云安全初识之云计算篇

等保2.0已经正式发布，12月1日开始实施，随着国内数字经济的发展和云计算的深入推进，云计算基础设施将得到进一步发展。身为安服攻城狮，怎可不懂云安全！

1. 云技术定义

云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。它是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称，可以组成资源池，按需所用，灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源，如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用，将来每个物品都有可能存在自己的识别标志，都需要传输到后台系统进行逻辑处理，不同程度级别的数据将会分开处理，各类行业数据皆需要强大的系统后盾支撑，只能通过云计算来实现。

2. 云安全定义

“云安全 ”是继“云计算”“云存储”之后出现的“云”技术的重要应用，是传统IT领域安全概念在云计算时代的延伸，已经在反病毒软件中取得了广泛的应用，发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全是我国企业创造的概念，在国际云计算领域独树一帜，最早由趋势科技在美国正式推出了“云安全”技术。

3. 云计算定义

“云计算”（Cloud Computing）是分布式处理（Distributed Computing）、并行处理（Parallel Computing）和网格计算（Grid Computing）的发展，或者说是这些计算机科学概念的商业实现。云计算在IT技术领域快速发展，成为引领技术潮流的新技术。云计算带来的利好毋庸置疑，但存在的风险也随之产生。在信息安全领域，风险就是一个恶意或非恶意暴露机密信息事件、或威胁数据一致性以及干扰系统和信息可用性事件发生的概率。任何接入互联网的组织都处于风险之中，他们都应考虑黑暗网络的弹性特性和扩展私有云计算和公共云计算网络的能力。

4. 云计算相关介绍

一张图描述云计算：

4.1 五个基本特征

（1）按需自助服务：用户可以根据自己的实际需求，获取相应的服务资源。
（2）广泛的网络访问：云平台通过网络连接为用户提供服务，用户可以通过PC客户端、移动客户端等多种方式进行接入管理。
（3）资源池化：云服务商依托虚拟化技术，将各种的IT资源汇聚到资源池内，采用多租户的模式，按照不同的用户需求将资源池内相应的IT资源分配给对应用户进行使用。
（4）快速弹性化：云计算平台能够根据用户对资源的需求情况，快速的进行资源的动态划分，使用户的资源能够做到弹性的扩容和收缩，保障用户业务的高效、稳定运行。
（5）可度量：云计算之所以能够按需提供服务，其主要依赖于所提供服务能够进行有效度量，用户可以根据自身使用量进行付费。

4.2 三种服务模型

（1）基础设施即服务（IaaS）：基础设施福分包括电脑、网络、存储、负载平衡设备、虚拟机。这些服务于终端用户的软硬件资源都可以按照它们的需求来进行扩展或收缩。
（2）软件即服务（SaaS）：顾名思义，这种模式包括类似虚拟桌面、各种实用应用程序、内容资源管理、电子邮件、软件及其他等软件部分。在此种模式中，云服务供应商负责安装、管理和运营各种软件，而客户则通过云来登入和使用他们。
（3） 平台即服务（PaaS）：在此种模式中，托管服务供应商通过提供工作平台来帮助客户，包括执行运行时间、数据库、Web服务、开发工具和操作系统，客户无需手动分配资源。

三中服务类型租户和云服务商责任图如下：

4.3 四种部署方式

（1）公有云：在此种模式下，应用程序、资源、存储和其他服务，都由云服务供应商来提供给用户，这些服务多半都是免费的，也有部分按需按使用量来付费，这种模式只能使用互联网来访问和使用。同时，这种模式在私人信息和数据保护方面也比较有保证。这种部署模型通常都可以提供可扩展的云服务并能高效设置。
（2）私有云：这种云基础设施专门为某一个企业服务，不管是自己管理还是第三方管理，自己负责还是第三方托管，都没有关系。只要使用的方式没有问题，就能为企业带来很显着的帮助。不过这种模式所要面临的是，纠正、检查等安全问题则需企业自己负责，否则除了问题也只能自己承担后果，此外，整套系统也需要自己出钱购买、建设和管理。这种云计算模式可非常广泛的产生正面效益，从模式的名称也可看出，它可以为所有者提供具备充分优势和功能的服务。
（3）社区云：这种模式是建立在一个特定的小组里多个目标相似的公司之间的，他们共享一套基础设施，企业也像是共同前进。所产生的成本由他们共同承担，因此，所能实现的成本节约效果也并不很大。社区云的成员都可以登入云中获取信息和使用应用程序。
（4）混合云：混合云是两种或两种以上的云计算模式的混合体，如公有云和私有云混合。他们相互独立，但在云的内部又相互结合，可以发挥出所混合的多种云计算模型各自的优势。

5 云计算风险和建议

根据云计算的服务模型进行风险分析：

5.1 IaaS层风险分析

基础设施即服务（IaaS）为用户提供计算、存储、网络和其它基础计算资源，用户可以在上面部署和运行任意的软件，包括操作系统和应用程序，用户不用管理和控制底层基础设施，但要控制操作系统、存储、部署应用程序和具有对网络组件(如主机防火墙)具有有限的控制权限的能力。

IaaS层由物理层和虚拟层两层组成。面临的安全风险就包括物理层安全风险和虚拟层安全风险。各自风险如下：

虚拟层主要由虚拟控制器及虚拟机（VirtualMachine，VM）组成。虚拟控制器用来实现对虚拟机的控制，虚拟机的功能是实现向云用户提供按需分配的计算和存储资源。由于云计算具有共享资源的特点，这使得虚拟机之间有可能产生干扰，而它们之间的通信是无法监测和控制的，这就会带来很多的安全风险；同时，在一个系统中存在多个安全需求的虚拟机，以及虚拟机的动态迁移都会带来新的风险；另外，虚拟化技术引入了管理程序hypervisor等，也使系统面临着新的威胁，这些风险在虚拟化环境中需要使用新的防范措施。

云计算的物理层安全包括一般信息系统里的几个层次，如包括物理设备的安全、网络环境的安全、系统安全和网络安全等，这一层主要保障云计算系统不受自然环境和人为的破坏。物理层安全是整个云计算系统安全的前提。这里的系统安全和网络安全与第3章分析的一般信息系统的系统安全和网络安全内容是相同的[1]。对于网络安全问题着重考虑的是拒绝服务攻击（DenialofService，DOS）和逻辑边界安全等问题。

云安全联盟(CSA)在2015年便发表了”IaaS云存在的错误可能让你的数据处于危险之中”的文章，一个核心主题是，许多最严重的IaaS风险很大程度是由于云管理员对操作系统，应用程序和云管理界面的错误配置或缺乏安全控制。列出的第一个主要风险是缺乏安全的API，这些API是由云提供商提供以允许用户与他们的服务以及服务管理更无缝的集成。尽管提供商负责提供安全的API和补丁，客户应该自己对这些API进行评估，包括支持的传输方法以及什么样的数据在与供应商的交互过程中被来回发送。API或应用程序的更新很容易导致兼容性问题，甚至也可能引发数据泄露的场景，因此客户应该定期测试他们的程序和API交互的部分。

云租户面临的风险和建议：
（1）针对数据泄露进行数据隔离。
　　用户的数据在云中会存在泄露的危险。当用户迁移到云的时候，对于客户和他们，这就是数据泄露问题发生的源头。对于数据泄漏风险而言，解决此类风险主要通过数据隔离。主要有通过网络安全策略隔离、虚拟存储隔离、采用虚拟机隔离和虚拟机文件系统，比如VMware的VMFS文件系统。

（2）针对服务不可靠性综合考虑数据中心软件部署。
　　计算服务性能不可靠。主要包括硬件与软件问题。硬件问题包括服务器、存储、网络设备的安全性、不稳定以及不易维护性，这都有可能造成计算性能的不可靠；软件系统包括安全性、兼容性、稳定性、可维护性等。 在操作系统和应用程序等虚拟化软件选择中，建议在价格、厂商、质量、稳定性、安全性之间平衡。建议有条件的客户首先聘请咨询公司进行咨询。

（3）针对远程管理认证风险设置安全认证机制。
　　根据定义，IaaS资源在远端，因此你需要某些远程管理机制，这就存在远程认证危险。最常用的远程管理机制包括：
　　VPN：提供一个到IaaS资源的安全连接。远程桌面、远程Shell：最常见的解决方案是SSH。
　　Web控制台UI：提供一个自定义远程管理界面，通常它是由云服务提供商开发的自定义界面(如管理亚马逊AWS服务的RightScale界面)。
　　对应安全策略如下：
　　1.缓解认证威胁的最佳办法是使用双因子认证，或使用动态共享密钥，或者缩短共享密钥的共享期。
　　2.不要依赖于可重复使用的用户名和密码。
　　3.确保安全补丁及时打上。
　　4.对于下面这些程序：SSH：使用RSA密钥进行认证;微软的远程桌面：使用强加密，并要求服务器认证;VNC：在SSH或SSL/TLS隧道上运行它;Telnet：不要使用它，如果你必须使用它，最好通过VPN使用。
　　5. 对于自身无法保护传输数据安全的程序，应该使用VPN或安全隧道(SSL/TLS或SSH)，推荐首先使用IPSEC，然后是SSLv3或TLSv1。

（4）针对虚拟化技术风险选择安全的虚拟化厂商以及成熟的技术
　　IaaS基于虚拟化技术搭建，虚拟化技术也是有很多漏洞的，例如虚拟机逃逸和各种逻辑漏洞。因此最好选择要能有持续的支持以及对安全长期关注的厂商。定期更新虚拟化安全补丁，并关注虚拟化安全。
（5）针对用户担心建立健全IT行业法规。
　　在云计算环境下，用户不知道自己的数据放在哪儿，因而会有一定的焦虑，比如我的数据在哪儿，安全吗?等等的疑问。
　　在IaaS环境下，由于虚拟机具有漂移特性，用户很大程度上不知道数据到底存放在那个服务器、存储之上。另外由于数据的独有特点，一旦为别人所知，价值便会急剧降低。这需要从法律、技术两个角度来规范，首先建立健全法律，对数据泄漏、IT从业人员的不道德行为进行严格约束，从人为角度防止出现数据泄漏等不安全现象。其次，开发虚拟机漂移追踪技术、IaaS下数据独特加密技术，让用户可以追踪自己的数据，感知到数据存储的安全。
（6）针对突然的服务中断等不可抗拒风险，采取两地三中心策略。
　　服务中断等风险在任何IT环境中都存在，在部署云计算数据中心时，最好采取基于两地三中心的策略，进行数据与环境的备份。

5.2 PaaS层风险分析

PaaS平台资源的容器是基于操作系统的虚拟化，与IaaS基础环境实现解耦，平台自身的实现多数是应用较广的开发框架和标准 API，能够有效提升资源管理水平，有效避免厂商绑定;同时，合理调整单个操作系统之上容器密度的有效部署，可以更好提升资源使用率，降低硬件采购成本。
PaaS主要以容器云形式实现，容器云依赖容器基础技术，目前常见的有Docker和garden两种类型。

平台即服务（PaaS）这一层的安全风险主要来自于用户接口和用户运行应用程序所带来的风险。用户接口的信息安全风险主要来自对用户的认证、信息的加密以及用户的访问控制上，防范利用接口进行攻击并滥用云服务的行为。运行风险主要体现在PaaS提供商要防范用户在通过PaaS开发平台开发自己的应用程序并运行时，要保证提供商的PaaS平台不受到用户的运行的应用程序的影响。常见用户应用风险漏洞例如应用配置不当、平台构建漏洞、SSL协议及部署缺陷、未授权访问、软件设计缺陷和不良的测试方法。因此，运行安全包括对用户的应用程序进行安全控制、监控、隔离和安全审计等措施。

5.3 SaaS层风险分析

SaaS（Software-as-a-Service，软件即服务），也叫作应用程序服务层，通过网络在线交付服务，企业可以节省更多的成本，把更多的精力用在促进业务发展上而不必被ERP这些软件的升级维护琐事而困扰，极大的提升运营效率。但是很多企业，尤其是大型企业，很不情愿使用SaaS正是因为安全问题，SaaS解决方案缺乏标准化，企业要保护核心数据，不希望这些核心数据由第三方来负责。这一层的安全风险主要是应用风险，是指由于云计算系统上运行着各种不同的应用程序而带来的风险，主要包括一些web安全漏洞等

5.4 公共安全风险

在IaaS层、PaaS层、SaaS层的安全风险分析中，除了以上介绍的各种安全风险外，还会存在以下的每一层都会存在的公共安全风险，它包括数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性、管理安全和法律法规与标准等几个方面的安全威胁，由于云环境下的安全事件管理、业务连续性和管理安全风险与互联网的信息安全风险管理具有较大的相似性，这里不再赘述。

5.4.1 数据安全

云安全联盟（CloudSecurityAlliance，CSA）在其《2013年云计算最大威胁》研究报告中指出云计算目前面临着九大威胁，其中排名前两位的都是数据安全问题，分别是数据泄露和数据丢失，可见数据面临的信息安全风险特别大。企业由于使用云计算服务，不得不将自己的数据交给云计算服务提供商，对于企业来说，数据可能面临以下风险：企业将大量商业信息存储在云中而无法对其进行监管，企业数据面临着被非法收集、处理和利用的风险。云计算采用虚拟化技术，企业无法得知自己的数据储存在哪个物理位置，企业面临着数据不可控的风险。云计算环境下，多个用户共享计算和存储资源，不同用户的数据有可能混淆在一起，其数据有可能遭受恶意使用和篡改，造成数据保密性和完整性风险。由于不同的用户可以在世界的任何不同地方通过Internet网络访问“云”，使得用户访问处于多点访问的情况，数据面临着有效访问控制的风险。

5.4.2 身份识别和访问控制

云计算服务是的用户和为其服务的云计算服务器通常位于不同的信任域中，这使得传统的访问控制列表的方法以及基于角色的访问控制等访问控制模型失效，因此，需要去研究新的适合云计算环境这种开放环境的访问控制方法。

5.4.3 加密和密钥管理

为确保数据在存储、传输过程中的机密性和完整性，一般要对数据进行加密。云计算环境中，为了防范云服务提供商及恶意用户对数据的非法使用，需要对存储在云中的数据加密；又由于数据在传输过程中，可能要从这片“云”传输到那片“云”。因此，存储和传输过程中采用何种加密技术对数据进行加密，确保这些环境下的数据的机密性，减少风险，这就需要进一步研究加密技术[3]。而对于密钥的管理包括密钥存储的保护、访问控制及密钥的备份与恢复等。

5.5 管理风险

5.5.1云服务无法满足SLA

企业依靠服务等级协议(SLA)来要求云计算供应商为所提供的服务提供保障，并在发生服务故障时提出维权主张。比如，SLA明确规定了供应商的责任，在什么样的时限内供应商应当能够解决问题，以及发生停机时间和客户失去业务情况下应当由供应商承担的责任。但是，当谈及云计算SLA时，问题的症结往往在于细节。比如，涉及客户退还的内容就是存在问题的。

5.5.2 云服务不可持续风险

企业用户必须确认保存在云中的数据是长期可用的。当出现问题时，用户可以在多长时间内把你关心的数据交还给你。

5.5.3 身份管理

业务专家理解和接受与云计算客户和云计算供应商相关的风险。无论你担任了什么样的角色，要管理什么样不想要发生的潜在事件，都必须实施风险管理。在云计算关系的特定情况下，双方的风险管理工作都是必要的，其中企业用户和云计算供应商都必须拥有成熟的风险管理计划。成熟度是通过一个有管理、有周期性报告以及维持低风险状态定量证据的计划来证明的。

5.6 法律法规风险

5.6.1 数据跨境

随着大数据时代的来临，传统的存储架构无法解决高速的数据增长，越来越多的企业使用大数据平台存储数据。大数据平台大多是基于一些开源软件开发而成，其复杂的架构，模块的不稳定，数据的跨地域传输等特点，都会给大数据平台的安全带来极大的威胁。当使用云计算后，你将无法知道数据确切的存放位置，甚至不知道是被存放在了哪个国家。

5.6.2 隐私保护

在使用云计算提供的服务时，虽然可以通过SSL对数据进行加密，但是由于云计算同时为多个用户提供服务，你的数据很有可能与其他云客户的数据存放在一起。

5.6.3 犯罪取证

云计算同时为多个企业提供服务，同时记录了多个企业使用云计算的情况，当某一个企业需要被调查时，这种多个企业使用云计算的日志被记录在一起的情况增加了司法调查的难度。
这对云计算普及提出了更高的要求和更大的挑战。在网络安全等级保护制度中，云服务商和云租户应该共同承担安全责任，建设安全防护措施。而现有云环境下，除提供边界的安全防护和基本虚拟网络保护外，缺少更丰富的安全服务，更无法直接为租户提供安全服务，云租户难以便利实现其网络安全防护，履行其安全职责，存在合规性风险。

6 云服务商风险和建议

云服务商面临的风险和建议：
（1）人员管理风险：云计算服务提供商内部人员，特别是具有高级权限管理员的失职，将可能给用户数据安全带来很大威胁，如非授权复制虚拟机镜像，导致用户数据或隐私泄露，因此应该严格管控云服务安全管理人员。
（2）安全界面不清的风险：由于用户并不直接控制云服务器系统，对系统的防护依赖云计算服务提供商，但云计算服务提供商对用户上层应用并不清楚，因此双方需要在安全界面上达成一致，避免运营风险。
（3）服务连续性风险：用户的数据和业务应用处于云计算系统中，其业务流程将依赖于云计算服务提供商所提供的服务，这对服务提供商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析能力等提出了挑战。同时，当发生系统故障时，如何保证用户数据的快速恢复也成为一个重要问题。
（4）法律合规性风险：云计算应用地域性弱，信息流动性大，信息服务或用户数据可能分布在不同地区甚至国家，在政府信息安全监管等方面可能存在法律差异与纠纷。云计算服务提供商需要基于法律法规要求，对运营管理制度、业务提供的合规性进行合理规范，在商业合同中的司法管辖权合理设定服务内容，以规避不必要的法律风险。

7 总结

云计算环境下的信息安全风险问题既包括一般信息系统的信息安全风险，如物理层安全风险、网络层安全风险等，同时又由于云计算采用服务计算模式、动态虚拟化管理方式和多用户共享运营模式，产生了许多有别于一般信息系统的特殊安全问题，如虚拟化安全、数据安全、应用安全、加密等。云计算已经成为产业的升级和变革的主要支撑，小伙伴们感兴趣的话可以跟随专栏开启云安全的学习之旅。

感谢各界大佬的知识普及，参考链接：
http://www.shblunwen.com/a/jisuanjijiaoyu10186.html
http://blog.nsfocus.net/cloud-computing-security
http://cloud.51cto.com/art/201508/488283.htm

关注我们

Tide安全团队正式成立于2019年1月，是以互联网攻防技术研究为目标的安全团队，目前聚集了十多位专业的安全攻防技术研究人员，专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队，请关注团队官网: http://www.TideSec.net 或关注公众号：