|
 |
文 / 褚诚云
在这篇文章中,我们将着重探讨云计算中与安全相关的各类问题,例如云计算供应商采用的安全模式,企业在使用云计算平台中应该考虑的安全风险和采取的安全策略等。
需要强调的一点是:本文涉及的“云安全”并非是目前国内反病毒业界中非常热门的“云安全”、“云查杀”这类反病毒技术。“云安全”反病毒技术只是将云端的计算和商用模式应用到反病毒领域。换句话说,是云计算在一个特定领域的应用。
本文讨论的是通用意义上的云安全(Cloud Security)。它的影响范围和对象要比“云安全”反病毒技术广泛得多。云安全涉及的不仅仅是云计算中的相关技术,如虚拟化技术等的安全问题,而且还需要全面考虑和评估云计算所带来的潜在的技术、政策、法律、商业等各方面的安全风险。
云计算中的安全风险
云计算的服务和计算分配模式
按通用的理解,云计算是基于网络,特别是基于互联网的计算模式。在云计算模式下,软件、硬件、数据等资源均可以根据客户端的动态需求按需提供(on-demand)。某种意义上,云计算的运营模式类似于电力、供水等公用设施,只不过它所提供的服务是计算资源。
云计算中提供的服务有三个层次:
事实上,云计算中涉及的许多技术,如虚拟化(virtualization)、SaaS等并不是全新的技术。最为基本的在线邮件服务功能,如Gmail、Hotmai都已经运营一段时间了。PaaS虽然是一个比较新的概念,但构造它的组件(如SOA)也不是新技术。那么云计算中最重要的改变是什么?
云计算带来的是一种全新的商业模式。它改变的是计算分布或分配的模式(par-adigm)。根据计算分配模式的不同,云计算又可分为:
影响云计算模式的安全因素
不同的云计算的服务方式和不同的云计算的分配方式的组合,导致云计算用户对云计算系统资源的监控和定制的程度的不同。图1展示了不同的云计算模式对用户监控、定制水平、抽象程度、规模经济效益的影响。[1]
图1 不同云计算模式对用户监控、定制水平、抽象程度和规模经济效益的影响
转移到云计算模式会在根本上改变IT部门的运营模式,因此用户需要仔细评估不同云计算模式对上述这些因素的影响,以及这些因素对自身安全策略的影响,以确定适合自身的云计算模式。例如当用户从SaaS转移到PaaS或者是IaaS,会提高使用云计算模式的灵活度和加强对云计算系统的控制,但同时用户也需要承担更多的安全责任。
关于不同的云计算模式对企业和政府IT部门安全策略的影响,我们在后续章节中会更进一步涉及。
云计算的安全益处
在讨论云计算的安全风险前,先简单谈一下云计算对企业用户带来的安全益处。基于规模经济效益的原理,在大规模的云计算用户(尤其是公用云)的情况下,单位运营成本将会下降,单位安全运营的成本也会下降。安全运营包括网络监控、操作系统/应用程序的补丁部署、软件/硬件系统配置的加固、权限管理等。
就用户本身而言,云计算的一大好处就是在降低单位运营成本的同时,许多安全责任也随之转移到云计算供应商身上,不需要用户操心。从这个角度来讲,云计算和近年来的企业IT外包模式相似。不过云计算供应商在高可靠性、安全性和冗余性投入的成本更大。
但需要强调的是,云计算在降低单位安全运营成本的同时,也带来了相应的安全风险,如CSP的风险管理实践、服务协议(Service License Agreement - SLA)的设定、合规化(Compliance)验证等方面。事实上最近的调查显示,数据的安全和隐私风险,已经成为用户转移到云计算的首要顾虑[2]。
云计算的安全风险
如本文开始提及的,云安全涉及到云计算商业模式潜在的技术、政策、法律、商业等各个领域的安全风险。具体而言,分为以下几大方面[1][3]:
安全和隐私
需要评估云计算供应商对下述安全功能的实现流程:
关于身份认证、权限控制等概念,这里就不详细阐述。我们对数据保护、安全事件通报、人事和物理安全这几个在云计算中特殊性的安全因素做进一步探讨。
数据保护:在云计算中,由于重要数据被托管存放,这些数据可能与其他用户的数据存放于同一物理介质上。于是CSP的数据分离和保护流程就尤为重要。例如,数据分离存储是如何实现的?数据的内部传输或外部传输,是否采用了加密算法,其强度如何?是否采取了额外措施以防止数据的异常泄露?
管理权(Governance)
在用户使用云计算模式的同时,实际上也放弃或降低了诸多影响安全的问题的决策权和管理权。例如:
以上这些问题的决策,如果在用户和CSP签署的服务协议中没有明确涉及,就会带来潜在的安全风险。
合规性(Compliance)
CSP是否能够满足相关政策,例如数据隐私保护的规定?CSP是否能够让用户或第三方对其进行审核(Audit)来验证其安全政策的完备性和有效性?
法律
重要数据的物理存储可能跨越不同国家和地区。而不同国家有不同的司法系统,这就会带来潜在的法律风险。例如不同国家对数据丢失责任、数据知识产权保护、数据的公开政策(disclosure policy)的司法解释可能是不一样的。
商业
各个CSP的服务模式差异很大。一旦选择了某一个CSP,就可能被其锁定。这就带来潜在的商业安全风险。例如将来一旦对某个CSP的安全实践不满意,或者是该CSP退出云计算领域,用户切换到其它CSP的成本是非常大的。
云计算供应商的安全模型实例
这里我们对三个较为典型的云计算供应商的安全模式做一些简单的介绍。
Google的云计算模式是基于Google应用程序引擎GAE(Google Application Engine)来实现的。GAE可以将Web应用托管到Google的数据中心上。从运营模式上来分,GAE提供的是基于公用云的SaaS服务。从安全的角度来讲,GAE的用户对云计算系统的安全控制是非常少的。主要安全功能是通过GAE来实施的。
Amazon的云计算模式是基于Amazon EC2托管服务和AWS(Amazon Web Service)来实现的。与GAE相比,Amazon的云计算模式涵盖SaaS和PaaS(Amazon EC2),因此运营模式更为灵活。在PaaS模式下,对云端资源的控制更加灵活,但是用户需要承担更多的安全实现,例如认证和权限管理等等。特别指出的是,AWS通过了SAS70 类型II的审核,在一个方面也反映出了CSP认识到满足合规性检查对安全的影响[4]。
Microsoft的云计算模式是基于Windows Azure平台来实现的。与Google和Amazon相比,Windows Azure可以被第三方部署,即提供私用云和混合云的模式,并增加了IaaS服务[5]。由于Windows Azure提供的运行模式比较灵活,用户在选择适合自身的云计算模式要仔细考虑,因为不同的运行模型对安全的影响是非常大的。
企业云计算的安全策略
上文谈到了诸多影响云安全的因素。作为一个企业用户,在考虑移植到云计算平台时,需要在多家CSP中比较安全指标以确定哪个CSP更能满足用户的云安全需求。此时,推荐的安全策略是什么?
欧洲网络和信息安全研究所(European Network and Information Security Agency,ENISA)给出了图2所示的推荐。
图2 ENISA的CSP安全评估模型
图2给出了对于两个不同CSP在安全性能上的评估范例,以确定哪个CSP能更好地满足用户的云安全需求。评估的因素涵盖了前文云计算安全风险中提及的各个风险因素,包括身份和权限管理、数据和服务的可移植性、商业模式的可持续性、物理和环境安全、资源管理、法律和合规、人事安全、供应链安全、运营安全等。有兴趣的读者可以参考文献6了解更多关于CSP安全评估模型的信息。
总结
本文介绍了云安全的基本模型、风险和策略,以及若干典型CSP的安全运营模式。用户在决策是否转移到云计算或选择何种云计算模式时,应该仔细考虑到云计算这一新的商业模式带来的安全益处和对应的安全风险。
就安全层面来说,对于非关键(non-critical)的应用和数据部署到云端系统,采用CSP的安全服务可能会提高其安全性,但是用户需要仔细评估CSP的安全政策和实践流程。对于关键(critical)应用和数据,部署到云端系统这的决策要非常慎重,尤其是要充分研究和理解云计算模式对关键应用和数据带来的潜在的管理权、合规性、法律和商业上的影响。
作者简介:
褚诚云,微软可信计算部(TWC)资深安全软件工程师。
(本文来自《程序员》10年05期)
