云计算的安全问题
2016-03-14上海市宝山区广播电视台
上海市宝山区广播电视台 蔡 蔚
云计算的安全问题
上海市宝山区广播电视台 蔡 蔚
【摘要】云计算的便利和强大已众所周知,但是随之而来的安全问题也让人越来越重视,文章探讨了一些云计算设计、使用时的安全问题。
【关键词】云计算;应用软件;虚拟机;安全问题
云计算能够让你按照可计量的方式来使用计算资源和存储资源,能够降低企业在计算基础设施方面的投入成本。在物理硬件上运行的虚拟机可以动态地增容和降容,并由虚拟机监控器进行控制,成为一种成本效率高,灵活性好的计算方式。虽然云计算具有很多优势,但是云中的安全才是云用户首先关注的问题,也成为了云计算开发应用的瓶颈。
1 引言:云的隐患
云的规模、结构以及地域分散性等特点是引发用户对云中数据安全和隐私担忧的源点。主要涉及以下几点:云服务提供商提供的软件是否可靠,能否对敏感信息提供正确的处理和防护;运行在同一台服务器上不同虚拟机之间的数据是否会被泄露和非授权访问;云服务提供商设置的安全防护措施是否可靠,是否会泄漏云用户的数据。另外,云用户在使用云服务时是否会不自觉地泄露自己的信息。下面我就这些问题分别做些探讨。
2 云计算中的应用软件的安全问题
使用云计算提供的SAAS服务时,安全软件是一个关键问题。安全云软件应具备三个必须的安全需求:(1)软件在预期的运行条件下必须是可靠的,在恶意的运行条件下要保持可靠;(2)软件自身的行为必须是可信赖的,不能有被黑客利用的漏洞或插入恶意代码能对其产生破坏;(3)软件适应性必须足够强,在意外结束后能够迅速恢复全部运行功能,并对软件本身、软件所处理的资源、数据以及与软件进行交互的外部组件的破坏程度降低到最小。
为了达到这个安全需要在软件开发的起初阶段,在数据处理、代码实践等环节都要谨慎处理。如当用户在计算机屏幕上输入密码时,确保一定不能用明文显示,即使用星号等符号显示,也要防止黑客在屏幕上通过复制粘贴的方法获得密码。因此密码最好用单向散列进行加密。对所有不能确信的用户的输入要进行验证和确认。云服务器代码中所包含的信息要精简,因为黑客会利用运行代码中的注释(如正在运行的软件版本等信息),来检测搜索攻击范围。
当下随着针对信息系统恶意攻击的频率越来越高,攻击方式越来越复杂,安全性也成为云软件设计时的主要目标。因此设计系统软件时应遵循最小特权、权限分离、深度防御、故障保护、完全仲裁、最小公共机制等原则。最小特权原则指主体在完成某种任务操作时只给予必不可少的特权、最少的资源、最短的时间,限制了每个主体所能进行的操作。这样将能减少由于疏忽或不经意所形成的错误,或是侵入者假装成合法主体所造成的损坏的发生,限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜在的相互作用,从而限制了特权无意的、没必要的或不适当的使用。
权限分离原则要求对某个特定的敏感对象的访问要依赖于满足多个条件。比如就象银行保险箱的开启必须要有当事人和银行保险箱管理员同时拿出密钥才能开启一样,对于某个特殊的敏感系统的登陆也需要满足相关不同的条件才能访问,如不仅要口令,还要指纹等,这样才能进一步确保阻止无关人员的非法登入。
深度防御原则是指采用多层安全防护,一旦前面的安全防护层受到攻击被破坏,还有后续的安全防护层能够继续提供防御能力。这样在攻击者和用户信息资源之间建立起多层屏障,攻击者越想深入系统,他所面临的困难就越大。这些防御层阻止了攻击者对系统重要资源的攻击和侦察,同时也为入侵检测系统的实施提供了自然的检测区域。
故障保护原则顾名思义就是指当云计算系统发生故障时,系统应受到保护,不受故障影响而处于安全状态,其数据也不会遭到破坏。如当系统有故障时,让系统默认处于一个拒绝用户访问的状态,直到系统完全恢复到安全状态。
完全仲裁原则是指在系统中,主体对客体的每一个访问请求都必须经过一个正当有效的授权过程,即使系统处于初始化或者关闭、重新启动等模式状态,这种仲裁都不能被停止或者绕开。完全仲裁必须具备的功能包括对每一个发出访问请求的实体进行标识,验证该请求自发起后未被修改,实施恰当的授权过程。即使对同一个实体前面已认证的请求也要进行重新检查。
最小公共机制原则认为应该尽可能少的采用公共防御机制为大多数用户服务,因为共享的访问路径很有可能成为非授权信息交换的源头。
认证、授权、审计和可追究性这些也直接影响云计算软件的安全。认证是指系统对用户身份的证据进行验证和达成一致的过程。如用户在登陆页面输入用户名和密码,系统通过验证密码与用户名是否与注册时留下的一致来判定用户是否有权登陆。授权是指为用户或进程授予访问计算资源和信息资产的权限,用户身份决定着授权级别。审计由系统审计和系统监控两部分组成。可追究性指在云计算系统中能够在事后根据某个实体的动作和行为,识别出该实体的身份。审计日志有助于实现可追究性,且可用来引导事后研究,以此分析历史事件和与这些事件相关的实体。
3 云计算中虚拟机的安全问题
云计算系统中的多个虚拟机共享一个物理硬件,因此当某个虚拟机因受到攻击出现系统漏洞时,很可能会导致其它虚拟机甚至宿主机的操作系统受到威胁。出现虚拟机进入死循环,管理员无法进行访问;虚拟机管理器受到干扰,对监测点和所有分配的资源进行破坏;虚拟机完全失去控制,能直接在其宿主机上使用更高的权限执行非授权的命令等情况。 针对这些安全问题,有以下的对策来解决。
(1)限制对虚拟机的资源消耗,减少虚拟机的功能。如果每个虚拟机只配备一个主要功能,将虚拟机配置为进程隔离,只采用每个服务器或设备的某个主要功能,就能在很大程度上阻止黑客破换多个系统组件。(2)为机密虚拟机使用独立的网卡。对那些包含加密数据库,敏感信息的虚拟机将其网络接口地址绑定到一个单独的物理网卡上,有助于防止外部攻击。(3)断开不用的设备。由于虚拟机可以控制宿主机上的物理设备,因此有可能通过虚拟机加载时向设备输入插有恶意代码的介质,所以要尽可能地将那些不必要的默认虚拟设备连接断开。(4)保持虚拟机软件的更新,确保所有已知漏洞被及时补丁上。这样攻击者如果不在操作系统中提升权限,攻破系统的可能性就明显降低。(5)避免客户的虚拟机在非保护模式下运行时使用底层设施提供的所有安全功能,同时要避免在客户虚拟机使用Root权限,运行不可信的代码。(6)确保虚拟机远程访问的安全。虚拟机往往位于远离管理区域的服务器集群上,因此需要安全的远程管理通信技术来访问管理虚拟系统。通常使用一个专用的管理网卡运行服务进程,采用加密通信、双因素认证等强认证方式。还有些安全对策如对虚拟机端口进行防火墙保护、虚拟化基础设施的审计日志必须保存得足够详细。
4 云计算中服务提供商的安全问题
一个可信的云计算服务提供商要为用户提供一个安全的执行环境,对用户的应用程序和存储提供安全保障。因此云服务提供商是否具有安全管理、安全意识和安全控制的意识会对云计算的安全有着至关重要的影响。
云计算服务提供商的安全管理不仅涉及到云计算系统中的基础设施的物理环境的管理,如充足的电力保障,人员进出机房的安全保障,对自然灾害的预防等,更重要是对用户信息的进行安全管理。对于一个用户来说,储存在云中的所有数据不是都具有同等地位的的,可分为公开数据、敏感数据、私有数据和机密数据,因此云服务商安全管理的首要任务就是将信息分级。信息分级的主要目的是提高数据的机密性、完整性和可用性,并尽可能地降低数据的风险。云服务商
可根据信息对用户的价值,信息的寿命也就是使用年限等来对信息分级。信息的价值是指此信息丢失或泄漏对企业产生的影响,可分为高级(出现重大损失)、中级(导致明显的损失)、低级(只导致一些损失)。信息的寿命就是指信息的价值会随着时间的发展不断地递减,当新的信息出现成功替代一个旧的信息,那么旧的信息的安全级别自然就降低。不同安全级别的信息享有不同等级的管理措施,使用户的信息能够最大程度的得到安全保障。
云中的数据对云服务提供商的某些雇员来说是透明的,他们可以访问客户的数据,因此对雇员安全意识的培训必不可少。通过提高保护系统资源的意识、提高技能、提高法律法规的宣传、激发雇员职业责任感来减少员工的非授权行为。除了有安全意识,云服务提供商的安全控制也很重要。云服务提供商在当客户需要销毁某些数据时,应禁止私下将数据截留在存储区域内或者备份数据;雇员对一些敏感数据的访问应通过权限分离等防御措施进行监督与控制;雇员离职时,应做好交接后续工作,例如删除访问权限、清理个人计算机数据,返还公司计算机设备等。
5 云计算使用时的安全问题
虚拟化的资源、跨地域的服务器、共享的计算单元和存储单元,这些为云用户带来了巨大的便利和机遇的同时也带来了挑战。云用户在享受云计算的便捷的时候也应注意保护自身数据信息的安全。云用户的身份认证通常是通过登陆时的密码来认证,因此密码的设置不易过于简单,尽量不要将个人的敏感信息包含在里面如生日等,对于一些高级别用户为了更安全些,要定期不断地更新自己的登入密码。因为对一个黑客来说,只要给他足够的时间和资源,没有一个密码是破不了的。对于找回密码设置的一些问题尽量私秘些,密码应该只有当事人才有权限知道。在云服务中,实名认证和证书下载或许更能保护你信息的安全,因为它们是能验证你在网络上的身份,并具有唯一性。另外不要把敏感数据作为查询字符串的内容送到云端服务器中,因为查询的字符串可能被记录到日志中,从而被那些没有权限查看的人得到信息。最后,做好备份工作,以防止服务器不可预测的物理性故障等问题。解决了以上的小问题后,你就可以更愉快地享受云计算带来的便利了。
参考文献
[1]田立勤著.网络用户行为的安全可信分析[M].清华大学出版社,2011.
[2]虚拟化与云计算小组.虚拟化与云计算[M].电子工业出版社,2009.
作者简介:
蔡蔚(1971—),女,学士,工程师,现供职于上海市宝山区广播电视台。
