七月上半月與家人旅遊（去了祖國寶島臺灣！），回來後一直忙於諸多事情，居然未能偷出一點時間登入部落格寫上一篇！好在所忙碌之事中畢竟有一件十分重要的：受雲端計算專家委員會重託寫一篇有關雲端計算安全的文章作為雲端計算白皮書中的一章。專委會要求在月底前完成初稿，所以今天（31日）剛完成任務之時，便自賦特權將該章的第一節（少於全章10%的內容）在此登出，就算整個7月份沒交白卷。白皮書其他章節由許多專家合作寫成，希望此處登出的一小節能夠起到推銷全書的作用。

本章是與EMC中國實驗室同事張京城,李俊合作寫成，特在此致謝！

 

雲端計算安全  

雲端計算通過對大規模可擴充套件的分散式計算資源（如CPU資源、儲存資源、網路資源等）進行整合，通過網際網路技術以按需使用的方式為使用者提供計算和儲存服務。雲端計算的核心是面向服務的體系架構。在該架構中，資訊處理是以服務方式提供與獲得的。資訊就是財產，所有與資訊處理有關的服務都可能對使用者或服務提供者的資訊財產帶來安全風險，比如資訊洩漏、破壞或丟失。本章要討論與雲端計算相關的安全問題與技術。

圖1給出了以服務為中心的雲端計算架構、相關的安全技術以及我們將在本章何處介紹這些技術。

圖1： 面向服務的雲端計算架構及相關安全技術[78]

 

雲端計算包含前端（客戶端、使用者端）和後端（伺服器端、資料中心）。目前認為前端趨向於變“瘦”變“薄”，趨向於以網路瀏覽器的形式提供基本使用者操作介面，通過網路連線使資訊處理服務在後端發生完成。後端的服務架構從底向上可分為硬體基礎架構作為服務（Infrastructure as a Service, IaaS）、平臺作為服務（Platform as a Service, PaaS）、軟體作為服務（Software as a Service, SaaS）和智慧服務（Intelligence-aaS）。IaaS服務（如Amazon EC2[33]）向使用者提供基本的計算、儲存和網路資源，使用者基於這些資源，可安裝任意的作業系統軟體和應用軟體以完成計算。PaaS服務（如App Engine[49], Azure[79]）基於IaaS實現，它向使用者提供特定的計算平臺（其平臺作業系統和平臺中介軟體由PaaS提供商所控制），使用者可以在該平臺上部署自己編寫或控制的應用軟體以完成計算。SaaS服務（在一些特定軟體應用上率先發生，如CRM、ERP、人力資源管理）基於IaaS和PaaS實現。SaaS僅僅向使用者提供服務使用介面（其後端軟體棧完全由SaaS服務提供商控制），使用者在前端呼叫後端的SaaS服務以完成資訊處理。智慧服務是指前端使用者使用網上線上服務的過程和結果所產生的一些新的、獨立於網上線上服務本身價值之外的價值，而這些價值又產生了服務。圖1用倒置的三角形來表示越上層的服務越被終端使用者看好，被認為更有價值。

 

由於雲服務“把自家寶貴財富委託給他人處置”的特徵，使用者所擔心的安全風險顯然要比以前資訊在自家處理（on-premises）的情形擴大了許多。。。。。。

 

為了有效保護雲使用者的資訊財產，雲安全問題需要由前端和後端共同來解決。從後端的角度考慮，由於不同層次的服務提供者允許使用者對後端資源的控制能力不同，這使得它們所面臨的安全問題也不一樣，所以每個層次的服務提供者需要使用不同的安全技術來保護自身的安全並滿足使用者的安全需求。同時前端也需要有效的安全方案來保護前端自身安全性以及和後端互動的安全性。

對於IaaS服務來說，它為使用者提供基礎架構服務，如虛擬資料中心VDC、虛擬機器器、虛擬網路等等[72]，它需要對大規模的分散式物理資源進行整合，使以前計算服務與物理資源間的緊耦合變成了鬆耦合，從而使計算與伺服器所在的位置無關。在這種場景下，資源的虛擬化是IaaS服務所使用的核心技術。所以我們根據IaaS服務的安全需求和特性，一方面從系統安全的角度，我們將討論虛擬機器的入侵檢測和防護技術、虛擬機器執行時的完整性保護技術、虛擬機器的隔離技術、虛擬機器映像檔案的安全保護以及虛擬機器的安全遷移技術；另一方面從網路管理的角度，我們還將討論後端的網路隔離技術、基於VPN的虛擬私有云技術以及前後端之間的網路安全技術。

對於PaaS服務來說，它使客戶能夠將自己建立的某類應用程式部署到服務端執行，並且允許客戶端對應用程式及其計算環境配置進行控制[72]。因為來自於客戶端的程式碼可能會是惡意的，如果PaaS服務暴露過多的介面，可能會給攻擊者帶來機會。比如，使用者可能會提交一段惡意程式碼，這段程式碼可能惡意搶佔CPU時間、記憶體空間和其它資源，也可能會攻擊其它使用者，甚至可能會攻擊提供執行環境的底層平臺。所以我們根據PaaS服務的安全需求和特性，將主要討論砂箱隔離技術和資料安全技術。

SaaS服務，在目前某些特定應用上率先發生的，如CRM、ERP、人力資源管理等成功用例上，它的主要做法是採用同一個軟體程式碼來處理不同使用者的私有資料來提供多租客服務，以獲得規模服務的低成本（Economies of Scale）。由於SaaS服務端暴露的介面相對有限並處於軟體棧的頂端，即系統安全許可權最低之處，它一般不會對其所處的軟體棧層次以下的更高系統安全許可權層次帶來新的安全問題。至於使用者私有資料在服務提供商處的安全保護問題，可以歸類到IaaS的安全問題。

然而，隨著SaaS技術的發展，安全本身作為服務(Security-aaS)也開始成為一種趨勢，這些由後端提供的安全服務可用於解決前端存在的一些安全問題。所以，我們將討論防毒軟體服務和防火牆作為服務。

無論前端平臺今後會變得有多瘦多薄多輕，雲端計算的目的畢竟是要讓終端使用者通過前端平臺來體驗資訊處理的服務結果。所以在前端平臺上也要做資訊處理，也有服務架構的體現。前端資訊處理平臺的安全保護也當然非常重要。所以我們還將討論在前端平臺上的安全問題和技術：如病毒控制、防火牆、入侵檢測、瀏覽器砂箱、系統升級管理、線上補丁、安全通道技術、客戶端平臺證明等等。

私有云（Private Cloud）指的是一個企業內部自用的雲端計算技術。私有云採用雲技術對企業的IT資源作整合以提高管理效益降低成本。由於是企業內部自用，私有云的安全問題是一個簡化了的問題，企業內部傳統使用的IT安全措施可以應用到私有云的保護上去。

公用雲（Public Cloud）是更具有公用服務（如水、電、燃氣服務）本質的雲技術。在公用雲的初期階段（如現階段），對資料安全問題不必太重視的使用者（如大量web電子郵箱使用者）在處理安全無關的應用或事物時會成為公用雲的主要使用者。

虛擬私有公用雲（Virtual Private Cloud）是一種既具有強安全保護又具有公用服務便利廉價性質的雲技術。虛擬私有公用雲可以從公用雲或私有云中虛擬出一塊私有云。解決其安全問題所需創新思路相比之私有云與公用雲要高出不少。我們將本章第7節介紹一個虛擬私有公用雲方面的研究課題。

本章下文結構如下：

第2節討論IaaS相關的安全技術，包括基礎設施的安全技術（2.1節）、資源虛擬化的安全技術（2.2節）、網路管理技術（2.3節）、基於雲的系統升級和補丁技術（2.4節）和防止內部攻擊的技術（2.5節）。

第3節討論PaaS相關的安全技術，它包括後端的隔離技術（3.1節）和資料安全技術（3.2節）。

第4節討論了SaaS相關的安全技術，其中包括SaaS本身的安全（4.1節）和安全作為服務（4.2節）。

第5節討論了前端的安全技術，包括基於後端集中管理的安全配置（5.1節）、安全的SaaS客戶端（5.2節）、安全通道技術（5.3節）和成員資格證明（5.4節）。

第6節討論了可信的雲端計算技術，它包括可信的虛擬化（6.1節）、可信的資料保護（6.2節）以及可信雲端計算架構（6.3節）。

第7節我們給出了一個實現雲端計算“行為規範”的研究案例（道里Daoli專案[69]），其中介紹了道里可信虛擬化體系結構（7.1節）和可信平臺的可驗證安全啟動技術（7.2節）。

第8節我們給出了結論。