云计算威胁与风险分析
【摘要】:介绍了云计算的分类与发展,概述了云计算的安全现状,详细分析了云计算中的安全威胁与风险。文中指出了云计算中特有的或影响更明显的11类风险,并对每类风险都提供了描述、影响的说明、例子与对策等。
【关键词】:云计算;云服务;安全威胁;风险;对策
The Security Threats and Risk Analysis of Cloud Computing
【Abstract】:The paper introduces the classification and development of cloud computing as well as its situation of safety, the security threats and risk of cloud computing is analyzed in detail. It’s pointed out that there are 11 types of security threats and risk which are specific or more obvious in the cloud computing, the description, influence, examples and countermeasures of each risk are provided.
【Keywords】:cloud computing ,cloud service ,security threats ,risk ,countermeasures
1 引言
作为一种IT服务的趋势,云计算正在广泛的推广、应用,也遇到很多问题,亟需解决,其中最受关注的就是安全问题。对云计算中的安全威胁与风险进行分析,有助于认清云计算的利弊,充分利用云计算的优势,同时采取合适的措施避免损失。
本文首先介绍了云计算的分类与发展,阐述了当前云计算的安全状况,并在调研众多关于云计算安全威胁与风险分析的资料后,结合实际工作经验,指出了云计算中特有的或影响更明显的几类风险,并提出相应的对策。
2 云计算的发展与安全现状
对云计算的定义比较多,本文选取了比较中肯、全面、系统的NIST[1]定义:云计算是对基于网络的、可配置的共享计算资源池能够方便的、随需访问的一种模式。其中,资源池包括网络、服务器、存储、应用与服务。
云计算的基本特征包括虚拟化的资源池,基于网络的访问,按需自助式服务,快速、弹性,使用成本可计量,下边讨论的云计算安全威胁与风险就与这些特征有关。云计算的交付模式指从用户体验的角度来讲,可分为3种服务模式:以基础设施作为服务(IaaS),以开发平台作为服务(PaaS),以软件应用作为服务(SaaS),不同的服务模式中的安全与风险不同。
Google在2007年10月宣布了全球的云计划,但在云计算服务领域起步较早的却是电子商务公司亚马逊(Amazon.com),其于2007年起提供了名为弹性计算云EC2(Elastic Computing Cloud)的服务,让小软件公司可以按需购买亚马逊数据中心的处理能力。 紧随谷歌、亚马逊之后,IBM、英特尔、AMD、微软等IT巨头纷纷进入云计算及虚拟化领域。
当前,中国云计算产业经过导入和准备阶段后,产业生态链的构建正在进行中,在政府的监管下,云计算服务提供商与软硬件、网络基础设施服务商以及云计算咨询规划、交付、运维、集成服务商,终端设备厂商等一同构成了云计算的产业生态链,为用户提供服务。到目前,北京、天津、青岛、济南、南京、上海、无锡、杭州、成都、重庆、深圳、佛山等地都建立了大型的云计算中心。
在云计算的如火如荼的发展与应用中,也出现了不少问题。根据IDC[2]的调查,安全问题一直是云计算中最受关注的方面。国内的报告也有类似的结论,调查的受访对象表示出于“对技术安全性方面的担忧”阻碍其迁移到云计算平台。
实际上,近年亚马逊、谷歌、微软等大型云服务商不断爆出各种安全事故,更加剧了人们的担忧。例如,2009年3月,谷歌文档云服务(现在的云端硬盘)发生大批用户的个人文件外泄事件;2009年7月,2010年2月和2011年7月,谷歌App Engine因故障意外宕机数小时;2012年4月,谷歌云服务之一Gmail故障,影响到3300多万用户。2009年2月和7月、2011年4月和8月,亚马逊云计算服务多次中断,导致其托管的网站如回答服务Quora、 跟踪服务FourSquare瘫痪。2011年5月,微软云交换在线、云托管套件服务都出现了故障,其北美的客户都受到影响;2012年2月底,微软云计算平台windows azure部分服务因为闰年设置问题导致所有集群的服务管理功能被禁用。
因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析,并着手解决云计算所面临的安全问题。
3 云计算安全威胁与风险分析
这里的安全威胁指某些人、事或物对云计算平台中的数据保密性、完整性、真实性,资源的可用性,事件的可审查性产生的危害。风险则指由于云计算平台存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。
下边分析的安全威胁和风险,主要是云计算中特有的,或者是在云计算中更突出的问题。每类威胁与风险分析都包括描述、影响、例子以及对策。
3.1云计算服务的对外接口或API函数存在漏洞
服务提供商通过软件接口或API函数让客户与云平台进行交互,在公共云中,客户通过互联网访问云平台上的资源。这些接口能控制大量的虚拟机,甚至有提供商用于控制整个云系统的操作接口。一些第三方组织基于这些接口为客户提供增值服务,这更增加了层次化的API复杂性。混合了远程访问机制及web浏览器的使用时,这些接口的漏洞存在并被利用的可能性更高。亚马逊在2011年10月就修补了它EC2服务上的一个控制接口的加密漏洞,该漏洞能被黑客用于创建、修改和删除镜像,并能修改管理员密码等。
这种风险的对策有,云服务提供商应全面审查接口设计模式是否安全;API相关的依赖链应该清晰;API中对数据传输使用加密机制;确保强度足够的用户认证与访问控制。云服务客户只使用推荐的接口或API,禁用被摒弃的接口。
3.2 资源共享引发的风险
云计算是资源池化的,多租户与资源共享是其重要特征。云计算中使用硬盘分区、CPU缓冲等机制,而为了保证可动态扩展,云计算中的计算能力、存储与网络资源在多用户间共享,这些都难以保证良好的隔离性。这种风险会导致云平台中某租户的恶意行为影响到同个环境下其它租户的声誉,或者攻击者能对共享环境下的其它用户数据进行非法操作。例如,2009年,由于发现有大量垃圾邮件发出,反垃圾邮件组织Spamhaus把亚马逊整个美国的EC2平台IP地址列入黑名单。另外,云计算为实现资源池化使用了虚拟化技术,黑客可利用虚拟机管理系统自身的漏洞,入侵到宿主机或同个宿主机上的其它虚拟机。当前已有黑客演示了基于虚拟机Hypervisor的rookit攻击即blue pill,2009年黑客大会上的cloudburst能利用VM ware中显示函数的漏洞实现对宿主操作系统的攻击。
对策是云计算平台增强对计算、存储和网络的安全监控,使用高强度的划分机制,防止一个用户访问另一个用户正在活动的或残留的数据,提升对管理性的访问或操作的验证与访问控制,定期实施漏洞扫描与配置的审计。
3.3存储与传输中数据丢失或泄露的风险
云计算中,大量重要的私密数据被集中存储和相互传输,这些数据包括了客户资源、财务数据、关键业务记录等。在未做备份的情况下对数据删除、修改,或把数据存储于不可靠的介质上,或者密钥的丢失导致数据无法解密,发生意外灾难但缺乏合适的备份与存档,都可能带来严重的数据丢失。例如,2011年10月,阿里云服务器磁盘错误,导致TeamCola公司的数据丢失;由于管理员操作失误,2011年3月,15万谷歌用户的邮件与聊天记录丢失。另一方面,云计算使用分布式架构,意味着比传统的基础设施有更多的数据传输,同步分布在不同机器上的镜像,云基础设施与远程Web客户端通信,信息在云间交换,当加密强度不够的数据在传输时,攻击者能通过实施嗅探、中间人攻击、重放攻击来窃取或篡改数据。
对策是进行集中化的身份认证,对数据访问进行分级管理及详细记录。对传输的数据进行高强度的加密如使用HTTPS、或基于SSL的VPN。正确的使用数据快照、多地点冗余与容灾技术。
3.4云计算被不法分子利用
出于抢占市场或其它目的的考虑,某些云服务提供商对登记流程管理不严格,云服务较容易获得。不法分子能以低成本的利用云计算平台发送大量垃圾邮件、制造或托管恶意代码、大规模的破解密码、DDOS攻击、制造及管理僵尸网络等。例如,有报道指出亚马逊EC2被用于Zeus僵尸网络、InfoStealer木马、微软office与AdobePDF的漏洞攻击代码的托管;2011年4月,黑客利用亚马逊EC2服务对索尼的PlayStationNetwork及OnlineEntertainment服务进行攻击,导致这些网站多次长时间下线,大量用户的私人信息被泄露。此外,黑客在窃取合法用户的证书后,能窃听后者的活动与交易,修改数据,返回伪造信息,并把后者的客户重定向到不合法的站点,即出现云计算中合法的账户或服务被劫持的情况。这样,云计算环境成为黑客的一个很强大的攻击平台或有利可图的活动场所。
对策是云服务提供商在客户注册时加强后者的合法性验证,尽量全面的审查客户及内部的网络流量情况以避免恶意利用,尽量采用强度更高的双因子认证。
3.5 被特定云平台锁定的风险
目前,没有能保证云计算数据、应用或服务实现可移植性的通用标准,这使用客户难以做到跨云的迁移。当云提供商破产或倒闭时,这种数据被锁定的结果是灾难性的,即使到时能转移,其成本也是非常昂贵的。可以说,客户存储越多数据到云中,被锁定的数据会越多,风险会越大。例如SaaS中,客户数据存储在云提供商设计的数据库中,导出的数据格式不一定能导入到其它提供商的数据库中。PaaS中,不同提供商间存在API层面的兼容问题。IaaS中提供商内部的云环境间移植问题不大,但实现不同供应商订制的云环境间的移植,还需要像OVF(Open Vitrual Format)这种开放标准被支持。
解决策略是云计算相关研究机构联合起来,尽快制订保证云中数据可移植性的工业标准,而有些新的云计算厂商则以较成功的如亚马逊平台为标准。云客户应该要求在合同中写明数据被锁定后的解决方案。
3.6来自法规遵从的风险
使用云计算可能不满足某些工业标准、法律规定的需求而产生矛盾或纠纷:有些法规要求特定数据不能与其它数据混杂保存在共享的服务器或数据库上;有些国家严格限制本国公民的私密数据不能保存于其它国家中;有些银行监管部门要求客户将数据保留在本国等。从某种程度上来说,使用公共云就不能达到PCI DSS(支付卡行业安全标准)的要求,例如亚马逊公司曾告诫客户不要提供支付卡行业标准的服务,直到2010年底,才声明其某些云平台已满足PCI DSS合规性要求。
这种情况要求云平台在建设前做好相关法规的调研,并切实遵守实施。云客户对数据有特殊要求时,不得使用不遵守相应特殊法规的云平台。
3.7调查、审计的风险
云计算中,计算、存储、带宽服务可在全球范围内跨国获取,而用户提供的账户信息可能是伪造的,加上不同国家和地区对违法行为的取证需求不尽相同,因此对基于云计算平台的网络犯罪行为很难进行追查。当平台中的资源来自多个、多层次的第三方供应商时,溯源更为困难。另一方面,云计算平台存储有多家客户数据,在调查取证过程中,供应商不一定配合,如果配合,将给其它客户的业务带来风险。例如,谷歌多次向美国政府提交维基解密志愿者的邮箱数据,这意味着Gmail的用户存在隐私被泄露的风险。再者,在资质审计的过程中,服务商未必提供必要的信息,使得第三方机构不一定能对服务商进行准确的、客观的评估。
这种风险需要研究并使用更合理的第三方审计与隐私保护机制。
除了以上7类风险,云计算中影响较大的安全威胁与风险还有:
存在有恶意企图的的内部人员。尽管对于大多数组织来说,有恶意企图的内部人员都是有可能的,但在云计算模式下被增强了,因为在这种场景下,所有IT设备或数据被放到一起集中管理,内部人员拥有的权限让他能获取机密数据甚至得到整个云服务平台的完全控制权,但难以被发现。这要求云服务提供商加强对雇员的审查,把整个信息安全与管理操作透明化。
云服务平台长期发展的风险。在IT市场的激烈竞争下,在政策的变化下(特别是在中国),由于不充分的商业战略或资金缺乏,将导致一些提供商破产或被大公司收购,云服务因此可能被中断或变动。
管理、控制不全面的风险。客户把大部分数据控制权交给了提供商,但服务水平协议中不可能面面俱到-详细指明提供商对各安全问题的承诺。更进一步的,云提供商可能把服务外包给第三方,而后者很可能不提供在服务水平协议中指出的问题的保证。不过,这种风险对IaaS影响大,对SaaS的影响小。
其它不是云计算特有的或者影响较小的安全威胁风险:恶意用户与黑客的集中性攻击,云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。
4 结束语
与传统数据中心服务相比,云计算具有诸多优点,如规模化的效益,能实现快速、智能的资源扩展等。但也要意识到文中分析的这几类安全威胁与风险,采取适当的措施,扬长避短,让更多的应用受益于云计算服务。
参考文献
[1] NIST. SP800-144:Guidelines on security and privacy in public cloud computing [R],2005.
[2] Cloud Security Alliance:Security Guidance for Critical Areas of Focus in Cloud Computing V3.0 [R],2011, https://cloudsecurityalliance.org/csaguide.pdf
[3] ENISA:cloud computing benefits risks and recommendations for information security[R],2009
[4] Cloud Security Alliance:Top Threats to Cloud Computing V.10 [R],2010,https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
[5] IDC: New IDC IT Cloud Services Survey:Top Benefits and Challenges [R],2009.http://blogs.idc.com/ie/?p=730
[6] 埃森哲-IT168:2009~2010年云计算技术应用调查报告 [R]. 2010.http://cloud.it168.com/a2010/0308/857/000000857865_all.shtml
原文刊于 信息安全与技术,2012,3(11):36-38.