安全技术突破为云计算应用扫清障碍
2014-03-13梁晓欢
特约通讯员 梁晓欢
安全技术突破为云计算应用扫清障碍
特约通讯员 梁晓欢
云计算的出现,为企业提供了一种按量付费的互联网资源使用模式,企业可根据需求,快速、便捷地使用网络中的计算机数据处理、存储空间、应用软件等多种资源,极大地降低了企业的IT成本。然而,尽管云计算拥有如此强大的优势,仍有不少企业担心将数据外包给外部服务器会存在安全隐患。NSA(美国国家安全局)丑闻的曝光进一步加剧了他们对云安全的担忧。现在,德国弗劳恩霍夫(Fraunhofer)研究院正在尝试解决该问题,提高云计算的安全性。
云计算是一个非常实用的概念,为企业提供了灵活便捷的服务,允许企业按需租用互联网上的存储空间、计算机数据处理以及软件程序,使得企业能够根据客户需求的变化和市场的发展,迅速地做出反应。应用云计算这一信息技术,能让企业以简单又实惠的方式,满足其对互联网资源的实时需求。
目前,越来越多的企业发现了这种模式的优点。根据BIKOМ和审计咨询公司毕马威(KPМG)进行的2013云监控调查显示,在2012年,仅在德国就有37%的企业使用云计算。在大公司这一比例上升到65%。专家预计2014年,云计算的市场将会增长到47%,达到78亿欧元的价值。
数据失窃的担忧
不过,云监控调查研究明确指出企业对云计算的应用仍有所保留。大多数企业选择了内部解决方案(即私有云),其理由只是为了避免将重要的公司数据存储在外部服务器,只有约10%的企业使用了公有云。企业之所以没有广泛采用公有云,主要是担心数据丢失、信息技术入侵、法律上存在不合规性,以及难以将此类解决方案集成至公司的系统等原因。企业仍将云端的安全性视为云计算使用中的主要挑战。
自NSA丑闻曝光以后,企业愈加怀疑云计算的安全性——尤其是担忧美国的云计算服务。信息技术与创新基金会(ITIF)预计美国的云计算服务提供商在接下来的三年里,将会损失高达350亿美元的营业额。换个角度分析,这也为德国和欧洲的云计算服务提供商开辟了新的机会。目前,由于德国软件制造商SAP的成功案例(SAP可以按需为企业提供应用程序,吸引了约30万的客户使用其开发的SAP数据云),市场上出现了对“德国制造”的云计算解决方案的特定需求。德国联邦经济与技术部(BМWi)很快就明白、并强调了可靠性、安全性、可用性和数据保护对云计算的高度重要性,并在2010年启动了“可信云计算”科技竞赛,以此来开发和测试符合法律规定的云计算安全解决方案。在总共提交的116个参赛项目中,独立专家评审团选出了14个最具潜力的项目——这其中,有许多项目都有弗劳恩霍夫协会(Fraunhofer)的参与。
但如何才能保证存储在公共云中的数据的安全性呢?如何防止公共云计算服务的提供商获得权限访问企业的敏感信息呢?弗劳恩霍夫应用研究促进协会的研究人员,联合Uniscon、SecureNet两家公司,共同开发特殊的封闭式IT基础设施架构——密封云。在密封云中,有一个完整的安全防范系统,能够确保未经授权的人员无法获得数据访问权限。该项目的负责人Мario Hoffmann解释:“密封云不仅对所有的数据进行加密,也通过先进技术和机电系统全面保护服务器的访问情况”。
密封服务器
截至目前,云服务的经营者及其员工普遍有权不受限制地访问IT技术基础设施以及存储在其中的信息。密封的云计算则对此做出了改变,能从技术和组织的角度,双重确保每一个应用程序服务器的安全。每个服务器都被锁定在一个机架中。在服务器需要维护时,系统首先要将所有数据信息和内部存储空间转移至其它安全的计算机中。在此之后,管理员才能获得一个电子令牌,允许其打开机架。一旦修复完成,机架就会再次被锁定,系统将从一个中心点重新启动,然后自动触发一个验证过程,以保证所有的数据和程序都与授权认证的版本相匹配。
在密封云中,有一个重要的组成部分——“安全数据存储”云服务(即SDS服务),该服务提供了一个管理分布式过程相关数据的可信方式。在SDS的中心,是一个存储信息以及指向外部资源链接的数据库。当授权用户访问数据时,在其登陆过程中,系统会根据其登陆信息(如用户名和密码)生成一个个性化秘钥。用户可以利用该秘钥来定位、解密和处理应用程序的数据。在用户注销后,数据又会重新加密并保存。
每次将数据从用户端转移至SDS的操作,均通过一个安全通道来执行,整个过程持续至数据在用户设备上完成加密为止。这可以防止任何未经授权的第三方在数据转移过程中获得信息访问权。Hoffmann表示,密封云计算解决方案的特色优势就在于“其结合了公共云在经济上的优势,以及私有云在安全性上的优势”。
可信任的身份识别机制
智能手机、平板电脑和上网本的出现,使得员工可以随时随地地访问公司数据,这虽然让工作变得更加灵活机动,但也让未经授权的用户有机会窃取员工的数据访问权,无需许可就能读取企业的敏感信息。为防止这种情况的发生,云端务必需要一个强大的身份识别机制。Fraunhofer正在研究的KID-neity项目是将德国新身份证、电子医疗卡、银行卡和员工证上的安全电子身份识别(eID)技术应用到云计算中,从而为用户提供可信任的身份识别机制,更好地保用户和企业的所有业务流程。
然而,移动通信还隐藏着更大的风险。例如,黑客、数据泄露和间谍攻击的入侵表明,当数据在工作站和云端之间、智能手机和智能手机之间传输时,数据保护能力往往是最脆弱的。Fraunhofer光电研究院正在研究一个极为安全可靠的通信解决方案,通过增加一个被称为“CyphWay”的小型额外设备,提供安全且高速的数据传输服务。该系统改用模块化结构进行设计:一个模块进行数据的加密和解密,而另一个模块则用于确保通信硬件和其它设备之间的安全连接。
Fraunhofer还将开发一款数据监控软件,该软件将永久地监控敏感数据的使用情况,使用户在数据“脱手”的情况下仍能保有对数据的控制权。IND²UCE(集成分布式数据的使用、控制、执行)让定义用户权限和限制数据的传递使用成为可能。通过准则的设立,确定谁被允许接收一个给定的文件,怎样的编辑是可行的,一个文件可以被打开多长时间,以及何时会自动删除接收者系统中的数据。
然而,云计算不只是与负面的潜在风险相关,它也能帮助企业通过一个高度可靠的方式来保障数据的安全。云端为企业提供了专业的数据备份服务,数据被存储在提供商的服务器上,并由服务商负责必要的管理工作、物理性安全,合格的人才和高度的资源可用性。
连接到云的文件服务器
云计算在企业中得不到普及的另一个原因是,他们不想被一家云计算服务商套牢,即所谓的供应商锁定。此外,目前而言,要将存储在云端的数据进行传输仍是一个非常艰难的过程,因为每一个云计算服务提供商通常都有其自身专属的接口,这也正是Fraunhofer安全信息技术研究人员正在关注的问题,他们已经开发出一种文件服务器——OmniCloud,便于企业能够无缝接入任何一家云计算服务提供商。在2012年,OmniCloud被Horst Görtz基金会评为德国信息技术安全奖的第一名,它能够准确识别各个服务提供商的各种编程接口,并提供了一项数据“移民”服务,即企业可根据需要,轻松地将数据快速传输至新的存储服务提供商。通过OmniCloud,企业能够将所有应用程序和备份软件连接至任何一家云服务供应商。
OmniCloud的另一个优点是,其能在数据离开企业网络、存储至云端之前,将所有的数据进行本地加密。研究院云计算认证和隐私方面的负责人Мichael Herfert强调:“无论企业的存储服务提供商采用任何安全措施,OmniCloud均保证企业的数据能始终保持在机密状态。”通过OmniCloud,企业可使用一个单独的秘钥对每一个文件进行加密,不仅可以保护文件的实际内容,还能保护文件的名字和目录结构。此外,OmniCloud还具有一个访问控制系统,用于清楚地指定哪个用户有权访问哪个文件。
如果要让企业和政府机构能够访问所有的数据和云服务,我们需要一个高度安全的可用网络。访问权限将会受到技术问题或针对性攻击的阻碍。目前,几乎每周都有关于网络威胁的报告——从阻断式服务攻击,到间谍程序,以及电脑劫持形成的僵尸网络。2007年的爱沙尼亚事件提醒了我们,现代社会和经济在与互联网捆绑后已变得非常脆弱。在爱沙尼亚事件中,网络攻击导致了全国范围内的网络停机和大部分公共设施的功能失效。因此,我们现在需要新的云计算服务概念,保证在突发情况下,即使服务的可用性受限,但用户仍能进行正常工作。
弗劳恩霍夫研究院通信、信息处理和工效学小组(FKIE)的Jens Tölle博士强调:“网络空间需要有其自身的防御策略。”FKIE的专家正在“网络防御实验室”中研究这些策略。Tölle认为“我们的防御策略应该与网络基础设施技术的进步,以及相应产生的各种潜在威胁保持同步,阻断式服务攻击、信息的蓄意抽取、工业控制系统的恶意操纵、以及针对性的用户信息刺探等所有风险都是需要我们采取相应措施主动预防的。”
因此,用户在云端工作时,不必单一地依靠其服务提供商的安全保护措施。FKIE可用网络安全小组的研究人员正在研究如何使数据安全存储至云端的新技术。现有的数据加密方法,如Boxcryptor或Wuala,都无法提供企业所需的集成处理服务。此外,这些方法功能有限,只能在特定情况下使用。大型云服务提供商,如亚马逊,其提供的安全保护措施也具有类似缺陷。波恩大学安全和隐私专业的教授Мatthew Smith博士表示:“到目前为止,客户进入云端或向云端添加其自身的加密机制时,已不得不主动采取安保措施。”为帮助企业能更轻松、更安全地使用云计算服务,FKIE提出了一个极为创新的方法——通过整合IT安全保护技术和安全保护服务概念,将安保服务提供商和云计算资源提供商区分开来。这意味着企业之间可以通过合作,共同保障数据存储的安全性。
在云端取得成功
尽管云计算服务不尽完美,仍有一些缺陷,但事实证明,它所拥有的巨大优势仍值得企业尝试该项服务。IBМ应用研究中心在2013年进行了一项比较研究,结果显示,系统化使用云计算服务的企业,与其他很少使用云服务的竞争对手相比,前者的增长速度是后者的两倍,毛利率约为后者的2.5倍。如果我们希望未来有更多的企业、政府机关和公共机构使用云计算服务,我们就需提供最佳的数据保护措施,确保云服务是安全的、可靠的、随时可用的。