云计算环境下安全风险分析
1 什么是云计算安全?
在互联网快速发展的今天,网络的安全是不可回避的问题,尤其是各种安全威胁对业务系统的潜在危害逐渐放大的今天,任何IT系统的建设都很难忽视安全问题的存在。而各种“私有云”或是“公有云”的数据中心建设,安全、高效的业务交付也是其成功的基础和必备的要求。每一刻建设的环节,包括物理环境的搭建过程、云计算业务系统的构建、服务器存储资源池的部署,以及系统的运营操作等,都是安全风险的潜在制造者和影响系统安全交付的因素。来自Forrester Consulting 2011年的调查报告显示(如图1所示),在云计算的部署过
程中,对于安全的担忧已经成为用户选择云计算服务时的重要参考。
图1 云计算部署过程中用户关注点调查
作为处于云计算产业链中的主要参与者,企业客户、云计算服务商、云计算设备供应商等对于云安全都有自身的理解:对服务商而言,如何建设安全的云计算环境,如何给客户提供高安全性的SLA保证是其关注的重点;对于企业客户而言,其关注的是自身业务系统保存或使用的核心数据的安全,这些数据一旦泄漏或者丢失将损害到企业的核心竞争力。可以看出,尽管各自关注的视角有所不同,但是其本质都是在关注整个云计算业务系统的安全,这也是我们对于云安全的定义,接下来我们将基于这个角度对云计算的安全风险进行分析。
2 云计算环境下的安全风险
在云计算的建设过程中,每个建设环节都可能导致安全问题,诸如物理机房环境的安全、网络的安全、应用系统的安全、数据存储的安全、管理平台的安全等。抛掉物理环境的安全不谈,其他几个环节可能导致的安全风险可以归结为以下几个方面。
1)用户数据泄露或丢失
这是目前云计算用户最为担心的安全风险,也是用户数据泄露的重要途径。用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄露或丢失。现阶段可能导致安全风险的有以下几种典型情况:
由于服务器的安全漏洞导致黑客入侵造成的用户数据丢失;
由于虚拟化软件的安全漏洞造成的用户数据被入侵的风险;
数据在传输过程中没有进行加密导致信息泄露;
加密数据传输但是密钥管理存在缺失导致数据泄露;
不同用户的数据传输之间没有进行有效隔离导致数据被窃取;
用户数据在云中存储没有进行容灾备份等。
从这个角度看,云计算服务商在向用户推荐云计算服务时,需要和企业用户签署服务质量保证协议,并从技术和管理两个方面向用户进行安全保证,以减轻用户对于数据安全的担忧。
2)用户应用不能安全交付
云计算服务商在运行维护过程中,需要对整个云计算中心的服务器存储网络等资源进行运维管理。在这个过程中,任何运维管理环节的问题,都可能对用户的应用造成损害,如因为配置方面的疏忽,造成用户的虚拟化计算资源不足以正常运行业务系统;因为网络安全的配置错误导致互联网连接不通;因为服务商对公共安全风险如DDOS攻击防护不足导致用户对外的业务交付出现故障等。
3)内部人员数据窃取
企业的核心数据在云计算环境中的存储,离不开管理员的操作和审核,如果服务商内部的管理出现疏漏,将可能导致内部人员私自窃取用户数据,从而对用户的利益造成损害。在这种情况下,除了通过技术的手段加强数据操作的日志审计之外,严格的管理制度和不定期的安全检查十分必要。云计算服务供应商有必要对工作人员的背景进行调查并制定相应的规章制度避免内部人员“作案”,并保证系统具备足够的安全操作的日志审计能力,在保证用户数据安全的前提下,满足第三方审计单位的合规性审计要求。
4)用户身份认证的安全
云计算服务商在对外提供服务的过程中,需要同时应对多租户的运行环境,保证不同用户只能访问企业本身的数据、应用程序和存储资源。在这种情况下,运营商必须要引入严格的身份认证机制,不同的云计算租户有各自的帐号密码管理机制。如果运营商的身份认证管理机制存在缺陷,或者运营商的身份认证管理系统存在安全漏洞,则可能导致企业用户的帐号密码被仿冒,从而使得“非法”用户堂而皇之的对企业数据进行窃取。因此如何保证不同企业用户的身份认证安全,是保证用户数据安全的第一道屏障。
3 云计算环境下安全防护的差异化分析
基于云计算环境下的安全风险分析,在云计算安全的建设过程中,需要针对这些安全风险采取有针对性的措施进行防护。和传统的数据中心安全建设方式相比,云计算环境下的安全建设有其明显的特点,主要存在以下几个方面的差异。
3.1 云计算环境下一般性安全风险的特点
在云计算的建设过程中,尽管其在业务模型或者服务器虚拟化等方面有了革命性的变化,但是其应用系统本身以及用户访问的行为并没有发生本质的变化:服务器业务系统的安全交付、用户访问的安全隔离和控制、网络本身对DDoS等恶意流量的攻击防护、病毒蠕虫、恶意代码和钓鱼网站等安全威胁仍然存在。因此,云计算的安全防护首先需要考虑的是如何对这部分常规安全风险进行防护。从这个角度看,传统的防火墙和入侵防御等产品形态仍然适合,而且涉及到的技术支撑和设备的防护部署思路可以继续借鉴。当然,在云计算环境下,因为系统流量模型的相对集中,对于安全设备的性能和扩展性等方面有了一些新的要求,系统需要支持更高性能的安全防护,尤其是当安全作为一种服务对外提供的环境下,更需要安全资源池在高性能可扩展方面提供相应的保障。
3.2 虚拟化技术引发的新的安全风险
服务器虚拟化是现阶段云计算数据中心实施最为广泛的技术,基于服务器的虚拟化技术,可以将单台物理服务器虚拟出多台虚拟机并独立安装各自的操作系统和应用程序,从而有效提升服务器本身的利用效率。在这种模型下该虚拟化技术将可能导致以下三个方面的新安全风险,并进而影响到单个物理服务器或全体虚拟机的运行安全。
1)虚拟化软件各种底层应用程序的安全漏洞。
以VMware、Citrix和微软的虚拟化应用程序ESX/XEN/Hyper-V为代表的虚拟化应用程序本身可能存在的安全漏洞将影响到整个物理主机的安全。黑客在利用漏洞入侵到主机系统之后,可以对整个主机上的虚拟机进行任意的配置破坏,从而导致系统不能对外提供业务,或者是将相关数据进行窃取。同时,针对以vCenter为代表的虚拟机配置管理程序,考虑到其涉及到全部虚拟机的安全,因此针对这类管理平台软件的安全漏洞攻击,也是新的安全风险。
2)虚拟机应用程序的安全漏洞。
这些应用程序是云服务交付的核心组成,包括Web前端的应用程序、各种中间件应用程序及数据库程序等,即使在传统网络安全环境下,他们仍然会因为编程技术的缺陷而存在多个安全漏洞,在云计算环境下,这些安全漏洞会继续存在,典型如各种Web会话控制漏洞、会话劫持漏洞及各种注入攻击漏洞。同时为了适应或使用虚拟化环境下的各种API管理接口,也可能产生一些新的安全漏洞。
3.3 云计算虚拟机流量交换的安全新风险
在虚拟化环境下,单台物理服务器上可以虚拟化出多个完全独立的虚拟机并运行不同的操作系统和应用程序,各虚拟机之间可能存在直接的二层流量交换,而这种二层交换并不需要经过外置的二层交换机,管理员对于该部分流量既不可控也不可见,从而面临新的问题(如图2所示):
1)管理员如何判断VM虚拟机之间的访问是否符合预定的安全策略,如何实现对这些VM之间的流量访问进行允许或禁止的安全策略设置?
2)如果该VM之间的流量互访被允许,如何判断这些访问流量是否存在攻击行为?是否存在针对WEB应用层安全漏洞的攻击?云计算环境下的安全防护需要有针对性的解决方案。
图2 虚拟机流量交换安全风险示意图
3.4 云的终端安全接入及访问控制的风险
传统的网络安全模型中,针对网络终端用户的安全接入和访问控制也有成熟的解决方案,但是在云计算环境下,对于云端用户的安全接入和访问控制,出现了一些新的要求,特别是在IaaS的服务模型出现后,服务商需要为每个用户提供自助服务管理界面,需要针对不同企业或类型的租户提供差异化的用户身份认证管理授权策略,确保“合法”的用户访问正确的服务器,同时也需要在用户访问行为的日志记录和安全事件的报告分析方面提供差异化的解决方案,为此参与该解决方案的用户认证网关、AAA认证授权平台在相关的多实例多域支持方面有更加严格的要求。薄弱的用户验证机制,或者是单因素的用户密码验证很可能产生安全隐患,而云自助服务管理门户的潜在安全漏洞又将导致各种未经授权的非法访问,从而产生新的安全风险。
结束语
在建设云计算的过程中,只要分析清楚当前环境中可能存在的安全风险,并通过技术和管理的手段,制定相应的安全建设的框架,就可以最大程度的实现云计算环境的系统安全,保证云计算业务的安全交付。