模式。在云计算模式下,软件、硬件、数据等资源均可以根据客户端的动态需求按需提供(on-demand)。某种意义上,云计算的运营模式类似于电力、供水等公用设施,只不过它所提供的服务是计算资源。

云计算中提供的服务有三个层次:

SaaS(Software as a serv-ice):软件即服务
   PaaS(Platform as a serv-ice):平台即服务
   IaaS (Infrastructure as a service):基础设施即服务
   事实上,云计算中涉及的许多技术,如虚拟化(virtualization)、SaaS等并不是全新的技术。最为基本的在线邮件服务功能,如Gmail、Hotmai都已经运营一段时间了。PaaS虽然是一个比较新的概念,但构造它的组件(如SOA)也不是新技术。那么云计算中最重要的改变是什么?

云计算带来的是一种全新的商业模式。它改变的是计算分布或分配的模式(par-adigm)。根据计算分配模式的不同,云计算又可分为:

公用云(Public Cloud):通过云计算服务商(Cloud Service Provider - CSP)来提供公用资源来实现。这些资源同其他云计算用户共享,没有私用专有的云计算资源。
   私用云(Private Cloud):可以通过内部的IT部门以动态数据中心的方式来运行,或者由CSP来提供专用资源来运行。这些专用资源不与其他云计算用户共享。
   混合云(Hybrid Cloud):可以通过公用云和私有云的组合来实现,或者是基于社区、特定行业、特定企业联盟来实现。

影响云计算模式的安全因素

不同的云计算的服务方式和不同的云计算的分配方式的组合,导致云计算用户对云计算系统资源的监控和定制的程度的不同。图1展示了不同的云计算模式对用户监控、定制水平、抽象程度、规模经济效益的影响。

不同云计算模式对用户监控、定制水平、抽象程度和规模经济效益的影响

控制/监控:对云计算资源的拥有权限(ownership)、使用权限、已经对权限的配置进行监控。
   大规模经济效益:当云计算规模增大的时候,规模经济效益将降低单位计算资源的成本。就安全而言,一方面,由于使用共享资源的用户数增多,资源对其他用户的间接依赖关系也会提高;另一方面,CSP提供安全服务的单位成本也可能下降。 抽象程度/定制灵活度:使用SaaS和PaaS将提供更高的抽象程度。这对于开发新的服务更为方便,而且降低了管理复杂度。另一方面,使用IaaS可以有更高的定制灵活度,适合移植现有的应用程序,以及开发特定的云端应用。 转移到云计算模式会在根本上改变IT部门的运营模式,因此用户需要仔细评估不同云计算模式对上述这些因素的影响,以及这些因素对自身安全策略的影响,以确定适合自身的云计算模式。例如当用户从SaaS转移到PaaS或者是IaaS,会提高使用云计算模式的灵活度和加强对云计算系统的控制,但同时用户也需要承担更多的安全责任。

关于不同的云计算模式对企业和政府IT部门安全策略的影响,我们在后续章节中会更进一步涉及。

云计算的安全益处

在讨论云计算的安全风险前,先简单谈一下云计算对企业用户带来的安全益处。基于规模经济效益的原理,在大规模的云计算用户(尤其是公用云)的情况下,单位运营成本将会下降,单位安全运营的成本也会下降。安全运营包括网络监控、操作系统/应用程序的补丁部署、软件/硬件系统配置的加固、权限管理等。

就用户本身而言,云计算的一大好处就是在降低单位运营成本的同时,许多安全责任也随之转移到云计算供应商身上,不需要用户操心。从这个角度来讲,云计算和近年来的企业IT外包模式相似。不过云计算供应商在高可靠性、安全性和冗余性投入的成本更大。

但需要强调的是,云计算在降低单位安全运营成本的同时,也带来了相应的安全风险,如CSP的风险管理实践、服务协议(Service License Agreement - SLA)的设定、合规化(Compliance)验证等方面。事实上最近的调查显示,数据的安全和隐私风险,已经成为用户转移到云计算的首要顾虑[2]。

云计算的安全风险

如本文开始提及的,云安全涉及到云计算商业模式潜在的技术、政策、法律、商业等各个领域的安全风险。具体而言,分为以下几大方面:

   安全和隐私
   需要评估云计算供应商对下述安全功能的实现流程:
   身份认证
   权限控制
   加密/解密算法
   服务可用性
   应用层面安全
   数据保护
   安全事件通报
   人事和物理安全
   关于身份认证、权限控制等概念,这里就不详细阐述。我们对数据保护、安全事件通报、人事和物理安全这几个在云计算中特殊性的安全因素做进一步探讨。

数据保护:在云计算中,由于重要数据被托管存放,这些数据可能与其他用户的数据存放于同一物理介质上。于是CSP的数据分离和保护流程就尤为重要。例如,数据分离存储是如何实现的?数据的内部传输或外部传输,是否采用了加密算法,其强度如何?是否采取了额外措施以防止数据的异常泄露?

安全事件通报:无论CSP的安全措施是如何实施的,安全事件(security incident)或早或晚还是会发生。一旦CSP出现了安全事件,造成对用户数据安全的影响,CSP是否有相关的安全事件通报机制来及时通知用户,并提供相应的信息以便用户做损害评估?
  人事和物理安全:基于企业内部的攻击(insider attack)和基于物理设施的攻击(例如直接窃取存储硬盘)与基于互联网的匿名攻击是完全不同的。当用户将重要的数据托管给CSP时,是否能信任该CSP的人事和物理的安全政策和实践?
管理权(Governance)

在用户使s用云计算模式的同时,实际上也放弃或降低了诸多影响安全的问题的决策权和管理权。例如:

外部的渗透测试(Penetration Test)往往是不允许的
   安全日志的完整有效性
   安全事件中的证据采集(Fore-nsics)流程
   重要数据存放的具体物理位置和安全配置
   供应链的安全。CSP是否会将某些云计算服务外包给第三方?
   以上这些问题的决策,如果在用户和CSP签署的服务协议中没有明确涉及,就会带来潜在的安全风险。

合规性(Compliance)

CSP是否能够满足相关政策,例如数据隐私保护的规定?CSP是否能够让用户或第三方对其进行审核(Audit)来验证其安全政策的完备性和有效性?

法律

重要数据的物理存储可能跨越不同国家和地区。而不同国家有不同的司法系统,这就会带来潜在的法律风险。例如不同国家对数据丢失责任、数据知识产权保护、数据的公开政策(disclosure policy)的司法解释可能是不一样的。

商业

各个CSP的服务模式差异很大。一旦选择了某一个CSP,就可能被其锁定。这就带来潜在的商业安全风险。例如将来一旦对某个CSP的安全实践不满意,或者是该CSP退出云计算领域,用户切换到其它CSP的成本是非常大的。

云计算供应商的安全模型实例

这里我们对三个较为典型的云计算供应商的安全模式做一些简单的介绍。

Google的云计算模式是基于Google应用程序引擎GAE(Google Application Engine)来实现的。GAE可以将Web应用托管到Google的数据中心上。从运营模式上来分,GAE提供的是基于公用云的SaaS服务。从安全的角度来讲,GAE的用户对云计算系统的安全控制是非常少的。主要安全功能是通过GAE来实施的。

Amazon的云计算模式是基于Amazon EC2托管服务和AWS(Amazon Web Service)来实现的。与GAE相比,Amazon的云计算模式涵盖SaaS和PaaS(Amazon EC2),因此运营模式更为灵活。在PaaS模式下,对云端资源的控制更加灵活,但是用户需要承担更多的安全实现,例如认证和权限管理等等。特别指出的是,AWS通过了SAS70 类型II的审核,在一个方面也反映出了CSP认识到满足合规性检查对安全的影响[4]。

Microsoft的云计算模式是基于Windows Azure平台来实现的。与Google和Amazon相比,Windows Azure可以被第三方部署,即提供私用云和混合云的模式,并增加了IaaS服务[5]。由于Windows Azure提供的运行模式比较灵活,用户在选择适合自身的云计算模式要仔细考虑,因为不同的运行模型对安全的影响是非常大的。

企业云计算的安全策略

上文谈到了诸多影响云安全的因素。作为一个企业用户,在考虑移植到云计算平台时,需要在多家CSP中比较安全指标以确定哪个CSP更能满足用户的云安全需求。此时,推荐的安全策略是什么?

欧洲网络和信息安全研究所(European Network and Information Security Agency,ENISA)给出了图2所示的推荐。

图2给出了对于两个不同CSP在安全性能上的评估范例,以确定哪个CSP能更好地满足用户的云安全需求。评估的因素涵盖了前文云计算安全风险中提及的各个风险因素,包括身份和权限管理、数据和服务的可移植性、商业模式的可持续性、物理和环境安全、资源管理、法律和合规、人事安全、供应链安全、运营安全等。有兴趣的读者可以参考文献6了解更多关于CSP安全评估模型的信息。

总结

本文介绍了云安全的基本模型、风险和策略,以及若干典型CSP的安全运营模式。用户在决策是否转移到云计算或选择何种云计算模式时,应该仔细考虑到云计算这一新的商业模式带来的安全益处和对应的安全风险。

就安全层面来说,对于非关键(non-critical)的应用和数据部署到云端系统,采用CSP的安全服务可能会提高其安全性,但是用户需要仔细评估CSP的安全政策和实践流程。对于关键(critical)应用和数据,部署到云端系统这的决策要非常慎重,尤其是要充分研究和理解云计算模式对关键应用和数据带来的潜在的管理权、合规性、法律和商业上的影响。

 

 
 

LoadRunner性能测试基础
软件测试结果分析和质量报告
面向对象软件测试技术研究
设计测试用例的四条原则
功能测试中故障模型的建立
性能测试综述
更多...   
相关培训课程

性能测试方法与技术
测试过程与团队管理
LoadRunner进行性能测试
WEB应用的软件测试
手机软件测试
白盒测试方法与技术
成功案例

某博彩行业 数据库自动化测试
IT服务商 Web安全测试
IT服务商 自动化测试框架
海航股份 单元测试、重构
测试需求分析与测试用例分析
互联网web测试方法与实践
基于Selenium的Web自动化测试
更多...   
 
 
 
 
 

组织简介 | 联系我们 |   Copyright 2002 ®  UML软件工程组织 京ICP备10020922号

京公海网安备110108001071号