刘 伟 徐 雷 陶 冶

中国联通研究院 北京 100176

引言

随着云计算技术的不断演进，云计算平台规模不断扩大，云系统的安全平稳运营问题日益凸显，木马、病毒、恶意代码等安全问题日趋严峻，各种云平台崩溃、用户数据泄露事件层出不穷。2011～2012年，全球最大的公有云平台亚马逊AWS共发生4次因运维不当造成的大面积宕机事故，导致云平台长时间无法恢复工作并且造成大量用户数据丢失。2013年12月，我国电商领域爆发用户泄露事件，支付宝用户信息大量泄露，泄露用户总量达2500万，涉及京东、支付宝和当当网等电商企业。

针对云平台安全运维问题，各国政府、国际组织均十分重视，并采取相应措施。国际方面，欧美国家相继出台云计算运营管理要求，著名国际组织ITU于2013年发布云计算端到端管理框架，对云平台资源管理提出严格要求。

由于云平台具有资源虚拟化、多租户环境等特点，针对云平台的安全运维管理相较于传统IT系统难度大增。云计算平台安全运维管理主要存在以下难题。

1)云平台资源数量巨大。

虚拟化技术可大大提高资源使用效率与灵活度，但同时极大提升了云平台运维管理难度。相比于传统IT系统，云计算平台的虚拟机、虚拟存储等资源在数量上约为传统物理服务器、存储设备的10倍以上。据统计，亚马逊云平台AWS有超过200万虚拟资源，国内最大的公有云平台之一阿里云大约有数万台弹性云计算服务器。

2)云平台资源种类众多。

主流云计算平台内包括虚拟机、分布式数据库、对象存储、文件存储、应用托管平台、虚拟网络设备、虚拟安全设备等，每一类云计算资源均需要不同的监控技术，对其关键指标进行管理。另外，需要对重要资源采取漏洞扫描、合规性检查等手段，保证云系统平稳运行、用户数据安全存储。

3)云平台面向多租户。

云系统面向众多企业内外用户与管理员，如何在对资源安全监控的同时，保障各级用户的隐私数据安全，是云服务提供商在进行云安全运维时需解决的关键问题。

4)监控即服务、安全监控即服务正在成为热点。

2014年，著名云监控企业New Relic上市，面向用户提供应用级的监控云服务正在成为热点。云监控平台在提供服务的同时，用户数据隐私与数据安全问题仍不规范。而针对这些问题，目前国内业界也尚无云安全运维管理相关安全标准，以规范云环境下数据库的安全运维。

因此，为保障国内云计算平台安全平稳运营，保障产业链企业成员、用户数据安全，有必要对云计算平台的运维现状、特性开展安全调研，梳理主流云资源的安全监控与管理技术，归纳总结云监控服务下监控数据面临的潜在安全挑战和安全威胁，研究当数据面临某种安全威胁或挑战时，应建立的安全解决方案，提升数据的安全性。本文的研究成果对云计算平台的安全运营具有重要的现实意义。

1 云监控技术概述

1.1 云监控技术

云监控服务是指针对云计算用户的监控服务。通过与云计算平台的整合，针对网络、系统、应用等内容提供可用性、用户体验和安全性方面的监控服务[1]，保障云计算用户的业务稳定安全运行。当服务器发送故障时，及时给网站管理人员发送邮件和短信报警，第一时间了解网站状态，将故障时间降低到最小。同时也提供其他服务，例如追踪用户访问网站的速度、协助用户判断故障原因等。如无特殊说明，本文内的云监控均指公有云环境下的监控。

云监控在整个云安全环节发挥着不可或缺的作用，它可以有效帮助云服务提供商尽快发现并解决问题。但是在云监控服务过程中，需要保存大量的云用户资产运营数据及个人数据，这使得云监控服务也会涉及用户数据隐私问题。因此，在提供监控服务的同时，研究监控数据本身面临的安全威胁、风险以及解决策略对云计算的发展具有重要意义。

1.2 云监控服务类型

在云计算环境下，监控数据可分为必要性监控数据和可选性监控数据。必要性监控数据是指管理系统、物理资源、虚拟化资源和网络的监控数据等，选择性监控数据是指存储资源、虚拟机、虚拟网络和安全事件等的监控数据。

因此，云监控服务可分为必要性云监控服务和可选性云监控服务，如图1所示。必要性云监控服务主要由云服务提供商使用，保障云平台的稳定性、安全性。可选性云监控服务主要由云用户使用，为用户在云平台的各类资源、服务以及部署在云平台上的各类应用提供增值云监控服务。此外，云服务提供商也可以使用可选性监控数据来满足自身服务水平协议(SLAs)[2]。例如，云服务提供商可以使用数据库即服务(DBaas)[3]监控数据，来保障云数据库资源和服务的安全、稳定性。

图1 公有云监控服务类型

1.3 监控数据生命周期

监控数据全生命周期主要包括以下8个阶段。

1)监控数据收集阶段：主要是通过数据存储服务器获取数据的过程，大多数监控数据是由云用户使用云服务创建的。此外，其他云监控服务活动也可以创建必要的监控数据。

2)监控数据存储阶段：创建监控数据集后，这些监控数据可以存储在本地云用户的云资源内，也可以存储在云服务提供商的监控数据存储服务器内。

3)监控数据使用阶段：监控数据可通过云服务提供商用于维护云平台和云服务的性能和安全性，还可用于维护云用户的云资源性能和安全性。

4)监控数据迁移阶段：如果云资源需要迁移时，监控数据可以与云资源一起迁移。

5)监控数据分析阶段：云服务提供商和云用户可以对监控数据进行分析，以了解云平台资源的状态，以便更好地管理和保护它们。

6)监控数据呈现阶段：为了更好地管理SLA和云安全，监控数据收集后，建议将监控数据有效地展示出来，同时，由于云监控数据的数量可能非常大，因此建议云服务提供商或云用户以可管理且易于理解的方式汇总这些数据。

7)监控数据销毁阶段：云服务提供商需要根据云用户的要求对监控数据进行销毁，同时，如果数据不再需要监控时，云服务提供商亦可自主选择销毁。

8)监控数据备份阶段：监控数据的备份是十分必要的，它能够防止系统出现操作失误或系统故障导致数据丢失。

1.4 国内外研究现状

云计算技术的发展在国外起步较早，云监控服务也是由国外最先关注。随着云计算服务的日益成熟，各企业在使用云计算技术的同时，也开始关注、使用云监控服务，由此带来了云监控市场的崛起。

目前国外有许多开源的监控产品，如Zabbix、Ganglia、Nagios等[4]。其中Zabbix是一个相对成熟的监控系统，可以进行主机的性能监控、网络设备性能监控以及FTP等通用协议的监控，它支持将采集的数据持久化地存储到数据库中[5]。Ganglia一般用于监控大规模分布式系统的性能，如内存、CPU和磁盘的利用率、网络流量等。Nagios则是一款面向服务和网络状态的监控工具。

国内的云监控目前主要分为两种形式：针对自身云平台提供的监控以及对外提供监控服务。针对自身云平台监控的产品主要有腾讯云监控、阿里云监控等，对外提供监控服务的产品主要有360监控服务等。

通过上述研究可知，云监控产品经过近年来的发展，已经日趋成熟，云服务提供商在提供计算、存储、网络等资源外，也提供了云监控服务。但与此同时，在使用云监控服务时，监控数据面临着很多潜在的安全挑战和安全威胁，如监控数据滥用、泄露等。目前，监控数据的安全性问题还未得到应有的关注，相应的研究甚少。因此研究监控数据可能面临的安全威胁或挑战，以及应对的方案，是非常必要的。

2 云数据监控面临的潜在信息安全风险分析

由于云数据既有传统数据的通用特性，又有自己独特的特点，因此，云数据除了包含自己特有的安全威胁和挑战外，也会面临和传统数据一样的安全威胁和挑战，例如：内部威胁、司法冲突、自然灾害、盗用知识产权、数据丢失和泄露以及服务不可用等。这些通用安全威胁与挑战本文将不再重点介绍，将重点分析云数据在自己的生命周期不同阶段内所面临的安全挑战和威胁。

2.1 数据收集阶段的安全威胁与安全挑战

1)未授权的数据采集：云服务提供商或其他攻击者可以未经云用户的许可或授权就私自采集其数据。

2)接口漏洞：如果平台、系统等存在未知的接口漏洞，那么这些接口漏洞很有可能会被某些攻击者利用，监控数据则面临巨大的安全威胁。

3)欺骗：攻击者可以伪装成云监控服务的管理系统，或数据存储服务器，从而对云用户进行欺诈，采集其数据，这将导致严重的数据丢失和泄露。

4)未授权访问：如果云服务提供商的监控数据收集系统或云用户系统被未经授权的人访问，则很可能导致监控数据的丢失。例如，攻击者利用云用户的系统漏洞获取系统的未授权管理访问权限，将监控收集目标IP地址修改为自己的IP地址，进而获取到用户的监控数据。

2.2 数据使用阶段的安全威胁与安全挑战

1)数据滥用：云服务提供商可以使用监控数据来维护SLA和云计算平台、资源的运行，但是云服务提供商也可能未经用户许可或授权，将用户的监控数据用于其他目的，尤其可能用于其他商业目的，造成用户数据的滥用。同时，云服务提供商或云用户的内部员工也可能会滥用云用户的监控数据。

2)窃听：监控数据可能会被攻击者窃听，从而导致监控数据的泄露。

3)系统漏洞：系统漏洞很可能导致监控数据在使用阶段丢失。

2.3 数据存储阶段的安全威胁与安全挑战

1)数据丢失和泄露：由于在公有云服务环境下，通常是多租户，因此数据的丢失或泄露对云用户和云服务提供商都会造成严重的后果。造成数据丢失和泄露的原因有很多，例如加密密钥丢失或泄露，验证码、访问权限等加密信息的不适当管理，身份认证、授权和审计控制不足，加密、解密身份验证时，使用的密钥不一致，操作失败，数据中心可靠性与灾难恢复以及司法和政治问题等。

2)服务不可用：造成服务不可用的主要原因包括Dos攻击或DDos攻击，以及监控数据存储服务器硬件损坏等问题。

2.4 数据迁移阶段的安全威胁与安全挑战

1)数据滥用：在实际环境中，监控数据很有可能需要在不同的物理位置之间进行迁移，这就涉及到监控数据被传输到不同的位置，因此，迁移阶段不允许数据被滥用是极为重要的。

2)数据篡改和拦截：监控数据迁移阶段，数据要被传输到其他不同的物理位置，因此，攻击者可以使用中间人攻击或其他网络攻击技术来篡改和拦截监控数据。

3)伪装与欺骗：攻击者可能会伪装成云监控服务的管理系统或者监控数据存储服务器，从而对云用户或云服务提供商进行欺骗行为，盗取或滥用数据。

2.5 数据分析阶段的安全威胁与安全挑战

1)数据泄露：在数据分析阶段，监控数据很有可能被泄露，从而导致云用户的商业机密信息或个人隐私数据被泄露。

2)系统漏洞：攻击者可以利用监控数据分析系统的漏洞进行攻击。

3)Dos攻击：由于监控数据分析阶段具有更大的潜在价值，因此此阶段也是攻击者较为感兴趣的阶段，攻击者很有可能对监控数据分析服务器进行Dos攻击或DDos攻击。

2.6 数据呈现阶段的安全威胁与安全挑战

1)数据误用：在监控数据显示期间，云服务提供商可能在没有获得云用户的许可下，就呈现其数据，从而泄露云用户的数据。

2)虚假呈现：监控数据呈现阶段，为了数据的“美观性”、“严重性”等商业目的，很有可能存在监控数据的虚假呈现问题。

3)外部接口漏洞：由于监控数据呈现阶段一般都会使用某些外部接口，这就使得监控数据面临的风险也随之增加，并且由于外部接口具有不完全可控性，大多对外部互联网开放，因此，外部接口漏洞几乎是系统暴露在最外围的部分。

2.7 数据销毁阶段的安全威胁与安全挑战

1)伪装与欺骗：攻击者可能会伪装成云监控服务的管理系统，欺骗用户的用户名、密码等信息，在监控数据销毁阶段，攻击者通过将监控数据传输至其他服务器等方式，从而欺诈用户已经将所有监控数据销毁。

2)操作系统漏洞：如果操作系统出现漏洞，那么在监控数据销毁阶段，很有可能存在部分数据无法彻底删除，或被攻击者利用，造成数据丢失。

2.8 数据备份阶段的安全威胁与安全挑战

云监控数据在备份阶段，面临的安全威胁和挑战如下。

1)操作系统漏洞：如果在监控数据备份阶段出现操作系统漏洞问题，那么很可能会造成备份的监控数据不可用、丢失等问题。而当监控数据出现问题需要使用备份的监控数据时，备份数据不能恢复出原始数据，则将造成严重的、不可挽回的后果。

2)非定期备份：监控数据需要根据数据重要程度设置合理的备份周期。如果监控数据没有做到定期备份，那么很有可能在自然灾害等灾难时间发生后无法依靠技术进行恢复。

3 解决方案分析

3.1 监控数据加密、隔离存储

加密是保护云监控数据安全性的关键，一般来说，云监控数据安全存储的加密系统包括数据处理、数据验证，令牌生成、凭证验证等功能模块[6]，数据处理模块主要负责数据处理、数据验证、输入数据归类存储等，一般认为数据处理模块是保障数据完整性的关键。令牌生成模块主要负责数据分块、加密和编码等操作。由于数据在存储之前进行了加密处理，但在一定程度上，数据加密存储也增加了数据查询的难度，因此，建议云用户和云服务提供商使用支持查询的云数据加密存储技术来解决数据查询的问题，既能够实现通过关键字查询数据，又提高了数据的安全性。

同时，由于监控数据的真实性和私密性，云服务提供商和云用户必须要保证这些私有监控数据的隔离存储安全[7]。提升监控数据的隔离存储安全主要包括两种方式，其一是监测和限制用户之间的相互通信和资源共享，不断提升和完善用户认证技术，避免存在非法利用资源共享窃取信息的行为；其二是加强数据安全的管理，包括制定相关法律法规、相关标准等。

3.2 加强身份认证和访问控制

在云监控服务中，为了应对复杂的云环境，云服务提供商和云用户需要运用安全有效的访问机制和身份认证、识别等技术来控制权限，保障不同类型数据信息内容的完整性和隔离性。云计算平台需要建立一个统一的身份认证和权限管理系统，进行身份认证、统一授权访问管理。目前，身份认证的方法依据身份标识的不同，大体上可以分为基于信息秘密的身份认证、基于信任物体的身份认证和基于生物特征的身份认证[8]。同时，建议加强账号管理，例如要求同一账号同一时段只能在一个终端上操作，以增强监控数据的可控性和安全性。

访问控制是指确认身份后，要根据不同的身份类型设置不同的系统资源访问权限，以实现不同身份合法用户访问指定的有限制的信息资源，防止未授权身份访问信息资源。

3.3 提升数据销毁和恢复技术

由于监控数据在销毁阶段也面临着较多的安全威胁与挑战，因此，云用户和云服务提供商应提升自身的数据销毁技术，例如，提升销毁速度，避免监控数据在销毁过程中由于不受保护而被非法窃取；再者加强数据销毁处置的彻底性，目的是既要保障监控数据的安全性，又要为监控数据的存储节约空间。

目前常用的数据销毁策略包括：重复使用磁盘前先做覆盖存储资源处理，确保之前的数据不可复原；磁盘报废时进行消磁处理，消磁过程建议全程视频监控。

除了要提升数据销毁技术，还要提升数据恢复技术，数据恢复技术在重要数据被非法窃取或篡改后将发挥重大作用，将丢失或遭到破坏的数据还原为正常数据，从而提高云监控数据的安全性。

3.4 监控数据容灾备份

为应对突发的云计算平台的系统性故障或灾难事件，无论监控数据存放在何处，云服务提供商和云用户都应该慎重考虑数据丢失风险，对数据进行备份，以备丢失时进行快速恢复。目前国内外常用的数据备份技术主要包括了基于HDFS分布式文件系统的冗余存储技术[9]和异地备份机制两个方案。基于HDFS分布式文件系统数据冗余的数据容灾技术属于典型的以物理空间换取安全性的做法，其技术实现难度和成本都不是很高。异地数据备份需要在异地搭建一个或多个数据备份中心，并通过广域网通信等技术实现本地备份中心、异地数据备份中心和本地数据之间的实时更新和同步处理。

3.5 非法入侵检测防范

由于监控数据在生命周期内的很多阶段都有可能受到网络攻击，因此在云监控平台中必须要采用一些应对网络安全问题的解决方案，例如基于IDS入侵检测技术等。IDS入侵检测系统技术是指按照一定的安全策略，对网络和系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击后果，以保障网络系统资源的机密性、完整性和可用性。

同时，由于近年来针对云平台的Dos或DDos攻击事件增多，因此通常在采取IDS等网络安全管理组件之外，还需要设置针对Dos或DDos攻击的解决方案，例如设置冗余服务器、冗余链路或宽带维持等技术。

3.6 提升监控数据安全传输能力

在监控数据收集、迁移等阶段，数据的网络传输是不可避免的，因此，提升监控数据的安全性是非常重要的，涉及的方案较多。例如，监控数据加密传输，加密可以选择在链路层、网络层、传输层等层面实现。而对于管理数据的加密传输，可采用SSH、SSL等方式为云监控平台的内部维护管理提供安全通道。对于云用户数据加密传输，则可以采用VPN等技术。

此外，还可以通过使用安全的数据接口、标准的网络数据传输协议、日志和审计等方式来提升监控数据的安全传输能力。

4 总结

结合以上研究内容可知，监控数据生命周期的不同阶段主要面临的安全威胁与安全挑战并不同，因此需要关注的重点方向、使用的安全技术亦不同，如表1所示。

表1 监控数据各阶段与安全关注重点映射表

云监控作为云平台日常重要维护管理手段，对保证云平台的安全运行，保护云用户的资产及数据安全具有重要意义。然而由于信息安全技术的滞后性，目前在云服务提供商提供监控服务的同时，用户隐私数据或监控数据面临着较多的安全风险和安全威胁。因此，在提供或使用云监控服务时，应在安全和效益之间做好权衡。同时随着信息安全技术的发展，多种安全技术逐渐成熟，最终使得云监控服务下监控数据所面临的安全风险达到可控。

随着云监控服务市场的崛起，云监控将在云计算行业内发挥重要作用。未来云监控服务将进一步实现监控预警自动化、监控数据安全性保障等。