柳忠平

摘 要：云计算本身特点决定了它相对传统网络信息具有更多的风险问题，这些已严重制约云计算的发展。本文重点分析了云计算特点和管理上的风险，并给出解决方案。

关键词：云计算；云平台；虚拟化

云计算：美国国家标准与技术协会（NIST）定义“所谓云计算就是这样一种模式，该模式允许用户通过无所不在的、便捷的、按需获得的网络接入到一个可动态配置的共享资源池，并且以最小的管理代价或者业务提供者交互复杂即可实现这些可配置计算资源的快速发放与发布。

云计算的核心可用五大基本特征、三种服务模式以及四类部署模式来概括。五大基本特征是：按需获得的自助服务，广泛的网络接入、资源池化、快捷的弹性伸缩以及可计量的服务。三种服务模式为：云基础设施即服务（IaaS），云平台即服务（PaaS），以及云软件即服务（SaaS）。四类部署模式可以划分为：专有云、行业云、公有云以及混合云。

由于云计算改变了个人和企业运算模式的，含有大量的用户敏感信息，因此面临云安全这一重要问题。云计算对传统服务模式做出改变，但并没有跳出传统的安全模式。所不同的是，在云计算时代，安全所使用的设备和安全措施的实施者有了一不样。变成了云计算提供服务者来保证所提供服务的安全性。

1 云计算安全威胁来自多个层次

1.1 网络层次

数据在传输过程中，数据的保密与完整受到威胁，目前多数用户仍使用HTTP方式而非HTTPS访问云资源，大量保密性信息有可能被窃取。云计算中资源的分散部署使得路由、域名的配置越来越复杂，更容易受网络攻击。共享资源带的更大的风险，包括分隔方法不适当引起的用户数据泄密；网络防火墙、IPS虚拟化能力不足，引起的已设置好的分区与分隔好的模型难以符合共享需求。

1.2 虚拟化层次

Hypervisor的安全威胁：Hypervisor为虚拟化的核心，为指令访问硬件控制器和外设充当中介，一旦被攻击破解，所有虚拟机将无任何安全保障。

虚拟机的安全威胁：虚拟机动态地被创建、被迁移容易导致接入和管理虚拟机的密钥被盗、未及时打补丁的服务（FTP、SSH等）遭受攻击、弱密码账号被盗用、没有主机防火墙保护的系统遭受攻击。

1.3 数据与存储威胁

静态数据的安全威胁：静态数据可以加密保存，用户的数据加密密钥保存在客户端。

数据处理过程的安全威胁：数据在云中处理，数据是不加密的，可能被其他用户、管理员或者操作员获取。

剩余数据保护：用户退租虚拟机后，该用户的数据如果没有经过处理，其他用户可能获取到原来用户的秘密信息。

1.4 身份认证与接入管理

云计算支持海量的用户认证与接入，对用户的身份认证和接入管理必须完全自动化

2 “端对端”安全架构

上面分析了云计算环境中所面临的各种威胁，不同级别的威胁，其相应的安全保障措施是不同的。安全级别要求越高，安全架构下的具体保障手段也越严谨和丰富。

2.1 云“终端“安全

采取USB端口策略管控、禁止直接访问内置存储、补丁和升级关联等。其实质就是采用专用的TC（瘦客户）终端，这种TC终端用于显示云中心的图像，是一个专用的嵌入式系统。

2.2 “管道“安全

管道安全包括接入安全和网络安全。接入安全包括多种方式的接入认证（如USBKEY/指纹/令牌等）、防非法接入（基于网络IP参数和用户ID）、传输通道加密、与CA系统对接等。网络安全包括防火墙的访问控制、安全接入网关、网络平面隔离、网络入侵防护、基于VxLAN划分等。

2.3 “云“安全

云安全包括云端数据安全，这是云计算重点需要考虑的安全内容。云计算中的数据太过集中会造成用户的担忧，信息资产的集中存储也是网络攻击的重点所在。“云”安全包括云数据安全和云平台安全两部分。云数据安全的解决方案包括文件加密及权限控制、VM磁盤加密、数据的容灾备份，虚拟机终端安全。云平台安全包括云操作系统和数据库的安全加固、防病毒、安全补丁、虚拟化隔离、Web安全、可信虚拟机。

2.4 “管理”安全

管理安全包括统一账号管理及认证，日志审计，三权分立等。

3 云计算重要安全技术及实现方案

3.1 可信计算TPM/vTPM

在云计算环境中，用户失去了对虚拟机的完全控制，导致用户无法信任虚拟机环境，成为用户部署云计算的一个重要障碍。因此采用可信计算和邪气化技术的结合成为热点。基于TPM/vTPM可信硬件技术，在云平台上开发可信虚拟机原型系统，可实现虚拟机的安全启动、安全运行、安全迁移等，从而为虚拟机构建一个可信的计算环境。虚拟机可信计算技术是当前虚拟化环境中的技术发展热点，也是技术难点，一般通过可信芯片技术来实现。

3.2 虚拟机的安全隔离

1）vCPU调度隔离安全。

2）内存隔离。

3）内部网络隔离。

4）磁盘I/O隔离。

5）用户数据隔离。

3.3 虚拟化环境中的网络安全

虚拟化平台的网络通信方式划分为业务层、存储层和管理层，这三个通信层之间是相互隔离的。存储层与业务层、管理层之间在物理上是相互隔离的；管理层与业务层之间是逻辑上隔离。经过网络上的隔离可以保证在管理平台上的操作不会影响业务运行，终端用户就不会破坏到基础平台管理。

1）虚拟交换机及防Arp攻击

2）IP/MAC防欺骗功能设计

3）实现VLAN隔离

3.4 云数据安全

1）云计算虚拟磁盘加密方案。数据加密理论上讲只要用户密钥没有暴露，就算数据丢失也可以保证信息不会暴露。

2）用户卷访问控制，系统对不同的卷规定了不同的访问规则，只有卷的合法使用者才可以使用该卷，卷与卷之间是互相隔开的。

3）存储节点接入认证。存储节点采用标准的iSXSI进行访问，并且支持询问握手认证协议认证功能。周期性校验对端身份。

4）剩余数据删除。当所有者把卷卸载释放后，系统在这个卷分配给其他用户之前，会对这个卷格式化，这样就保证了该卷使用者的数据安全。

云计算变更了传统的服务模式，但并没有改变传统的安全模式。不一样的是，在云计算时代安全责任的负责者也有了变化，处理云安全的方法和以前的方法一样，也是策略、技术和人这三个要素的组合，三者有机结合才能保证云计算更加安全。

参考文献

[1]顾炯炯.云计算架构技术与实践[M].清华大学出版社，2014.

[2]谢朝阳.云计算：规划、实施、运维[M].电子工业出版社，2015.