云计算是指通过网络以按需、易扩展的方式提供所需的资源(硬件、平台、软件)及信息服务。从使用者的角度,这些资源或服务如同水、电等资源的供给方式,可以按需获取和使用,并按使用付费。云计算改变了信息技术的供给和使用方式。与传统的方式相比,云服务最大的优势在于供给弹性和低成本(尽管现有计算方式还有传输、部分管理与安全等方面的成本没有被仔细地计算在内),从而引起世界范围内的广泛关注和投资热情。根据IDC报道,世界范围内的云计算IT服务价值到2013年将会增长到442亿美元。
IDC的调查显示云计算的安全问题是人们接受云服务所担心的首要问题。从理论上说,专业安全人员集中管理比分散的个人管理、非专业性管理可以实现更安全的目标,然而只要信息存在价值,就有与之相伴的信息安全问题。云服务的提供、使用、监管都存在新的变化,面临更加复杂的安全威胁,需要相应的保障措施,用户也需要处理和承担与之相伴的各种安全风险。
本文分析了云计算的特性,并从云计算安全模型、云计算安全挑战、安全措施等方面讨论云计算的安全现状和发展。
1云计算概念
云计算正处于发展之中,现在还没有统一的被广泛接受的定义。在不同的发展阶段或者从不同的角度,对云计算都有不同的理解。美国国家标准与技术研究所(nationalinstituteofstandardsandtechnology,NIST)定义了云计算的5个关键特征、3种服务模型和4种部署模型,此定义被业界广泛采纳。
1.1云计算关键特征
1)按需自助服务(on-demandself-service)。
用户能够自动获取所需计算资源或服务,而不必和服务供应商交互。
2)宽带网络接入(broadnetworkaccess)。
服务能力通过网络提供,带宽足够且成本低廉,支持各种标准接入手段,包括各种类型的客户端平台(例如智能手机、笔记本电脑或PDA),也包括其它传统的基于云的服务。
3)虚拟化的资源“池”(resourcepooling)。
提供商的计算资源汇集到资源池中,使用多租户模型,按照用户需要,将不同的物理和虚拟资源动态地分配或再分配给多个消费者使用。
4)快速弹性架构(rapidelasticity)。
资源或服务能力可以快速、弹性地供应。对于用户来说,可供应的资源或服务能力近乎无限,可以随时按需购买。用户既不用担心资源不够用,也不用担心资源浪费。
5)可测量的服务(measuredservice)。
云计算利用经过某种程度抽象的测量能力(例如存储、处理、带宽或者活动用户账号等)实现自动控制,优化某种服务的资源使用,有明确的价格与收费政策。
1.2云服务模型
1)软件作为服务(softwareasaservice,SaaS)。
提供给用户的能力是使用服务商运行在云基础设施之上的应用。
2)平台作为服务(platformasaservice,PaaS)。
提供给用户的能力是在云基础设施之上部署用户创建或采购的应用,这些应用使用服务商支持的编程语言或工具开发。
3)基础设施作为服务(infrastructureasaservice,IaaS)。
提供给用户的能力是云供应了处理、存储、网络以及其它基础性的计算资源,以供用户部署或运行自己任意的软件,包括操作系统或应用。
云服务的规模化、专业化改变了信息资源的分散格局,还可以融合信息安全专家资源,安全本身也可以作为服务提供。
1.3云部署模型
1)公共云(publiccloud)。
由某个组织拥有,其云基础设施对公众或某个很大的业界群组提供云服务。
2)私有云(privatecloud)。
云基础设施特定为某个组织运行服务。
3)社区云(communitycloud)。
云基础设施由若干个组织分享,以支持某个特定的社区。
4)混合云(hybridcloud)。
云基础设施由2个或多个云(私有的、社区的或公共的)组成,独立存在,但是通过标准的或私有的技术绑定在一起,这些技术促成数据和应用的可移植性。
2云计算安全参考模型
现实中的各种云产品,在服务模型、部署模型、资源物理位置、管理和所有者属性等方面呈现出不同的形态和消费模式,从而具有不同的安全风险特征和安全控制职责和范围。因此,需要从安全控制的角度建立云计算的参考模型,描述不同属性组合的云服务架构,并实现云服务架构到安全架构之间的映射,为风险识别、安全控制和决策提供依据。
图1 云服务安全参考模型
2.1CSA(cloudsecurityalliance云安全联盟)的模型
目前具有从不同视角出发建立的云计算安全参考模型。从服务模型的角度,CSA(cloudsecurityalliance云安全联盟)提出了基于3种基本云服务的层次性及其依赖关系的安全参考模型,并实现了从云服务模型到安全控制模型的映射,如图1所示。该模型显示PaaS位于IaaS之上,SaaS位于PaaS之上。该模型的重要特点是供应商所在的等级越低,云服务用户所要承担的安全能力和管理职责就越多。
根据资源或服务的管理权、所有权和资源物理位置的不同,CSA也给出了不同的云部署模型的可能实现方式及其不同部署模式下共享云服务的消费者之间的信任关系,如图2所示。
此图显示,对于私有云和社区云,有多种实现方式,可以和公共云一样,由第三方拥有和管理并提供场外服务(off-premises),所不同的是共享云服务的消费者群体之间具有信任关系,局限于组织内部和可信任的群体之间。
对于每一种云部署实现方式,都可以提供3种基本的云服务。云部署实现的不同方式和基本云服务的组合构成不同的云服务消费模式。结合图1所示的云服务安全参考模型,可以确定不同的云服务消费模式下供应商和用户的安全控制范围和责任,用户评估和比较不同云服务消费模式的风险及现有安全控制与要求的安全控制之间的差距,做出合理的决策。
2.2JerichoForum的云立方体模型
从安全协同的角度,JerichoForum从数据的物理位置(internal和external)、云相关技术和服务的所有关系状态(proprietary和open)、应用资源和服务时的边界状态(perimeterised和de-perimeterised)、云服务的运行和管理者(insourced和outsourced)4个影响安全协同的维度上分类16种可能的云计算形态,用如图3所示的云立方体模型展示。
图3 云立方体模型
不同的云计算形态具有不同的协同性、灵活性及其安全风险特征。云服务用户需要根据自身的业务和安全协同需求选择最为合适的云计算形态。
3云计算的安全挑战
云计算作为多种传统技术(如并行计算、分布式计算、网格计算、虚拟化、效用计算等)的综合应用、发展与商业实现的结果,信息安全的基本属性与安全需求不变,涉及信息资产、安全威胁、保护措施等的信息保障安全观不变。
从供应商的安全能力角度分析云计算面临的安全风险来讲,云计算技术主要存在7大安全风险,如表1。
表1 Gartner列出的云计算7大安全风险
CSA发布的最新版本《云计算关键领域安全指南》,主要从攻击者角度归纳云计算环境可能面临的主要威胁,提出12个关键安全关注域,罗列出了最为常见、危害程度最大的7个威胁,如表2。
表2 CSA列出的7大云计算安全威胁
欧洲网络与信息安全局(Europeannetworkandinformationsecurityagency,ENISA)通过实践调查和专家咨询,将云计算环境的风险分为策略和组织风险、技术风险和法律风险3大类。云计算主要安全风险也是云计算安全的难题。
4云计算安全应对策略
4.1CSA的安全指南
云计算中的安全控制机制与传统IT环境中的安全控制机制没有本质的不同。不过,云计算环境下有凸显的安全风险,因此具有特别的安全关注领域。CSA对云服务的主要安全关注点分为治理和运行2个领域,共涉及12个具体的关键域,如表3。
对于每一个关键域给出相应的安全控制实施建议,为用户安全地使用云服务提供指南。不是已有的安全技术简单拿过来就成为云计算环境的安全解决方案,需要针对这些安全领域研究安全技术面临的需求、规模、性能等方面的新问题,如虚拟机安全、取证与安全审计等。
4.2云计算安全管理
NIST、Sun公司、国际信息系统审计协会(informationsystemsauditandcontrolassociation,ISACA)都提倡应用管理的手段来控制和减小云计算安全风险,服务水平协议(servicelevelagreement,SLA)和相关的安全管理标准的应用是主要方式。
SLA是服务提供者和用户之间的唯一的法律协议,是为委托给供应商的信息提供充分保护的最有效的工具之一。服务提供者利用SLA获取用户的信任。典型的云服务水平协议内容包括:
1)交割的服务定义;
2)性能管理(对服务水平的监控和测量);
3)问题管理(最小化事故和问题的负面影响);
4)用户职责和责任;
5)担保和补偿;
6)安全;
7)灾难恢复和业务连续性等。
现有的云服务供应商不提供SLA,即使提供SLA的供应商,其中涉及的内容也非常简单,对云服务的安全保障非常有限。SLA的有效应用还需要以云服务的标准化、安全控制的标准化等为基础的SLA的标准化及其相关的法律法规保障。
云计算环境的复杂性和高度动态变化性使得云计算安全管理更为复杂。传统的信息安全管理标准如ITIL、ISO/IEC20000、ISO/IEC27001∥27002、Cobit等被建议应用于云计算安全管理和控制框架的建立。
在云计算的用户信任危机中,也有厂商建议建议云服务供应商遵循透明安全的原则获取用户的信任,并基于信息安全管理标准ISO/IEC27002建立相应的透明控制框架。该框架包括ISO/IEC27002中的11个安全控制目标,对每个控制目标包括目标描述、对应的透明目标及其由透明目标带来的收益。透明目标是依据事先制定的透明安全原则对供应商实施的安全控制信息的合适披露。
一个综合应用ITIL和ISO/IEC27002标准的云计算环境的安全管理框架,其关键的安全管理重点为:
1)可用性管理(ITIL);
2)访问控制(ITIL或ISO/IEC27002);
3)弱点管理(ISO/IEC27002);
4)补丁管理(ITIL);
5)配置管理(ITIL);
6)事件响应(ISO/IEC27002);
7)系统应用和访问监控(ISO/IEC27002)。
以云计算中心形式存在的基础设施垄断也会集中在国际公司的“云计算”中心,那么,国家信息更存在“去国家化”的风险,大量的信息聚合后若被进行别有用心的分析、挖掘,国家信息安全将受到严峻考验。若国际公司或服务提供商以某种理由停止服务,也会造成灾难性影响。
传统自我管控与隔离的手段不存在了,云计算资源的集中化放大了安全威胁和风险。人们对云计算容易产生某种不信任并且对其中的不确定性有一定的担心与恐惧。国家、政府需要充分利用法律手段鼓励发展云计算和调节各方面的利益,同时需要对此有合理、充分的管控能力。
5 结论
本文从云计算安全模型、安全风险和安全控制3个方面对目前的云计算安全状况进行了归纳。云计算正处于发展之初,云计算安全还面临很多需要解决的问题,除了前面归纳的云计算安全风险难题之外,还包括相关标准的建立、合规性问题、业务连续性与灾难恢复、服务质量保证、法律法规保障等,这些都将是很大的挑战。