云计算安全问题浅析

商务活动促进云计算的发展,对其安全性也出十分严峻的挑战。该文展现了云计算安全问题的基本面貌,详细讨论了工业、学界、政府乃至黑客的当代以及历史视角,以图将对此问题的合理担忧与过激反应区别开来,并指出云计算出现的真正意义上的新的、棘手的安全问题寥寥无几——某些表面上问题的“新”只是与过去几年中出现的“传统”问题相对而言。其中很多问题在采用分时系统的时代就早已得到关注。云计算出现的新的、关键的问题表现在两个方面多方信任的复杂性与随后的互审需。
关键词云计算;安全;用户;供应商;互审
中图分类号TP393 文献标识码A 文章编号19-344(212)3-7196-3
云计算服务供应商以专业的数据资源组织与分配,低成本建立大型数据中心,使得云计算在商务活动中获得广泛认同。规模经济的发展增加了云计算服务供应商的收益,也降低了用户的成本。云计算的即时服务模式使得服务供应商通过统计复用实现优化资源利用,更让用户通过动态标度避免了资源预留空间的费用支出。然而,安全问题也迎面而来,许多学者、公司决策者以及政府工作人员认为安全问题成为速与推广云计算的明显阻碍1。对于许多关键业务级运算,云计算会由于种种问题而显得不可取,例如服务可用性、数据保密以及荣誉命运共享问题等等。另有一些人批评“云计算”一词含义太广2。事实上,云计算包含了如“软件即服务”的既成模式,而这种随需而变的计算工具的基本概念则可以追溯到早分时系统3。与此同时,缺乏统一的定义也一定程度上阻碍了对云计算安全问题的讨论。本文鉴于云计算出现的安全问题,首先梳理了术语定义问题,其次对安全问题进行了分类,最后这些问题进行多对视角的讨论。
1 云计算的定义
缺乏明确的、被广泛接受的定义成为云计算研究的一大问题。“云计算”一词是个不断演化的术语,其定义更大程度上来源于应用领域,而不是学术领域。“云计算”定义面过宽招致批评,有人批评其“包括了一些所做之事”1。而在定义的准确性上斤斤计较又转移了人们对于其核心技术问题的注意力。本节将简单给与云计算一个定义,该定义将贯穿全文。早期系统框架云计算研究,《Above the Clouds A Berkeley View of Cloud Computing》将其定义为包括作为服务发布在互联网上的应用软件以及促进这些服务运作的数据中心硬件与系统软件1。云计算的关键特征包括虚拟无限硬件资源、消除预先承诺以及按需支付资源使用的能力。该项白皮书一经发表,大量的对云计算的定义以及研究报告接踵而来。其中由美国国家标准与技术研究院(NIST)发布的一条最为显眼。该定义范围较广,几乎涵盖了所有云计算研究中采用的通行术语,为NIST指导云计算安全问题打下了基础。其他一些定义大都采用相近的框架。欧洲网络信息与安全机构也承载了这一理念,对云计算的定义如出一辙,大同小异3。根据NIST给出的定义,云计算的关键特征包括按需自助服务、宽带接入、资源池化、快速弹性以及与工具相当的计量服务。云计算有三种服务模式软件服务模式(SaaS)——允许用户控制应用程序配置;平台服务模式(PaaS)——允许用户可以主机环境;基础构架服务模式——允许用户控制除数据中心基础构架之外的其他构架。另外,云计算还具有四种调度模式公有云模式——对大众或大型企业集团开放;社区云——服务若干组织机构;私有云——仅限于单个组织机构;混合云——混合以上几种模式。鉴于NIST的广义定义综合了诸多人们关心的问题,以及该定义演化的连续性,本文将在余下的讨论中沿用这一定义的内涵。
2 新安全问题评判
本节评判云计算中出现的所谓“新”与“旧”的安全问题,从而确认何种问题对云计算的安全威胁模型构成最大挑战。
2.1 “旧”安全问题
云计算的广泛应用带来了经常性安全事故。事实上,许多归为“云安全”问题的事故属于传统网络应用与数据联机问题,如网络钓鱼、故障停机、数据丢失、密码失窃与主机易感染僵尸网络等问题。推特网络钓鱼属于传统网络安全隐患,现已摇身一变成为云计算安全隐患。近来,知名的亚马逊云服务中发现僵尸网络事件尤为显眼,反映出云计算服务器的运行安全与与传统企业数据存在同样的隐患。学术界举办的ACM云计算安全研讨会和ACM计算机与安全通信会议(CCS)对云计算安全颇有研究。当前,有关云计算安全问题发表的论文,如针对网络安全413、数据外包518、虚拟机634问题进行讨论的论文,也反映出学术界一贯的研究路线。这些论文除少部分外大都表现出研究课题的综合交叉性,而不是仅仅着眼于云安全。29年在美国举办国际黑帽技术大会致力于云计算安全漏洞利用问题的讨论,认为安全漏洞利用成为延伸的安全隐患。例如,用户名暴力破解软件、Debian OpenSSL利用工具在云计算中和在僵尸网络中会同样运行7。社交工程攻击利用漏洞,给恶意虚拟机镜像一个类似官方的命名,如f“edora_core”7,引诱亚马逊弹性计算云(EC2)用户运行恶意虚拟机镜像。虚拟主机漏洞问题依然存在8,如同随机数生成机制缺乏足够的熵从而薄弱一样。
2.2 “新”安全问题
最近有研究发现,尽虽然使用云计算较僵尸网络更为昂贵,但是云计算比僵尸网络更易获得黑客们的“青睐”。僵尸网络市场易面临“柠檬市场”的信息不对城问题,即由于缺乏信任、无法确认货物质量导致货物成交量最小8。如此一来,黑客们就会溢价在云计算网络中寻找更为可靠的服务。在云计算网中,络僵尸网络比在传统网络中更容易关闭。因为云计算引入共享数据环境,所以会引发意外旁通道被动侦测信息与隐蔽信道主动发送数据9。暴露出来的弱点有将攻击虚拟机当作目标虚拟机置于相同的物理机上,而后在两个虚拟机之间构建旁通道,编入SSH击键计时攻击1。另一个新问题来自于荣誉命运共享,会产生不同影响。正面的影响是只保证网络生态系统的安全最佳实践,云用户有可能从大云服务供应商对安全性的专注中获益;负面的影响是单个破坏者就能中断许多用户。例如,垃圾邮件群发曾破坏EC2,导致国际反垃圾邮件组织(Spamhaus)将很大比例的EC2 IP地址列入黑名单,引发主服务中断。此外,黑客运用云计算网络的价格低廉,例如,将在PC机上原本耗时1.3天暴力破解作业放到云计算网络中,耗时仅仅一分钟,需添加2加大实例,每次利用只需两美元(参考21年的价格)。自垃圾邮件群发事件后,如果有人想从EC2上发送电子邮件,则必须填写申请表格(http//aws.amazon.com/contact-us/ec2-email-limit-request/),供EC2(静态)地址列表获得发送邮件的授权,并被记录用例。亚马逊在同意申请后将该EC2地址添加到Spamhaus的白名单中11。2.3 云威胁模型中的新特征
结合以上论述,云威胁模型包含以下几个新特征1)数据与软件并非需保护的唯一对象,活动模式也需保护。资源共享意味着一位云用户的活动对其他使用相同资源的用户来说可能是透明的,会导致旁通道与隐蔽信道的构建。活动模式本身就可能就是组成公司机密信息的一部分,一旦泄漏就会导致客户群与营业规模等信息被窃取。2)商誉也需保护。在使用共享资源进行关键业务级运算时,很难分辨恶意运行。即便有方法识别罪犯并予以责罚,不良公众信息依然会产生不确定性,会玷污长期以来建立起来的商誉。3)必须建立长期信任链。终端用户可以使用服务供应商建立的应用程序,并在主机供应商供的平台上运行,继而在基础构架服务商供的基础构架上运行。然而,由于缺乏充足的应用程序接口(APIs),此设想始终是空中楼阁。这也表明任何模式的云计算,利益相关者之间的关系远比简单的供需关系复杂得多。破坏者可能伪装成正常的云用户或者供应商,实施网络攻击或者网络犯罪,导致用户中断。案例包括用户运行玻璃破解程序、僵尸网络、云端的垃圾邮件群发或者供应商扫描用户数据信息并出售。此外,互相竞争的公司可能在同一云计算系统中运作,使用相同的云信息,以相同的供求关系结束。这可能会导致强烈的利益冲突,并造成获取竞争对手机密信息的不良驱动。这些问题亟待云计算审核的完善——审核也是卫生保健、银行等系统所求的。云计算的不同之处在于求互相审核,因为该系统中利益相关者潜在的利益冲突,从结算角度来讲,云用户与供应商都需确保对方以正确、良性的方式运作。鉴于供应商与云用户都可能成为攻击源或者攻击的目标,互审也可以大大协助事件响应和恢复。在搜查与扣押事件中,审核可以明确责任归属,避免执法机构越权执法。最后,了解云计算威胁的一个难点来自于人们潜在的不正确的心理,即云计算是随时可用的服务。这个观念来源于人们在使用产品或者服务时的偏好性思维范式, 易产生对安全的错觉,导致不妥的使用行为,如定期备份数据到多个云供应商。因此,当云计算以与其他类型的计算系统相同的速度奔溃时,其造成的危害大很多。
3 结束语
综上所述,安全将不可不避免地成为云计算业务的一个重的微分器。此外,除了重温处理比如确保共享计算等具体问题的方法之外,历史经验告诉我们,在系统不断升级、增加更多功能的背景下,尽早开发安全架构大有益处。另一方面,互联网商品历史一再表明,即便没有健全的安全基础,及时切入市场抢占摊点与削价措施也能很大程度刺激客户购买。不过,当前的情形会略有不同,许多云计算目标客户拥有广泛的购买经历,甚至遭受过损失,从而具备消费理性,会将安全当作优先考虑对象。美国的国家网站(National CSS)曾向公司供它们负担得起的计算业务,分时共享最终让位给个人电脑,从而带给公众支付得起的计算业务。同样,当前云计算也向公司供价格合理的大型运算业务。如果这种经济情况普遍存在,那么即便存在安全隐患,云计算也将毫无阻挡地成为一种消费品。正如PC机与互联网带来信息革命,云计算也具备带来计算革命的可能。届时,大型计算也将普及化,并且价格合理、使用便利、安全可靠。
参考文献
1 Armbrust M,Fox A,Griffith R,et al.Above the Clouds A Berkeley View of Cloud ComputingEB/OL.Technical report EECS-29-28.EECS Department,University of California,Berkeley.(29-2-1).http//www.eecs.berkeley.edu/Pubs/TechRpts/29/EECS-29-28.html.
2 Fowler G,Worthen B.The internet industry is on a cloud-whatever that may meanN.Wall Street Journal,29.3.26.
3 Corbató F J,Vyssotsky V A.Introduction and overview of the multics systemJ.IEEE Ann. Hist. Comput.,1992,14(2)12–13.
4 Vikram K,Prateek A,Livshits B.Ripley automatically securing web 2. applications through replicated executionC//CCS ’9 Proceedings of the 16th ACM conference on Computer and communications security.
5 Bowers K D,Juels A,Oprea A.Hail a high-availability and integrity layer for cloud storageC//CCS ’9 Proceedings of the 16th ACM conference on Computer and communications security.
6 Wei Jinpeng, Zhang Xiaolan,Ammons G,etal.Managing security of virtual machine images in a cloud environmentC//CCSW ’9 Proceedings of the ACM workshop on Cloud computing security.
7 Meer H,Arvanitis N,Slaviero M.Clobbering the cloudC//Black Hat USA 29.
8 Kortchinsky K.Cloudburst-a VMware guest to host escape storyC//Black Hat USA 29.
9 Dawn Xiaodong Song, David Wagner, and Xuqing Tian. Timing analysis of keystrokes and timing attacks on SSHC//SSYM’1 Proceedings of the 1th conference on USENIX Security Symposium.
1 Ristenpart T,Tromer E,Shacham H,et al.Hey, you, get off of my cloud exploring information leakage in third-party compute cloudsC//CCS ’9 Proceedings of the 16th ACM conference on Computer and communications security.
11 Amazon Web Services Discussion Forums.Thread 3765 Emai changesEB/OL.https//aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/ec2-email-limit-rdns-request.