云計(jì)算已經(jīng)急劇的改變了我們關(guān)于基礎(chǔ)架構(gòu)�、軟件發(fā)行和開(kāi)發(fā)模型的一些已有觀點(diǎn)�����。它的出現(xiàn)是革命性的進(jìn)步�����,因?yàn)樗狭司W(wǎng)格計(jì)算中的一些元素、效用計(jì)算��、以及自主計(jì)算�����。隨著云計(jì)算的普及�����,由于一些未知的威脅隨之引入,信息安全就越來(lái)越重要了�。
云計(jì)算是一個(gè)革新的信息系統(tǒng)架構(gòu)����,該架構(gòu)應(yīng)用越來(lái)越廣泛����,它要求我們重新理解一些傳統(tǒng)的計(jì)算機(jī)相關(guān)概念。
隨著云計(jì)算的普及,它所產(chǎn)生的安全問(wèn)題受到越來(lái)越多的關(guān)注�。傳統(tǒng)的一些防御機(jī)制已經(jīng)失效���,需要引入新的安全措施���。最近幾年���,云服務(wù)出現(xiàn)了很多安全事故�。比如,谷歌在2009年三月份泄露了大量的文檔;微軟的Azure平臺(tái)宕機(jī)22小時(shí);2011的四月份,亞馬遜的EC2服務(wù)崩潰��,影響甚大��。從這些例子我們可以發(fā)現(xiàn)�,云計(jì)算由于其多租戶的特性���,發(fā)生安全事故會(huì)造成嚴(yán)重的影響���。所以����,解決云計(jì)算的安全問(wèn)題就顯得尤為重要�����。
1 云計(jì)算安全性
1.1 信任
云環(huán)境中的信任很大程度上依賴于所選的部署模型����,因?yàn)閿?shù)據(jù)和應(yīng)用的管理是外包的或則委托的��,所以他們并不被擁有者嚴(yán)格控制����。傳統(tǒng)架構(gòu)中�,信任是通過(guò)有效的安全規(guī)則來(lái)強(qiáng)制實(shí)施的。公有云和社區(qū)云中�����,控制權(quán)被委托給了擁有基礎(chǔ)設(shè)施的組織�。當(dāng)部署一個(gè)公有云的時(shí)候,基礎(chǔ)設(shè)施擁有者的控制權(quán)被削弱�����,這樣是為了強(qiáng)制實(shí)施有效的安全政策����,從而讓危險(xiǎn)降低�。這就引入了一系列和威脅,因?yàn)樵品?wù)基礎(chǔ)設(shè)備提供商是否值得信任關(guān)系到整個(gè)云中數(shù)據(jù)的安全�。私有云的基礎(chǔ)設(shè)施被一個(gè)私有組織承諾來(lái)管理和操作����,這不會(huì)引入一些額外的安全問(wèn)題����,因?yàn)榛A(chǔ)設(shè)施擁有者同時(shí)也是數(shù)據(jù)和流程負(fù)責(zé)人。
最重要的是,云環(huán)境使得邊界安全的觀點(diǎn)不再適用����。在一個(gè)云計(jì)算模型中�����,什么人在什么地方獲取什么樣的數(shù)據(jù)這些都很難被確切定位,傳統(tǒng)的基于劃分邊界來(lái)保證整個(gè)架構(gòu)安全的方法也很難在云計(jì)算中實(shí)施��。
本文提出了一個(gè)方法��,就是在處理涉及到特別安全漏洞的時(shí)候�����,在云環(huán)境中通過(guò)信任和密碼學(xué)保證數(shù)據(jù)的機(jī)密性、完整性以及通訊的可靠性�����,因此我們要引入一個(gè)可信的第三方�。對(duì)于第三方信任的概念,代表了客戶對(duì)于特殊操作���、和該第三方道德素質(zhì)的信任,同時(shí)也是對(duì)于其安全系數(shù)的認(rèn)可??蛻粢?yàn)槠涮峁┝私灰字械陌踩С侄湃芜@個(gè)第三方�����。在信息系統(tǒng)中的這個(gè)被信任的第三方的作用就是提供終端對(duì)終端的安全服務(wù),這些安全服務(wù)是可擴(kuò)展的,它們基于一些標(biāo)準(zhǔn)�����,而且適用于不同的部分����、地理位置和專業(yè)領(lǐng)域。引入一個(gè)可靠的第三方能夠降低傳統(tǒng)安全邊界的丟失�。實(shí)質(zhì)上����,它是一個(gè)被委派的信任機(jī)構(gòu)��,它有責(zé)任解決多層次分布式環(huán)境中的一些安全問(wèn)題�����。
1.2 安全標(biāo)準(zhǔn)
實(shí)質(zhì)上,維護(hù)一個(gè)信息系統(tǒng)的安全涉及到識(shí)別特定的威脅和挑戰(zhàn),這些安全問(wèn)題需要通過(guò)采取合適的對(duì)策來(lái)解決�����。云計(jì)算因?yàn)樗募軜?gòu)設(shè)計(jì)和特點(diǎn)展現(xiàn)了一些安全優(yōu)勢(shì)����,這些優(yōu)勢(shì)包括安全、數(shù)據(jù)和程序段的分割,冗余和高可用性的綜合���。由于其基礎(chǔ)設(shè)施單一的特點(diǎn),許多傳統(tǒng)的危機(jī)被有效的解決,同時(shí)一些不同的安全挑戰(zhàn)被引入�����。云計(jì)算的一些獨(dú)特特性要求我們對(duì)于可用性和可靠性�����、數(shù)據(jù)集成、恢復(fù),以及隱私和審記等諸多方面的評(píng)估[20]�。 一般來(lái)說(shuō)��,安全問(wèn)題是與機(jī)密性、完整性和可用性這些重要方面相關(guān)的;這使得它們稱為在設(shè)計(jì)安全系統(tǒng)時(shí)的一些基本構(gòu)造模塊。安全性的這幾個(gè)重要方面,應(yīng)用于三個(gè)資產(chǎn)大類��,也就是數(shù)據(jù)��、軟件和硬件資源��,這些必須要得到很好的保護(hù)。云架構(gòu)提出了獨(dú)特的安全挑戰(zhàn)�����,我們需要對(duì)這些挑戰(zhàn)加以詳細(xì)考慮��。要保證云計(jì)算的安全�����,需要讓數(shù)據(jù)有以下特性:保密性,完整性����,可用性���。保密性是指只有授權(quán)的組織或系統(tǒng)能夠訪問(wèn)數(shù)據(jù)�����,同時(shí)能保證一個(gè)人的個(gè)人信息不被隨便公開(kāi);完整性是指資源只能通過(guò)授權(quán)的組織或通過(guò)授權(quán)的方式來(lái)修改和引用數(shù)據(jù)��、軟件和硬件;可用性是指一個(gè)系統(tǒng)的資源在一個(gè)被授權(quán)的實(shí)體需要的時(shí)候能夠進(jìn)入并使用���,它是指數(shù)據(jù)��,軟件同時(shí)也包括硬件在被授權(quán)用戶需要的時(shí)候是可用的�����。
2 可信任的第三方
我們認(rèn)為在云中雇傭一個(gè)被信任的第三方服務(wù),將導(dǎo)致必要的信任等級(jí)的建立�,這會(huì)提供保密性��、完整性和數(shù)據(jù)通訊可靠性的完美解決方案。引入一個(gè)被信任的第三方能夠特異性地解決傳統(tǒng)安全邊界丟失的問(wèn)題����,這是通過(guò)產(chǎn)生信任的安全域來(lái)達(dá)到的�����。就像Castell所說(shuō)的,“一個(gè)被信任的第三方對(duì)于電子交易來(lái)說(shuō)是一個(gè)重要的傳送商業(yè)機(jī)密的組織�,這是通過(guò)商業(yè)和技術(shù)安全特性來(lái)達(dá)到的�����。它提供技術(shù)和法律上可靠的方法來(lái)執(zhí)行、幫助���、產(chǎn)生獨(dú)立的對(duì)于電子交易的公斷證據(jù)。它的服務(wù)被通過(guò)技術(shù)�����,法律�����,金融和結(jié)構(gòu)方法提供和簽署。”
這種基礎(chǔ)架構(gòu)是用以下方法來(lái)保證其系統(tǒng)的安全性的:數(shù)字證書的發(fā)布和讓這些證書正確地匹配���。可信的第三方服務(wù)不僅由技術(shù)��,還要通過(guò)法律����,金融,和結(jié)構(gòu)手段來(lái)提供和維護(hù)[21-22]����。這種通過(guò)信任鏈(通常叫做授權(quán)路徑)來(lái)進(jìn)行操作上的鏈接�����,是為了提供一個(gè)形成公鑰基礎(chǔ)結(jié)構(gòu)的概念的信任網(wǎng)。可信的第三方基于這樣幾個(gè)方面:
2.1 加密
保證數(shù)據(jù)在網(wǎng)絡(luò)中安全地流通是一個(gè)非常難也高度復(fù)雜的問(wèn)題���,特別是當(dāng)數(shù)據(jù)修改和數(shù)據(jù)解密的威脅日益增加的時(shí)候。云環(huán)境增加了這種復(fù)雜性,因?yàn)樗粌H僅需要保護(hù)指向云的通訊安全,還有云主機(jī)之間的通訊安全,因?yàn)樗鼈內(nèi)狈鹘y(tǒng)的物理連接,所以選擇有效的安全的加密方法顯得非常重要���。幸運(yùn)的是,PKI讓我們?cè)跒榘踩ㄓ嵅渴餓PSec[10]和SSL成為可能。實(shí)際中我們是選擇前者還是后者取決于我們多樣性的需求�����,前者和所有應(yīng)用都兼容�����,但是卻需要專門的客戶端來(lái)加密,而后者卻存在于所有的瀏覽器里面��,不需要單獨(dú)在終端安裝客戶端�����。因?yàn)楹芏嘣品?wù)是通過(guò)瀏覽器實(shí)現(xiàn)的,所以相比之下,SSL有著更多的優(yōu)勢(shì)����。另外��,對(duì)于主機(jī)——主機(jī)通訊而言��,由于IPSec支持壓縮功能,而使之成為更有效率的選擇。該文建議���,對(duì)于主機(jī)——主機(jī)之間的通訊使用IPSec加密,而對(duì)于客戶端——主機(jī)之間的通訊則使用SSL。
2.2 服務(wù)器和客戶認(rèn)證
在一個(gè)云環(huán)境中�,我們需要一個(gè)證書機(jī)構(gòu)��,它可以驗(yàn)證參與進(jìn)來(lái)的實(shí)體,這些認(rèn)證包括驗(yàn)證物理基礎(chǔ)設(shè)施服務(wù)器,虛擬服務(wù)器,環(huán)境用戶和網(wǎng)絡(luò)設(shè)備。PKI認(rèn)證機(jī)構(gòu)中心負(fù)責(zé)在信任的網(wǎng)格中注冊(cè)信息的時(shí)候產(chǎn)生這些需要的證書。換句話說(shuō)��,一個(gè)認(rèn)證機(jī)構(gòu)為所有的包含在云中的物理和虛擬實(shí)體建立必要的憑證�����,因此而建立一個(gè)有明確邊界的安全域���。否則一個(gè)云中的實(shí)體的邊界將非常模糊�����。
因?yàn)樵频钠占埃恳粋€(gè)服務(wù)都需要認(rèn)證���,如果不對(duì)認(rèn)證機(jī)制做修改,那么,繁雜的認(rèn)證過(guò)程和密碼維護(hù)會(huì)是非常令人頭疼的問(wèn)題��。我們需要一個(gè)單一認(rèn)證機(jī)制�,這個(gè)過(guò)程可以通過(guò)Shibboleth[11]這個(gè)軟件來(lái)提供���??紤]到云中不同部分之間的通訊,我們需要一個(gè)可通用的標(biāo)準(zhǔn)來(lái)進(jìn)行它們之間數(shù)據(jù)的認(rèn)證和驗(yàn)證���,通常,我們使用SAML�����,它是一個(gè)基于XML的標(biāo)準(zhǔn)����。上述軟件對(duì)于SAML支持地很好。
2.3 生成安全域
通過(guò)引入聯(lián)合��,加上PKI和Ldap技術(shù)����,會(huì)把我們引入一個(gè)相關(guān)實(shí)體之間的有效信任關(guān)系。聯(lián)合是一組合法的實(shí)體共享一個(gè)一致同意的政策和規(guī)則集���,這些規(guī)則和政策用來(lái)約束在線資源的使用[25]。聯(lián)合提供了一個(gè)結(jié)構(gòu)和合法框架��,這個(gè)框架使得不同組織之間的認(rèn)證和授權(quán)成為可能�。云架構(gòu)可以被部署到不同的安全域(一個(gè)應(yīng)用或則應(yīng)用集,它們信任一個(gè)共同的���,用來(lái)認(rèn)證、授權(quán)或則會(huì)話管理的安全符號(hào))中�,這些域使得聯(lián)合云形成����。聯(lián)合云是一些子云的集合�,這些云能夠互相操作,比如通過(guò)定義好的接口來(lái)交換數(shù)據(jù)和計(jì)算資源���。根據(jù)基本的聯(lián)合原則�,在一個(gè)云聯(lián)合中,每個(gè)單一的云保持其獨(dú)立性�,但是能夠與其它聯(lián)合的云通過(guò)標(biāo)準(zhǔn)接口互相操作��。一個(gè)聯(lián)合提供結(jié)構(gòu)和法律框架來(lái)使得不同組織之間的認(rèn)證和授權(quán)成為可能。
2.4 數(shù)據(jù)的加密分離
云環(huán)境框架中的個(gè)人數(shù)據(jù)和/或敏感數(shù)據(jù)的保護(hù)���,成為了成功部署SaS和AaS模型的一個(gè)決定性的因素。加密隔離的過(guò)程中����,計(jì)算和數(shù)據(jù)通過(guò)這種方式隱藏以至于它們對(duì)于局外人來(lái)講是無(wú)形的[26]�。加密和完整性�,還有數(shù)據(jù)的私密性都能夠通過(guò)加密來(lái)保護(hù)。利用對(duì)稱和非對(duì)稱加密(通常稱作混合加密)能夠提供對(duì)稱加密的效率同時(shí)保持非對(duì)稱加密的安全��。
2.5 基于證書的授權(quán)
云環(huán)境是一個(gè)虛擬的網(wǎng)絡(luò)��,它由幾個(gè)獨(dú)立的域組成��。在云環(huán)境中���,資源提供者和用戶之間的關(guān)系更加特別�,而且是動(dòng)態(tài)的�,他們不是在同一個(gè)安全域中,所以識(shí)別用戶常常依靠其特點(diǎn)或則性質(zhì)�,而不是先前定義好的身份���。這樣�����,傳統(tǒng)的基于身份的訪問(wèn)控制模型對(duì)它無(wú)效,訪問(wèn)決策需要通過(guò)用戶的特性去決定[27]�����。通過(guò)PKI頒發(fā)的證書能夠用于網(wǎng)絡(luò)環(huán)境下的用戶訪問(wèn)控制�����。一個(gè)例子就是擴(kuò)展的X.509證書的應(yīng)用,該證書攜帶了用戶的角色信息。這些證書都是通過(guò)證書授權(quán)機(jī)構(gòu)頒發(fā)的�,它們?cè)谌蚓W(wǎng)絡(luò)環(huán)境中扮演者可信的第三方角色[15]���。屬性證書包含了屬性值配對(duì)以及它應(yīng)用于誰(shuí)�。它們由屬性管理機(jī)構(gòu)簽發(fā)�,這些授權(quán)的屬性已經(jīng)在一個(gè)用戶環(huán)境證書里面制定了。基于屬性的訪問(wèn)控制��,是基于請(qǐng)求者�����、資源和環(huán)境的屬性來(lái)做出訪問(wèn)控制決策的�����,它們提供了靈活性和可擴(kuò)展性,這對(duì)于包括云在內(nèi)的大尺度分布式系統(tǒng)是非常重要的����。
不可避免的是��,云計(jì)算將會(huì)支持過(guò)剩的信息系統(tǒng),因?yàn)樗膬?yōu)點(diǎn)比缺點(diǎn)要多�����。云計(jì)算提供了部署架構(gòu)�����,該架構(gòu)能夠解決傳統(tǒng)IS公認(rèn)的缺點(diǎn),同時(shí)它的動(dòng)態(tài)特點(diǎn)也會(huì)讓傳統(tǒng)方法失效��。該文中�,我們確定了云環(huán)境中一般的設(shè)計(jì)原則,這些原則源于我們控制缺點(diǎn)和威脅的需求�。為了做到這些��,我們使用了軟件工程和信息系統(tǒng)設(shè)計(jì)方法。云環(huán)境中的安全需要我們有一個(gè)系統(tǒng)的觀點(diǎn)��,從這個(gè)觀點(diǎn)來(lái)看�,安全將建立在信任之上,安全的責(zé)任轉(zhuǎn)移到信任的第三方�。綜合PKI���,LDAP和SSO能夠解決云計(jì)算中與完整性���、機(jī)密性����、可靠性以及數(shù)據(jù)和通訊可用性相關(guān)的大部分公認(rèn)的威脅��。這個(gè)解決辦法呈現(xiàn)了水平層面的服務(wù)���,這種服務(wù)對(duì)于所有相關(guān)的實(shí)體都是可用的����,它通過(guò)云聯(lián)合實(shí)現(xiàn)了一個(gè)安全的網(wǎng)格,在這個(gè)網(wǎng)格中維持著一些很重要的信任關(guān)系。
