網際網路與資訊保安 ——雲端計算及其安全

haha152199發表於2015-05-28

 

 

摘要:在資訊高速發展、資訊處理技術呈幾何增長的今天,計算機現有有的基本模式已經不能應對當前大量的資訊處理速度,為了解決這一問題,雲端計算順應時代潮流、應運而生。這篇文章簡述了雲端計算的概念和特點,結合現實中存在的問題,分析了當前環境下的安全風險,並提出了相應的安全策略。

關鍵字:雲端計算   發展歷程   安全   解決方案  

1  引言

網際網路整個世界連線了起來——通過看得見看不見的線 ,隨著近十幾年來網際網路的急速發展與成長,儲存、計算機能量消耗、資訊產業人員和硬體成本不斷提高,資料中心的空間日益匱乏,原有的服務模式已經不能應對當前巨大的計算吞吐量, 如何把眾多的計算機節點組織起來, 以一種新的形式去解決當前出現的問題,這成為學術界和產業界共同關注的問題。由此,雲端計算的概念應運而生。

雲端計算(CloudComputing)已經成為當前最熱門的一個話題,各大IT 巨頭紛紛推出雲端計算的服務來吸引使用者,中小IT企業也紛紛提出在“雲”時代的戰略藍圖。雲端計算不僅僅是一個計算的問題,也不是僅僅將眾多計算節點組成超級計算機,它需要融合許許多多的技術與成果。簡單的來講,雲端計算是分散式計算(DistributedComputing)、網格計算(GridComputing)、平行計算(ParallelComputing)等發展的基礎上提出的一種新型計算模型,它面對的是超大規模的分散式環境,核心是提供資料儲存和網路服務。正當雲端計算概念正如火如荼的發展時雲端計算的安全問題越來越引起人們的注意,並已經上升到雲端計算髮展的戰略已提上來。本本篇文章將簡述雲端計算 

的概念、特點、發展歷程,結合當前存在安全方面的問題, 簡述了雲端計算環境下的安全風險, 並提出相應的安全防範與使用的策略。

1.1 概念簡介:

雲端計算:是基於網際網路的相關服務的增加、使用和交付模式,通常涉及通過網際網路來提供動態易擴充套件且經常是虛擬化的資源。雲是網路、網際網路的一種比喻說法。過去在圖中往往用雲來表示電信網,後來也用來表示網際網路和底層基礎設施的抽象。狹義雲端計算指IT基礎設施的交付和使用模式,指通過網路以按需、易擴充套件的方式獲得所需資源;廣義雲端計算指服務的交付和使用模式,指通過網路以按需、易擴充套件的方式獲得所需服務。這種服務可以是IT和軟體網際網路相關,也可是其他服務。它意味著計算能力也可作為一種商品通過網際網路進行流通。雲端計算是繼1980年代大型計算機到客戶端-伺服器的大轉變之後的又一種鉅變。

雲端計算(Cloud Computing)是網格計算(Grid Computing )、分散式計算(Distributecomputing)、平行計算(Parallel Computing)、效用計算(Utility Computing)、網路儲存(Network StorageTechnologies)、虛擬化(Virtualization)、負載均衡(Load Balance)等傳統計算機和網路技術發展融合的產物。所以人們常常將雲端計算與網格計算、效用計算、自主計算的概念相混淆。但是經過我們對概念的深刻掌握分析可知:網格計算,是分散式計算的一種,由一群鬆散耦合的計算機組成的一個超級虛擬計算機,常用來執行一些大型任務; 效用計算,是IT資源的一種打包和計費方式,比如按照計算、儲存分別計量費用,像傳統的電力等公共設施一樣;自主計算,是一種具有自我管理

功能的計算機系統。 只要在日常學習和應用中好好把握三者的區別,對我們的應用是很有幫助。

1.2 雲端計算的特點

①超大規模。“雲” 有相當大的規模,Google 雲端計算的伺服器有上百萬臺伺服器, 其它的IBM,Amazon也有幾十萬臺,企業的私有云也有至少上百臺,超大的規模賦予了使用者前所未有的計算能力。

②虛擬化。雲端計算支援使用者在任意位置使用各種終端獲取應用服務, 請求的資源來自“雲”,應用也在“雲”中執行,使用者只需要一個終端,就可以通過網路服務實現所需要的一切, 而不用關心整個過程是如何在哪裡實現的。

③高可靠性。雲端計算使用了資料多副本容錯、計算節點同構可互換等措施來保證服務的高可靠性。

④通用性。雲端計算不針對特定的應用,可以支撐不同的應用。

⑤可擴充套件性高。雲的規模可以動態的伸縮,滿足不同使用者和應用增長的需要。

⑥按需服務。雲中的資源可以按需購買,如同現在使用水電那種方便。

⑦極其廉價。眾多的節點由極其廉價的伺服器構成,其通用性使得利用率大幅提升,成本大幅下降。

1.3雲端計算的發展歷程

1983年,太陽電腦提出“網路是電腦”(“The Networkis the Computer”)

2006年3月,亞馬遜推出彈性計算雲(Elastic ComputeCloud;EC2)服務。

2006年8月9日,Google執行長埃裡克·施密特在搜尋引擎大會首次提出“雲端計算”(CloudComputing)的概念。Google“雲端計算”源於Google工程師克里斯托弗·比希利亞所做的“Google 101”專案。

2007年10月,IBM與Google開始在美國大學校園,推廣雲端計算的計劃,這項計劃希望能降低分散式計算技術在學術研究方面的成本,併為這些大學提供相關的軟硬體裝置及技術支援(包括數百臺個人電腦及Blade Center與System x伺服器,這些計算平臺將提供1600個處理器,支援包括Linux、Oxen、Hardtop等開放原始碼平臺)。而學生則可以通過網路開發各項以大規模計算為基礎的研究計劃。

2008年1月30日,Google宣佈在臺灣啟動“雲端計算學術計劃”,將與臺灣台大、交大等學校合作,將

這種先進的大規模、快速計算技術推廣到校園。

2008年2月1日,IBM公司宣佈將在中國無錫太湖新城科教產業園為中國的軟體公司建立全球第一個雲端計算中心(CloudComputing Center)。

2008年7月29日,雅虎、惠普和英特爾宣佈一項涵蓋美國、德國和新加坡的聯合研究計劃,推出雲端計算研究測試床,推進雲端計算。該計劃要與合作伙伴建立6個資料中心作為研究試驗平臺,每個資料中心配置1400個至4000個處理器。這些合作伙伴包括新加坡資訊通訊發展管理局、德國卡爾斯魯厄大學Steinbach計算中心、美國伊利諾伊大學香賓分校、英特爾研究院、惠普實驗室和雅虎。

2008年8月3日,美國專利商標局網站資訊顯示,戴爾正在申請“雲端計算”商標,此舉旨在加強對這一未來可能重塑技術架構的術語的控制權。 

2010年3月5日,Novell與雲安全聯盟(CSA)共同宣佈一項供應商中立計劃,名為“可信任雲端計算計劃”。

2010年7月,美國國家航空航天局和包括Backspace、AMD、Intel、戴爾等支援廠商共同宣佈“Penstock”開放原始碼計劃。

2011年2月,思科系統正式加入Penstock,重點研製Penstock的網路服務。

3 雲端計算的安全問題

從上文看雲端計算擁有諸多的優良效能, 那麼它真的是無懈可擊、無所不能嗎? 這個問題越來越引起人們的注意,隨著雲端計算應用的越來越廣,雲端計算中存在著以下幾種個安全方面的問題:

(1)特權使用者接入問題。一般來說雲端的資料都有其機密性,但是雲服務商比使用者有更高的訪問權去獲得這些資料,這樣資料的安全性就不能被保證:這是人們最擔心的問題之一。

(2)可審查性。使用者對自己資料的安全性負有最終的責任,如果服務商拒絕外部審計和安全認證,那麼使用者自己資料的安全性則無法得到有效的保證。

(3)資料位置問題。使用者並不知道自己的資料物理上存放在哪裡,由於不同國家適用不同的隱私和資料管理法律,敏感資訊被“合法”的洩漏恐怕是使用者最不想看到的事情。

(4)資料完整性問題。存放在雲端沒有備份是非常危險的,即使經過備份,一些物理災害或者小概率的同時損壞同樣會危害資料的完整性。

(5)調查支援的問題。對於司法機關來說,在雲中調查非常的困難,資料可能分佈在全球各地,調查和取證將是非常龐大的工程。

(6)資料隔離問題。在雲端計算的體系下,所有使用者資料都位於共享環境中,如果隔離措施出現紕漏,非法使用者將獲得一些敏感資訊,侵犯合法使用者的權益。

(7)持久的服務。如果雲服務商突然破產或者被收購,龐大的資料如何安全地收回也是一個相當現實的問。所以我們在享受雲端計算所帶來的方便與快捷的時候,不能不認真對待這些對雲技術來說致命的問題。但是人的能力是無限的,任何問題都能找到破解的方法,我們也沒有必要過分擔憂。

4 解決方案

(1)雲端計算服務提供方的安全策略。雲端計算環境應該具有多個基本的安全域,每個安全域要有全域性和區域性主題對映;位於不同安全域之間的操作必須相互鑑別, 並且要提供完整單

點登入認證、代理、協同認證、資源認證,在認證過程中的通訊也必須通過SSL、VPN 等安全方式來保證使用者的安全。同時建立可靠及時的備份容錯服務,即使災難發生,也可以保證資料的安全和完整性。還可以提供一種過濾器系統,目的在於監視哪些敏感資料離開了自己的網路,並自動阻止敏感資料。服務商本身還要建立嚴格的內部監管機制, 防止從內部洩漏使用者資料。

(2)雲端計算服務使用方的安全策略。使用者可以對自己的檔案先進行加密再上傳到雲端,PGP或者TrueCrypt 都提供了足夠強大的加密功能,並且這個加密軟體是開源產品,不用擔心後門的問題。而且無論從安全性還是完備性來考慮,都應該使用信譽良好的服務, 名氣大的服務商不會拿自己的名牌來冒險,也不會窘迫到和營銷商共享數

據。而且要儘量採用付費的

模式,因為免費的午餐終究是沒有保證的。在使用雲服務前,一定要仔細閱讀隱私申明, 大多數的服務商都在政策條款中承認如果執法機關要求,自己會交出相關資料。通過了解究竟

是哪些資料可能被洩露, 可以幫助你選擇性地將資料儲存在雲端計算環境中。

4.1 具體安全方法

4.1.1 對儲存檔案進行加密

加密技術可以對檔案進行加密,有密碼才能解密。加密讓你可以保護資料,哪怕是資料上傳到別人在遠處的資料中心時,都可以實行全程護航。

4.1.2 對電子郵件進行加密

電子郵件是以一種仍能夠被偷窺者訪問的格式到達你的收件箱。為了確保郵件安全,可以使用Hush mail或者Mute mail 之類的程式自動對你收發的所有郵件進行加密。

4.1.3 使用信譽良好的服務

建議使用名氣大的服務,它們不大可能拿自己的名牌來冒險,不會任由資料洩密事件發生,也不會與營銷商共享資料。

4.1.4 考慮商業模式

收取費用的網際網路應用服務可能比得到廣告資助的那些服務來得安全。所以在選擇儲存環境時,首先考慮付費儲存。

4.1.5 閱讀隱私宣告

在將資料儲存到雲端計算環境中的時候, 一定要閱讀隱私宣告,因為幾乎有關網際網路應用的每項隱私政策裡面都有漏洞,以便在某些情況下可以共享資料。這樣你就可以確定應該把哪些資料儲存在雲端計算環境,哪些資料儲存在自己的電腦中。

4.1.6 安全傳輸

資料在網路傳輸到雲中處理過程中需要得到保護,在傳輸過程中使用SSL,PPTP或VPN等不同的方式。另外在雲端計算服務提供商層面上,也應採取相關措施讓使用者放心使用雲端計算服務。

首先,雲端計算服務提供商最好是本國註冊且資料中心、總部或資產在本國的大規模企業,具有長久的存續能力。只有這樣,才能保證其能夠尊重駐在國家法律並受駐在國法律的監管,長久提供穩定、安全、可靠的服務。在發生事故後,由於其總部或資產在駐在國境內,因此賠償或追討可以順利進行。在中國,這樣的企業或組織包括大型IT服務商和開發商、電信運營商、銀行、保險公司、各個高新技術園區、政府機構等。   

其次,雲端計算服務提供商應該遵循相應應用的開放標準,儘量不採用私有標準。如果沒有標準可以遵循,至少要提供資料匯入匯出框架以及資料轉換機制,為資料遷移提供必要的保障和方便。 

 

 

 

 

 

 

 

結論

在我們生活中雲端計算技術扮演著越來越重要的角色,其安全問題必然也逐漸引起我們的關心,隨著相關領域技術的革新,我們最終會將其安全問題控制在對我們影響最小的程度。讓雲端計算技術成為我們生活中的重要工具,也為我們生活帶來方便和快捷。

 



相關文章