七月上半月與家人旅遊(去了祖國寶島臺灣!),回來後一直忙於諸多事情,居然未能偷出一點時間登錄博客寫上一篇!好在所忙碌之事中畢竟有一件十分重要的:受雲計算專家委員會重託寫一篇有關雲計算安全的文章作爲雲計算白皮書中的一章。專委會要求在月底前完成初稿,所以今天(31日)剛完成任務之時,便自賦特權將該章的第一節(少於全章10%的內容)在此登出,就算整個7月份沒交白卷。白皮書其他章節由許多專家合作寫成,希望此處登出的一小節能夠起到推銷全書的作用。
本章是與EMC中國實驗室同事張京城,李俊合作寫成,特在此致謝!
雲計算安全
1 引言
雲計算通過對大規模可擴展的分佈式計算資源(如CPU資源、存儲資源、網絡資源等)進行整合,通過互聯網技術以按需使用的方式爲用戶提供計算和存儲服務。雲計算的核心是面向服務的體系架構。在該架構中,信息處理是以服務方式提供與獲得的。信息就是財產,所有與信息處理有關的服務都可能對用戶或服務提供者的信息財產帶來安全風險,比如信息泄漏、破壞或丟失。本章要討論與雲計算相關的安全問題與技術。
1.1 面向服務的雲計算架構
圖1給出了以服務爲中心的雲計算架構、相關的安全技術以及我們將在本章何處介紹這些技術。
圖1: 面向服務的雲計算架構及相關安全技術[78]
雲計算包含前端(客戶端、用戶端)和後端(服務器端、數據中心)。目前認爲前端趨向於變“瘦”變“薄”,趨向於以網絡瀏覽器的形式提供基本用戶操作界面,通過網絡連接使信息處理服務在後端發生完成。後端的服務架構從底向上可分爲硬件基礎架構作爲服務(Infrastructure as a Service, IaaS)、平臺作爲服務(Platform as a Service, PaaS)、軟件作爲服務(Software as a Service, SaaS)和智能服務(Intelligence-aaS)。IaaS服務(如Amazon EC2[33])向用戶提供基本的計算、存儲和網絡資源,用戶基於這些資源,可安裝任意的操作系統軟件和應用軟件以完成計算。PaaS服務(如App Engine[49], Azure[79])基於IaaS實現,它向用戶提供特定的計算平臺(其平臺操作系統和平臺中間件由PaaS提供商所控制),用戶可以在該平臺上部署自己編寫或控制的應用軟件以完成計算。SaaS服務(在一些特定軟件應用上率先發生,如CRM、ERP、人力資源管理)基於IaaS和PaaS實現。SaaS僅僅向用戶提供服務使用接口(其後端軟件棧完全由SaaS服務提供商控制),用戶在前端調用後端的SaaS服務以完成信息處理。智能服務是指前端用戶使用網上在線服務的過程和結果所產生的一些新的、獨立於網上在線服務本身價值之外的價值,而這些價值又產生了服務。圖1用倒置的三角形來表示越上層的服務越被終端用戶看好,被認爲更有價值。
1.2
由於雲服務“把自家寶貴財富委託給他人處置”的特徵,用戶所擔心的安全風險顯然要比以前信息在自家處理(on-premises)的情形擴大了許多。。。。。。
1.3 與雲服務相關的威脅模型
。。。。。。。
1.4 雲計算相關安全技術
爲了有效保護雲用戶的信息財產,雲安全問題需要由前端和後端共同來解決。從後端的角度考慮,由於不同層次的服務提供者允許用戶對後端資源的控制能力不同,這使得它們所面臨的安全問題也不一樣,所以每個層次的服務提供者需要使用不同的安全技術來保護自身的安全並滿足用戶的安全需求。同時前端也需要有效的安全方案來保護前端自身安全性以及和後端交互的安全性。
1.4.1 IaaS安全技術
對於IaaS服務來說,它爲用戶提供基礎架構服務,如虛擬數據中心VDC、虛擬機器、虛擬網絡等等[72],它需要對大規模的分佈式物理資源進行整合,使以前計算服務與物理資源間的緊耦合變成了鬆耦合,從而使計算與服務器所在的位置無關。在這種場景下,資源的虛擬化是IaaS服務所使用的核心技術。所以我們根據IaaS服務的安全需求和特性,一方面從系統安全的角度,我們將討論虛擬機的***檢測和防護技術、虛擬機運行時的完整性保護技術、虛擬機的隔離技術、虛擬機映像文件的安全保護以及虛擬機的安全遷移技術;另一方面從網絡管理的角度,我們還將討論後端的網絡隔離技術、基於***的虛擬私有云技術以及前後端之間的網絡安全技術。
1.4.2 PaaS安全技術
對於PaaS服務來說,它使客戶能夠將自己創建的某類應用程序部署到服務端運行,並且允許客戶端對應用程序及其計算環境配置進行控制[72]。因爲來自於客戶端的代碼可能會是惡意的,如果PaaS服務暴露過多的接口,可能會給***者帶來機會。比如,用戶可能會提交一段惡意代碼,這段代碼可能惡意搶佔CPU時間、內存空間和其它資源,也可能會***其它用戶,甚至可能會***提供運行環境的底層平臺。所以我們根據PaaS服務的安全需求和特性,將主要討論砂箱隔離技術和數據安全技術。
1.4.3 SaaS安全技術
SaaS服務,在目前某些特定應用上率先發生的,如CRM、ERP、人力資源管理等成功用例上,它的主要做法是採用同一個軟件代碼來處理不同用戶的私有數據來提供多租客服務,以獲得規模服務的低成本(Economies of Scale)。由於SaaS服務端暴露的接口相對有限並處於軟件棧的頂端,即系統安全權限最低之處,它一般不會對其所處的軟件棧層次以下的更高系統安全權限層次帶來新的安全問題。至於用戶私有數據在服務提供商處的安全保護問題,可以歸類到IaaS的安全問題。
然而,隨着SaaS技術的發展,安全本身作爲服務(Security-aaS)也開始成爲一種趨勢,這些由後端提供的安全服務可用於解決前端存在的一些安全問題。所以,我們將討論殺毒軟件服務和防火牆作爲服務。
1.4.4 前端安全技術
無論前端平臺今後會變得有多瘦多薄多輕,雲計算的目的畢竟是要讓終端用戶通過前端平臺來體驗信息處理的服務結果。所以在前端平臺上也要做信息處理,也有服務架構的體現。前端信息處理平臺的安全保護也當然非常重要。所以我們還將討論在前端平臺上的安全問題和技術:如病毒控制、防火牆、***檢測、瀏覽器砂箱、系統升級管理、在線補丁、安全信道技術、客戶端平臺證明等等。
1.4.5 私有云,公用雲及虛擬私有公用雲的安全問題
私有云(Private Cloud)指的是一個企業內部自用的雲計算技術。私有云採用雲技術對企業的IT資源作整合以提高管理效益降低成本。由於是企業內部自用,私有云的安全問題是一個簡化了的問題,企業內部傳統使用的IT安全措施可以應用到私有云的保護上去。
公用雲(Public Cloud)是更具有公用服務(如水、電、燃氣服務)本質的雲技術。在公用雲的初期階段(如現階段),對數據安全問題不必太重視的用戶(如大量web電子郵箱用戶)在處理安全無關的應用或事物時會成爲公用雲的主要使用者。
虛擬私有公用雲(Virtual Private Cloud)是一種既具有強安全保護又具有公用服務便利廉價性質的雲技術。虛擬私有公用雲可以從公用雲或私有云中虛擬出一塊私有云。解決其安全問題所需創新思路相比之私有云與公用雲要高出不少。我們將本章第7節介紹一個虛擬私有公用雲方面的研究課題。
1.5 本章組織結構
本章下文結構如下:
第2節討論IaaS相關的安全技術,包括基礎設施的安全技術(2.1節)、資源虛擬化的安全技術(2.2節)、網絡管理技術(2.3節)、基於雲的系統升級和補丁技術(2.4節)和防止內部***的技術(2.5節)。
第3節討論PaaS相關的安全技術,它包括後端的隔離技術(3.1節)和數據安全技術(3.2節)。
第4節討論了SaaS相關的安全技術,其中包括SaaS本身的安全(4.1節)和安全作爲服務(4.2節)。
第5節討論了前端的安全技術,包括基於後端集中管理的安全配置(5.1節)、安全的SaaS客戶端(5.2節)、安全通道技術(5.3節)和成員資格證明(5.4節)。
第6節討論了可信的雲計算技術,它包括可信的虛擬化(6.1節)、可信的數據保護(6.2節)以及可信雲計算架構(6.3節)。
第7節我們給出了一個實現雲計算“行爲規範”的研究案例(道里Daoli項目[69]),其中介紹了道里可信虛擬化體系結構(7.1節)和可信平臺的可驗證安全啓動技術(7.2節)。
第8節我們給出了結論。