當(dāng)前位置:首頁 > 物聯(lián)網(wǎng) > 《物聯(lián)網(wǎng)技術(shù)》雜志
[導(dǎo)讀]摘要:云計算是在分布式計算、網(wǎng)絡(luò)計算、并行計算等模式發(fā)展的基礎(chǔ)上出現(xiàn)的一種新型的計算模型。文中介紹了云計算的發(fā)展現(xiàn)狀,分析了云計算在其發(fā)展中存在的安全問題及其相應(yīng)的相關(guān)對策和建議,分多種情況對云計算服務(wù)的安全問題進(jìn)行了研究。

引言

云計算是一種嶄新的服務(wù)模式。其實質(zhì)是在分布式計算、網(wǎng)絡(luò)計算、并行計算等模式發(fā)展的基礎(chǔ)上,出現(xiàn)的一種新型的計算模型,是一種新型的共享基礎(chǔ)框架的方法。它面對的是超大規(guī)模的分布式環(huán)境,核心是提供數(shù)據(jù)存儲和網(wǎng)絡(luò)服務(wù),主要是解決近十年來互聯(lián)網(wǎng)急速發(fā)展所出現(xiàn)的存儲困難、計算機(jī)資源大量消耗、工廠產(chǎn)業(yè)人員和硬件成本不斷提高、數(shù)據(jù)中心空間日益匱乏等問題。

由于云計算系統(tǒng)規(guī)模巨大,承載了諸多用戶隱私數(shù)據(jù),以及前所未有的開放性和復(fù)雜性,其安全性面臨比傳統(tǒng)信息系統(tǒng)更為嚴(yán)峻的挑戰(zhàn),原始的互聯(lián)網(wǎng)系統(tǒng)與服務(wù)設(shè)計已經(jīng)不能解決上述種種問題,而急需新的解決方案。

1云計算概述

云計算是一個虛擬化的計算機(jī)資源池,借用了量子物理中的“電子云”(ElectronCloud)思想,強(qiáng)調(diào)說明計算的彌漫性、無所不在的分布性和社會特性?!霸啤笔侵赣嬎銠C(jī)群,每一群包括了幾十萬臺、甚至上百萬臺計算機(jī),是數(shù)據(jù)存儲和應(yīng)用服務(wù)的中心,用來完成存儲和計算工作。云計算(CloudComputing)是分布式處理(DistributedComputing)、并行處理(ParallelComputing)和網(wǎng)格計算(GridComputing)的發(fā)展,或者說是這些計算機(jī)科學(xué)概念的商業(yè)實現(xiàn)。

云計算可以劃分為3個層次:IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)。其中,IaaS是基礎(chǔ)設(shè)施層,通過網(wǎng)格計算、集群和虛擬化等技術(shù)實現(xiàn);PaaS是作為一種服務(wù)提供給用戶可以訪問的完整或部分應(yīng)用程序的開發(fā)平臺;SaaS是軟件作為一種服務(wù)來提供完整可直接使用的應(yīng)用程序,在平臺層以SOA方法為主,使用不用的體系應(yīng)用構(gòu)架,具體是用不同的技術(shù)實現(xiàn),表示在軟件應(yīng)用層使用SaaS模式。圖1所示是云計算技術(shù)的體系結(jié)構(gòu)。

2云計算的安全與對策

云計算在具有巨大商機(jī)的同時,也存在者潛在的巨大安全風(fēng)險,如數(shù)據(jù)丟失和泄露、隔離失敗、管理界面損害、數(shù)據(jù)刪除不徹底、內(nèi)部威脅、賬戶服務(wù)或通信的劫持、不安全的應(yīng)用程序接口、服務(wù)的惡意使用等眾多運(yùn)營和使用風(fēng)險。這些風(fēng)險可能會導(dǎo)致數(shù)據(jù)保密性、完整性和可用性遭到嚴(yán)重破壞。最重要的是這些風(fēng)險可能導(dǎo)致經(jīng)濟(jì)信息失控的嚴(yán)重后果,因而可能直接危及國家安全。圍繞云安全問題,可以采取如下應(yīng)對措施來予以防范。

云計算的安全風(fēng)險及對策研究

圖1 云計算技術(shù)體系結(jié)構(gòu)

2.1用戶認(rèn)證與授權(quán)

云計算的動態(tài)性使得用戶的數(shù)據(jù)和服務(wù)分布越來越零碎,同時也增長了訪問控制的需要。部署在云上的數(shù)據(jù)和服務(wù),可能超出了用戶主機(jī)/域的授權(quán)與訪問控制體系的控制范圍,從而無法對其提供保護(hù)。為了防止云計算平臺供應(yīng)商“偷窺”客戶的數(shù)據(jù)和程序,云中的數(shù)據(jù)訪問需要采用分權(quán)分級管理等方式。

可以對服務(wù)提供商和企業(yè)提供不同的權(quán)限,以對數(shù)據(jù)的安全提供保證。企業(yè)應(yīng)該擁有完全的控制權(quán)限,并對服務(wù)提供商限制權(quán)限,同時要限制對云中應(yīng)用的可見性,即無法判斷一個具體用戶的數(shù)據(jù)是存儲在哪個存儲設(shè)備上。

2.2數(shù)據(jù)加密

在云計算環(huán)境中,數(shù)據(jù)的隔離機(jī)制可以防止其他用戶對數(shù)據(jù)的訪問,但還要防止在服務(wù)提供者內(nèi)部的數(shù)據(jù)泄露。在云計算中,數(shù)據(jù)加密的具體應(yīng)用形式為:數(shù)據(jù)在用戶端使用用戶密鑰進(jìn)行加密,然后上傳至云計算環(huán)境中,之后在使用時再實時解密,避免將數(shù)據(jù)解密后存放在物理介質(zhì)上。

數(shù)據(jù)加密可通過對稱加密、公鑰加密等成熟的技術(shù)手段,使數(shù)據(jù)在用戶側(cè)加密后再上傳至云計算環(huán)境中,使用時再實時解密,從而避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上。在云中常與數(shù)據(jù)加密配合使用的還有數(shù)據(jù)切分,即將經(jīng)過加密后的數(shù)據(jù)先在客戶端打散,然后分散在幾個不同的云服務(wù)上,這樣,對于任何一個云服務(wù)商而言,都無法獲得完整的數(shù)據(jù)。比如Amazon的S3會在客戶存儲數(shù)據(jù)的時候自動生成一個MD5散列(hash),這樣就不需要使用外部工具為數(shù)據(jù)生成MD5校驗了,從而有效地保證數(shù)據(jù)的完整性[2I?IBM的研究員CraigGentry設(shè)計了“理想格(ideallattice)”的數(shù)學(xué)對象,使人們可以充分地操作加密狀態(tài)的數(shù)據(jù),服務(wù)提供商也可以受用戶的委托來充分分析數(shù)據(jù)[4Io對于用戶PGP和TrueCrypt,都可以對文件離開你的控制范圍進(jìn)行加密處理,以保證數(shù)據(jù)的安全。用戶也可以根據(jù)不同的情況,動態(tài)地選擇加密方式來滿足不同的加密需要。

2.3數(shù)據(jù)隔離機(jī)制

通過私密性和完整性保護(hù)可以防御來自外部的攻擊,保護(hù)外部存儲器中的數(shù)據(jù)不被竊取,程序不被非法篡改。如果攻擊程序和受害程序運(yùn)行在同一平臺上,且共用同一個密碼加密程序,并產(chǎn)生數(shù)據(jù)摘要,則無法區(qū)分訪問來自進(jìn)程內(nèi)還是其他進(jìn)程。顯然,僅僅能夠防御來自平臺之外的攻擊還不足以作為安全的終端被廣泛使用。

事實上,通過三個層次可以實現(xiàn)進(jìn)程隔離。在外部存儲器中,對于不同的進(jìn)程,采用不同的密鑰加密數(shù)據(jù),來產(chǎn)生加密摘要。當(dāng)進(jìn)程訪問屬于其他進(jìn)程的數(shù)據(jù)時,由于密碼不同,一方面,通過解密只能拿到錯誤的數(shù)據(jù),從而保護(hù)了數(shù)據(jù)的私密性;另一方面,不能通過完整性驗證,系統(tǒng)會及時制止非法訪問。對于緩存和寄存器中的數(shù)據(jù),通過添加進(jìn)程標(biāo)號,可以防止進(jìn)程之間數(shù)據(jù)的非法訪問。最后,也可以增加軟件可配置的硬件,并允許軟件對密鑰、保護(hù)模式進(jìn)行配置。

2.4數(shù)據(jù)在云存儲中的完整性

數(shù)據(jù)完整性就是云計算平臺的數(shù)據(jù)保持不變,不會隨著時間的變化而發(fā)生損壞。對存儲在云中的數(shù)據(jù),可采用傳統(tǒng)的快照、備份和容災(zāi)等保護(hù)手段來確保數(shù)據(jù)的安全。數(shù)據(jù)備份可通過存儲自身的備份功能或現(xiàn)有的企業(yè)級備份軟件來實現(xiàn),可按照用戶設(shè)定的備份策略對數(shù)據(jù)進(jìn)行自動在線或離線備份及恢復(fù)。多點(diǎn)備份,雙機(jī)熱備,一臺服務(wù)器宕機(jī),另外一臺服務(wù)器在短時間內(nèi)可以啟動并拉起相關(guān)應(yīng)用進(jìn)程,這樣就不會影響用戶的服務(wù)。

2.5虛擬化安全

虛擬技術(shù)的使用改變了云的安全環(huán)境,雖然使用虛擬機(jī)導(dǎo)致的安全問題并不是不可解決的,但需要應(yīng)用與物理主機(jī)不同的安全工具和方法,而且保護(hù)機(jī)制要復(fù)雜得多。虛擬機(jī)引入的主要安全威脅包括接入和管理主機(jī)的密鑰被盜、攻擊未打補(bǔ)丁、在脆弱的服務(wù)標(biāo)準(zhǔn)端口偵聽、劫持未采取合適安全措施的賬戶等。

解決這類問題可選擇具有TPM(可信計算平臺)安全模塊的虛擬服務(wù)器。安裝時為每臺虛擬服務(wù)器分配一個獨(dú)立的硬盤分區(qū),以便進(jìn)行邏輯隔離。每臺虛擬服務(wù)器應(yīng)通過VLAN和不同IP網(wǎng)段的方式進(jìn)行邏輯隔離,對需要通信的虛擬服務(wù)器間可通過VPN進(jìn)行網(wǎng)絡(luò)連接,以進(jìn)行有計劃的備份,包括完整、增量或差量備份方式。

2.6加強(qiáng)laaS層和PaaS層的安全解決方案研究

SSL是大多數(shù)云安全應(yīng)用的基礎(chǔ),但這也可能成為一個主要的病毒傳播媒介,需要進(jìn)行更多的監(jiān)控。laaS云提供商應(yīng)該保證其物理架構(gòu)的安全性。一般來說,只有授權(quán)的員工才可以訪問運(yùn)營企業(yè)的硬件設(shè)備;做好電源冗余、網(wǎng)絡(luò)冗余、防火防盜和安全警報等工作叫l(wèi)aaS提供商應(yīng)該對客戶的應(yīng)用數(shù)據(jù)進(jìn)行安全檢查,避免一些風(fēng)險發(fā)生,如執(zhí)行病毒程序等。SaaS提供商應(yīng)最大限度地確保提供給客戶的應(yīng)用程序和相關(guān)組件的安全,客戶通常只需負(fù)責(zé)操作層的安全功能,包括用戶的訪問管理、身份驗證等。

2.7法律法規(guī)風(fēng)險

云計算的應(yīng)用地域性弱、信息流動性大,信息服務(wù)或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至國家,在政府信息安全監(jiān)管等方面可能存在法律差異與糾紛;同時由于虛擬化等技術(shù)引起的用戶間的物理界限模糊而可能導(dǎo)致的司法取證問題也不容忽視。

因此,要針對云計算技術(shù)發(fā)展和業(yè)務(wù)模式盡快制定相應(yīng)的法律法規(guī)和技術(shù)規(guī)范。如出臺數(shù)據(jù)保護(hù)法,建立云計算平臺網(wǎng)絡(luò)安全防護(hù)制度與應(yīng)急處置預(yù)案,明確云計算服務(wù)提供商信息安全管理責(zé)任,規(guī)范跨境云計算經(jīng)營模式,制定用戶使用日志留存規(guī)范等。

3結(jié)語

云計算是繼大型計算機(jī)到客戶端-服務(wù)器的大轉(zhuǎn)變之后的又一種巨變云,云安全是為了發(fā)展云計算而采取的必要手段,同時,由于安全性和隱私性受到質(zhì)疑,云安全也成了制約云計算發(fā)展的重要因素。云服務(wù)提供商只有在云服務(wù)架構(gòu)和技術(shù)上不斷完善,降低云計算系統(tǒng)的安全威脅,提高服務(wù)的連續(xù)性,云計算模式才會真正地發(fā)揮其本身的價值。

20210917_61441f270528f__云計算的安全風(fēng)險及對策研究

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉