云计算的安全管理探析

张忠生

山东省经济管理干部学院 山东 250014

0 前言

云计算(Cloud Computing)是在2007年3季度才诞生的新名词，但仅过了半年多，其受关注的程度就超过了网格计算(Grid Computing)，云计算是一座商业计算模型，它将计算任务分布在大量计算机构成的资源池上，使用户能够按需要获取计算力、存储空间和信息服务，这种资源池称为“云”。云计算将计算资源集中起来并通过专门软件实现自动管理，无需人为参与。用户可以动态申请部分资源，支持各种应用程序的运转，无需为烦琐的细节而烦恼，能够更加专注于自己的业务，有利于提高效率、降低成本和技术创新。

概括起来云计算的优点：动态可伸缩性、较高的灵活度、共享性、 虚拟性、 大规模性、和经济性。

云计算本质上是服务方式的改变，它以服务的形式实现资源的共享。用户不再需要购买高性能的软件硬件系统，构建自己的计算平台。而是使用任何可以上网的终端设备，连接“云”，利用“云”提供的服务，直接在“云”上处理并存储数据。

云计算按照服务类型大致可以分为三类：将基础设施作为服务IaaS、将平台作为服务PaaS和将软件作为服务SaaS。

1 云计算的安全问题

随着云计算应用的不断普及，云计算的安全问题也呈现逐步上升的趋势。2011年4月17日，索尼服务器接连遭遇黑客攻击，大量用户数据被盗。2009年10月，微软云计算服务器故障导致用户数据丢失。事实证明，云计算的安全问题已成为制约其发展的重要因素，人们真切地感受到了云计算所面临的安全威胁。理论上，云计算和云计算安全两者是一致的，但通常并非如此。在高科技产业中，“云计算很好”，“云计算安全很糟糕”，那么云计算安全到底存在什么样的问题呢？

云计算安全主要包括：基础设施安全和数据安全。基础设施安全又分网络层面、主机层面和应用层面；数据安全包括传输中数据、静态数据、数据处理、数据沿袭、数据起源和数据残留等。

随着云计算服务的采用，用户的网络、系统、应用程序和数据的很大一部分将移至第三方提供商的控制之下。云计算服务交付模式会创建具有虚拟边界的计算云，以及由用户与云计算服务提供商(CSP)共享责任安全模型。这种共享责任的模型给机构的IT运维人员带来新的安全管理挑战。

2 云计算的安全管理标准

目前云计算中与安全管理实践相关的标准主要包括ITIL、ISO/IEC 27001和ISO/IEC 27002。

2.1 ITIL

20世纪80年代中期英国商务部提出信息技术基础架构库(ITIL)以来，ITIL作为IT服务管理事实上的国际标准已经得到了全球几乎所有IT巨头的全力支持。ITIL是一组最佳实践和指导方针，定义了管理信息基础服务的一种集成的基于流程的方法。ITIL可以适用在几乎所有类型的 IT环境，包括云计算运行环境。ITIL把信息安全分解为：策略(机构希望实现的总体目标)、过程(未来实现目标，需要做哪些工作)、步骤(为了实现目标，谁应该在什么时候做些什么)、工作指示(执行特定动作的指示)。

2.2 ISO 27001/27002

ISO/IEC 27001正式定义了对信息安全管理体系(ISMS)的强制性要求。它同时也是认证标准，并使用ISO/IEC 27002来描述信息安全管理体系内应采取的信息安全控制手段。机构在信息安全管理方面转向ISO/IEC 27001是当前流行的趋势，因此信息安全从业人员一致认为：应当修订ITIL安全管理最佳实践，以强化在信息和通信技术(ICT)基础设施领域的应用程序安全及逻辑安全。

3 云计算的安全管理

云计算服务提供商要确立自己的公信力、与用户之间建立信任关系，由于云服务商在对外提供服务的同时，自身可能也需要购买其他云服务商所提供的服务，作为云计算的用户，就当先从云计算中服务的信任域开始。在云计算环境中，各个云应用属于不同的安全管理域，每个安全域都管理着本地的资源和用户。因此，云计算服务中用户所拥有、接触以及相交互的所有层面，包括网络、主机、应用程序、数据库、存储和包含身份服务在内的Web服务(参见图1)，和肩负的IT系统管理及监测的责任范围，包括访问、更改、配置、补丁以及漏洞管理及其重要。

图1 安全管理及监测的范围

根据ITIL和ISO框架所涉及的管理过程原则，笔者认为与计算安全服务相关过程主要包含以下安全管理重点领域：

(1) 可用性管理(ITIL)；

(2) 访问控制(ISO/IEC 27002，ITIL)；

(3) 漏洞管理(ISO/IEC 27002)；

(4) 补丁管理(ITIL)；

(5) 配置管理(ITIL)；

(6) 事件响应(ISO/IEC 27002)；

(7) 系统使用及访问监测(ISO/IEC 27002)。

3.1 可用性管理

云计算服务也不可避免地会出现停机，停机的情况不同，影响用户的严重程度和范围也不同。与任何内部IT支持的应用程序类似，由于服务中断造成的业务影响将取决于与计算应用程序的重要程度，以及其与内部业务流程的关系。对于关键业务应用程序，由于业务严重依赖于服务的持续可用性，即使几分钟的服务中断就可能对机构的生产力、收入、用户满意度以及服务水平合规性等方面造成严重的影响。

云计算服务的弹性和可用性取决于几个因素：云计算服务提供商的数据中心架构(负载均衡、网络、系统)、应用程序架构、主机位置冗余、多个互联网服务提供商，以及数据存储架构等。下面以PaaS为例说明可用性管理。

在典型的PaaS服务中，用户(开发者)在云计算服务提供商提供的PaaS平台上搭建并不熟PaaS应用程序。PaaS平台通常建造在云计算服务提供商所拥有并管理的网络、服务器、操作系统、存储基础设施和应用程序组件(Web服务)之上。用户的 PaaS应用程序是使用云计算服务商提供的应用组件以及在某些情况下使用第三方 Web服务组件(混合模式应用程序)构建的，因此PaaS应用程序的可用性管理变得十分复杂。例如，在Google App Engine上的社交网络应用程序依赖Facebook应用程序的联系管理服务。在混合模式软件部署构架中，可用性管理的责任是由用户和云计算服务提供商公担的。用户对管理用户开发的应用程序以及第三方服务负责，PaaS云计算服务提供商负责PaaS平台以及其他由云计算服务提供商所提供的服务。

按照设计，PaaS应用程序可能依赖其他第三方 Web服务组件，这些组件并不是 PaaS服务所提供的部分；因此，了解应用程序对第三方服务的依赖性是很有必要的，这种第三方服务包括由PaaS提供商提供的服务(如Web2.0应用程序使用Google Maps进行地理映射)。PaaS提供商可能也提供一套Web服务，用户的应用程序可能依靠这些服务组件的可用性(如Google的BigTable)。因此，PaaS应用程序的可用性取决于用户的应用程序的健壮性、搭建应用程序的 PaaS平台，以及第三方Web服务组件。

3.2 访问控制

访问控制管理为用户和系统管理员(特权用户)提供一系列资源访问管理功能，包括访问网络、系统和应用程序资源等。访问控制管理功能解决如下问题：(1)用户权限的分配；(2)用户工作职能和责任的权限分配；(3)访问权限的认证方法和认证强度；(4)核实权限分配的审计和报告。

在云计算消费模式中，用户可能通过任何连接到互联网的主机访问云计算服务，网络访问控制发挥的作用越来越少。因为传统基于网络访问的访问控制主要是基于主机属性保护资源不受非授权访问，这在大多数情况下是不能满足的，不是用户间特有的，因此往往会导致审计的不准确。在云计算中，网络访问控制表现为云计算防火墙策略，这个策略在云计算的出入口处执行基于主机的访问控制，并对云计算内部的实例进行逻辑分组。通常是使用基于标准 TCP/IP(传输控制协议/Internet协议)参数的策略实现，包括IP、源端口、目的IP及目的端口等。

云计算的访问控制与基于网络的访问控制相比，云计算用户访问控制尤为重要，因为它是将用户身份与云计算资源绑定在一起的重要手段。在 PaaS交付模式中，云计算服务提供商负责管理对网络、服务器和应用程序平台基础设施的访问控制，而用户负责部属于 PaaS平台的应用程序的访问控制。对应用程序的访问控制表现为终端用户的管理，包括用户开通和身份认证。

3.3 安全漏洞、补丁及配置的管理

恶意软件(或黑客)远程利用基础设施组件、网络服务和应用程序漏洞的能力，对于云计算服务仍然是个重大的威胁。对于公共PaaS和IaaS交付模式，则面临更大的风险，因为漏洞、补丁以及配置管理的责任都留给了用户。在云计算环境中，安全是由在多用户虚拟环境中的所有用户共享的。因此，用户不但明确他们安全管理责任的范围，还要求云计算服务提供商对云计算安全运行提供透明度，以便帮助用户设置互补的安全管理功能。

(1) 安全漏洞管理

漏洞管理可以帮助保护主机、网络设备和应用程序避免遭针对已知的漏洞的攻击。成熟机构一般会建立完善的漏洞管理过程，其中包括对连接到机构网络的系统进行例行扫描、评估漏洞对机构的风险、解决风险的加固过程。采用ISO/IEC 27002的机构，通常通过使用技术漏洞管理控制目标来解决相关问题，其中规定：降低已公布的技术漏洞被恶意利用带来的风险。技术漏洞管理应当以有效、系统且可重复的方式实施，并采取测量措施以确保其有效性。这些考虑应将操作系统和其他使用的应用程序包含在内。根据SPI服务环境的特点，在云计算基础设施的漏洞管理方面，用户和云计算服务提供商都应该承担相应的责任。

(2) 安全补丁管理

与漏洞管理类似，在保护主机、网络设备和应用程序避免未授权用户针对已知漏洞的攻击方面，安全补丁管理也是一个重要的威胁管理要素。补丁管理过程遵循变更管理框架，并直接从用户漏洞管理程序得到反馈，从而降低来自机构内部和外部的威胁。因此，SaaS提供商应当对新漏洞进行定期评估，并给所有用户提供*aaS服务的系统固件与软件安装补丁。

(3) 安全配置管理

安全配置管理可以保护主机和网络设备免遭未收钱用户利用配置弱点实施的攻击。安全配置管理与漏洞管理程序密切相关，是整体IT配置管理的一部分。保护网络、主机和应用程序配置，需要对关键系统和数据库配置文件进行监控和访问控制，这些配置文件包括操作系统配置、防火墙策略、网络域配置、本地和远程连接的存储，以及访问控制管理数据库。

3.4 入侵检测和事件响应

大型云计算提供商提供SaaS、PaaS和IaaS服务，这种多用户的交付模式对用户和云计算服务提供商在重大事件响应和入侵管理等方面都带来了挑战。入侵和事件管理在企业信息安全管理域内是管理和降低风险的关键职能，这些风险包括知识产权损失、违反合规性、品牌侵蚀和诈骗。这些关键功能支持安全管理，并允许机构对入侵和数据破坏做出响应。此外，机构在法律上有义务遵守与隐私资料侵害相关的法律。由于公共云计算的定义是多用户的，以及使用共享基础设施的资源和服务向用户交付，用户和云计算服务提供商都有管理入侵和事件响应的责任。双方都需要准备应对和管理安全漏洞。

4 结束语

云计算作为一项迅速发展的信息新技术，目前已应用在国内外诸多领域，随着对云计算服务采用，网络、系统、应用程序和数据的大部分将由第三方提供商控制，更要重视云计算的安全管理问题。云计算服务安全管理的范围将随着服务交付模式(SPI)、提供商能力以及成熟度而变化。由于大多数提供商的云计算服务在服务水平协议(SLA)、提供商管理功能以及安全责任这些领域缺乏透明度，因此对于已建立了IT管理、工具和程序的用户而言云计算的管理功能将是个持续的挑战。

为了加速企业对云计算的使用，创建云计算管理标准势在必行，云计算管理标准由云计算服务商提供支持，并能实现不同云计算间的无缝互通。标准会有助于创建独立软件供应商(ISV)与服务提供商的生态系统，并通过自动化方式为用户提供选择性、弹性和更大的灵活性。

[1]Tim Mather,Subra Kumaraswamy,Shahed Latif.Cloud Security and Privacy[M].刘戈舟等译.机械工业出版社.2011.

[2]刘鹏.云计算 [M].2版.北京：电子工业出版社.2011.

[3]郑昌兴.云模式下的信息安全探讨[J].信息网络安全.2011.

[4]张秋江,王澎.云计算的安全问题探讨[J].信息安全与通信保密.2011.

[5]雷蕾,何明,姚建文.云计算技术及其安全性研究[J].计算机安全.2010.

[6]任乐华,刘希玉,刘凤鸣.云计算与网络信息安全研究[J].网络安全技术与应用.2011.

[7]苗秀,俞俊生.基于云计算平台的移动IPTV系统设计及负载均衡技术的研究[J].北京邮电大学硕士论文.2011.