正确理解云安全

正确理解云安全

Understanding Cloud Computing Security

中软通用产品研发中心 陈尚义

Shangyi Chen, General Product R&D of CSS

 

内容摘要：伴随着云计算的快速增长，云安全问题逐步成为挑战。然而，人们对云安全问题的认识普遍存在误解。本文首先介绍云安全的本质，接着澄清人们对云安全的几个错误认识，最后介绍云安全面临的挑战。

 

关键词：安全，误解，云计算，云服务

 

Abstract: Could computing is growing rapidly and cloud security is going to be a big challenge. However there are many misconceptions about cloud computing security and many people don’t understand the security issues properly. This paper will discuss several misconceptions after introducing the essence of security. At the end of this paper, the main challenges of cloud computing will be followed.

 

Key words: Security, misconception, cloud computing, cloud service

 

 

 

1 概述

 

当今时代，我们面临两大问题，一方面IT和安全开支不断缩减，将IT部分运维业务外包到“云”服务提供商那里是一种极大的诱惑；另一方面，安全性（Security）和合规性（Compliance）要求在不断提高，安全性方面的压力在增加，特别是如果我们将某些IT业务放到云里，安全问题更是未知数。很无奈，我们只有被动接受这一切，诱惑和压力并存。

我们在权衡利弊，想以较少的代价完成更多更复杂的IT任务、承担更多数据安全方面的责任，特别是中小企业，更是如此。在一些情况下，这也许意味着外包出一些IT运维，财力和人力的开支就会减少。

云安全问题就随之而来。但是，一，对如何保证云服务以及这些服务所处理的数据的安全，似乎缺少了足够的关注，RSA最新的研究发现了这一点[3]；二，很多人对云安全问题多有模糊认识和误解之处。如云安全本质究竟是什么？很多人错误地认为：把IT业务交给云服务提供商之后，就不必再对数据的安全负责了；不验证云服务提供商的安全、没有诊断云提供商的商业生存能力，就把IT业务交给云服务提供商；将不安全的应用系统原封不动地搬到云里，希望它们自动变得安全。

这篇文章首先介绍作者本人对云安全本质的认识，然后介绍几种常见的对云安全的误解，最后讨论云安全面临的挑战。

 

2 云安全的本质[1]

人们常把云计算服务比喻成自来水公司提供的供水服务。原来每个家庭和单位自己挖水井、修水塔，自己负责水的安全问题，例如避免受到污染，防止别人偷水等等。

从这个比喻当中，我们窥见了云计算的本质：云计算只不过是服务方式的改变！自己开发程序服务于本单位和个人，是一种服务方式；委托专业的软件公司开发软件满足其自身的需求也是一种方式；随时随地享受云中提供的服务，而不关心云的位置和实现途径，是一种到目前为止最高级的服务方式。

从这个比喻当中，我们还看出云安全的本质。就象我们天天使用的自来水一样，我们究竟要关心什么安全问题呢？第一，我们关心自来水公司提供的水是否安全，自来水公司必然会承诺水的质量，并采取相应的措施来保证水的安全。第二，用户本身也要提高水的使用安全，自来水有多种，有仅供洗浴的热水，有供打扫卫生的中水，有供饮用的水，等等，例如，不能饮用中水，要将水烧开再用，不能直接饮用，这些安全问题都是靠用户自己来解决。还有，第三个关于云的安全问题是，用户担心别人会把水费记到自己的帐单上来，担心自来水公司多收钱。

和自来水供应一样，云计算的安全问题也大致分为以下几个方面。第一方面，云计算的服务提供商他们的网络是安全的吗，有没有别人闯进去盗用我们的帐号？他们提供的存储是安全的吗？会不会造成数据泄密？这些都需要云计算服务提供商们要解决、要向客户承诺的问题。就象自来水公司要按照国家有关部门法规生产水一样，约束云计算的服务提供商的行为和技术，也一定需要国家出台相应的法规。第二方面，客户在使用云计算提供的服务时也要注意：在云计算服务提供商的安全性和自己数据的安全性上做个平衡，太重要的数据不要放到云里，而是藏在自己的保险柜中；或将其加密后再放到云中，只有自己才能解密数据，将安全性的主动权牢牢掌握在自己手中，而不依赖于服务提供商的承诺和他们的措施。第三方面，客户要保管好自己的帐户，防止他人盗取你的帐号使用云中的服务，而让你埋单。

不难看出，云计算所采用的技术和服务同样可以被黑客利用来发送垃圾邮件，或者发起针对下载、数据上传统计、恶意代码监测等更为高级的恶意程序攻击。所以，云计算的安全技术和传统的安全技术一样：云计算服务提供商需要采用防火墙保证不被非法访问；使用杀病毒软件保证其内部的机器不被感染；用入侵检测和防御设备防止黑客的入侵；用户采用数据加密、文件内容过滤等防止敏感数据存放在相对不安全的云里。

与传统安全不一样的地方，是随着服务方式的改变，在云计算时代，安全设备和安全措施的部署位置有所不同；安全责任的主体发生了变化。在自家掘井自己饮用的年代，水的安全性由自己负责，在自来水时代，水的安全性由自来水公司作出承诺，客户只须在使用水的过程中注意安全问题即可。原来，用户自己要保证服务的安全性，现在由云计算服务提供商来保证服务提供的安全性。

 

3 对云安全的几个错误理解

完全依赖云计算在安全上是危险的，认为云不安全就完全放弃云计算，同样也是不可取的。正确认识云安全，对我们决定将什么样的业务放在云里，以减低成本、提高效率、增强安全性，有着重要意义。不幸的是，根据调查，我们发现人们对云安全普遍存在误解或错误做法[4]：

l  云没有你现有的数据中心安全；

l  不验证或测试云服务提供商的安全，就把IT业务放到云里；

l  没有诊断提供商的商业生存能力，就与云服务提供商签定合同；

l  把它交给服务提供商之后，就没必要再对数据的安全负责；

l  将不安全的应用系统原封不动地搬到云里，它们自动变得安全；

 

错误1：认为云没有你现在的数据中心安全

控制得越多越安全。这对安全专业人员来讲是很自然的。他们对公司的数据和知识产权安全负责，总希望取得更多的控制权需。但是，这有时侯会导致一个关于云计算的错误的印象。一个常见的错误是：一提起云计算，就认为它没有自己的IT运维更安全。要知道，控制得多，不一定就更安全。道理很简单，你子家掘的井，你拥有了100%的控制权，它的水比自来水公司的更安全吗？

事实上，很多云服务提供商提供很专业很规范的安全保障。像Google SaaS那样的服务，数据泄露的可能性更小，因为信息没有存储在容易丢失的U盘和CD里，任何时候任何地点都可以访问到。

很多攻击来自于补丁管理缺失和服务器的配置失当。Google的安全补丁比传统的企业更先进，因为它的服务器架构是同一的。对于Google，如需打补丁，他们可以跨整个平台、以同样的方式这样做。

SaaS和其它云服务提供商有更全球化的视野。作为一个企业，你仅看到一个侧面而已，一个云服务提供商有规模经济的整体优势，云服务改变安全模式，而且做得更好。

但是，这不是说你应该盲目地信任云服务提供商，虽然有几家大的供应商由于其规模很大、比较好地处理了安全问题。这些人在更高、更复杂的层次上处理安全问题，比起你的IT团队来得更专业。说云安全一定不行、云安全一定存在很多问题，是个误解。

云安全问题是云服务推广的重要障碍。比起技术能力，对云安全性的怀疑，更成为云服务推广的障碍。但云可以在很多时候比起私有的环境更加安全，就像自来水公司可以保证水的安全一样。

 

错误2：不验证、测试或审计云服务提供商的安全性

         如果有选择，你会调查你所在的城市或社区哪家的自来水更安全。

当你选择云服务提供商的时候，不要想当然地认为它的安全性。一定要验证他们是如何保证你的数据和他们自己的基础设施的安全的。简单地信任是错误的。你一定要验证和审计他们，或者请第三方来审计他们。

对于有些云服务提供商来说，这个问题有可能来得不是那么直接。第一，不是所有的云计算公司在安全措施和服务上都是现成的，他们可能根据你的需要即时开发（或部署）一些安全措施。第二，有些公司不能很好地表达自己，说不清楚云中的数据中心是怎么被保护的。并不是云服务提供商没有更好的安全性，有的时候是没有解释清楚。云服务提供商需要做更多、更好的工作，以解释如何控制系统和数据，并让人们感到信服。

验证云服务提供商，确信他们以安全的方式将你的系统和数据隔离开来。凭空认为虚拟机是被隔离的，是非常错误的做法。例如，你的应用可能运行在一个物理服务器上，这个服务器上有100个虚拟机，而云服务提供商没有将之合理地分离，或者IO地址没有被防火墙隔离。

如果你们公司的IT团队不够专业水准，也可以让一个信得过的第三方来验证云服务提供商的安全性，代表你们与云服务提供商谈判，到现场去测试和验证。一般地，云服务提供商业会整理出书面文字，说明他们是如何将客户分离的，这样一来，云供应商的安全性就可以直截了当地验证出来。

怎样确认虚拟机是被保护的呢？你可以运行一个端口扫描软件，确认你不能进入另一个客户的机器，就说明你的虚拟机是受到隔离保护的。

如果云计算服务提供商为它所承诺的安全和隐私做好了准备，随时可用，这就是好的信号，就是他们对安全能力的信心表达。如果他们不想谈这个问题，这将是个不好的信号。

以Google为例，在过去的几年中，已经提供更为详细的关于它的SaaS的安全性的说明，包含在他们的白皮书里。这也许没有出现在他们的主页上，你也许不必签定DNS协议，也不必面谈，但这是在安全性上的信心表现。

同时，云计算提供了一个很好的机会将数据安全移植到云安全中，因为，云计算提供商最有能力选择最好的安全技术，将之应用到云里。

 

错误3：不过问云提供商的商业生存能力

在没有确认云提供商的商业生存能力之前，不能盲目信任一个云提供商。如果你选择的提供商明天就消失了，你怎么办？这不是耸人听闻，美国Texas州就有那么一个宿主提供商因为将其中的一台计算机用于非法目的，遭到了美国FBI调查，数据中心遭到查封，计算机被没收。一台计算机给这家公司带来如此巨大的灾难，我们要为最坏的情况做打算。比方说，云服务提供商保留医疗记录的备份，即使遭受灾难，也可以正常营业。你还要调查云服务提供商有无灾难恢复计划，这对一个小的云服务提供商是一个挑战。

更大的挑战还是安全问题。到目前为止，企业还是将那些非关键性的应用系统放到云里，如电子邮件，因为这个，企业受到破坏的风险还不大。

 

错误4：一旦业务交给了云，你不必再对数据的安全性负责任

不要这么认为：将你的应用系统交给了云，就意味着你对数据的安全性放任不管，没有责任。这个误解普遍存在于中小企业。将你的数据保护转移到云服务提供商并不意味着当数据遭到破坏你就没有责任，试想，正是你的公司（不是别人）要对数据负责。当灾难来临时，是你的CEO面临进监狱的风险，而不是云服务提供商。

管理严格的公司绝大多数都认识到这一点。作为数据的拥有者，如果你对你客户是忠诚的，你时刻都要负责任。

即使在云服务提供商遭到黑客攻击，企业也要保持责任心。这里有一个典型的例子。一家企业外包出公司的健康保险信息到一个海外的服务提供商。云遭到了黑客攻击，但是这家企业仍不得不向他们的客户承认数据丢失，是该企业（而不是云服务提供商）买单。

只要你是服务的代表作者，你就不可以放弃责任。

 

错误5：将不安全的应用放到云里，期望云让它们更安全

将一个老IT系统，里面有很多带缺陷的、未打补丁的应用放到云里，是不会自动变得更加安全的。没有人会为你修复这些问题。不要期望奇迹会发生。

关键是要很好地为这个过渡准备你的应用系统和数据。如果你选择了合适的云服务提供商、外包出合适的运营业务、计划合理，那么云计算可以为你提供更好的安全和管理。对那些还没有实行数据合理控制的单位，这是一个巨大的挑战。

很多企业不是你想象的那样，具有足够的安全意识。Gartner研究报告最近披露，60%的企业还在使用较早的、漏洞较多的浏览器IE6。这让人觉得很吃惊。

的确，一个不安全的应用系统，如果放在云里，可能得到稍微多一点的安全保护，即使这样，一个在安全上设计得很糟糕的应用系统仍然还是漏洞百出的。它毕竟是不安全的应用系统，被它访问的任何数据都有可能被盗窃。事项，如果有人去攻击这样的应用，用它作为僵尸，因为在云里，你的IDS无法将它们检测出来。

 

4 云安全面临的挑战[2]

用户普遍担心云里的应用是否安全，担心其安全性是否符合有关规定（Compliance）。云服务供应商直接面临着压力：他们既要在云里开发应用系统，又要保证这些应用是安全的。即使云里的数据是真正安全的，也无法证明这一点。云服务供应商说他们的数据是安全的，用户会相信吗？谁去证明它的确是安全的？这是云安全面临的最大挑战。

事实上，云服务提供商没有手段来保证其安全性合乎政府规定；他们没有手段满足与安全有关的合规性。有些云服务提供商就公开宣称，他们不打算满足合规性要求。这样，在必须满足政府法令来保护数据的领域，云服务提供商就少了很多机会。

问题远不止这么简单。每个使用云服务的客户，如涉及到敏感数据，一定要遵守他们所在地的规定。但各个地方的规定不尽相同，如美国和中国对数据的安全性要求就不一样，即使在美国，各个州的要求都不一样。这就意味着，数据存储、传输途中经过的每个地方，其政府部门都可以出台规定，确定数据如何保护。怎么可能要求一个云服务提供商对所有地方性的要求都做出回应呢？

使用云计算，就是使用虚拟技术。使用者往往愿意将数据和计算搬到最便宜或最适合的地方去，例如电力便宜的偏远农村地区。记住，当宣传云计算时，我们挂在嘴边的一句话就是：无论何时何地都可以享受云服务，你也不必知道云在哪里。但是，你有没有想过，不知道云在哪里，你怎么有办法知道你数据在什么地方、这些数据是如何被保护的？怎么知道还有其它什么数据和应用也在同样的物理主机上（但在不同虚拟机上）运行？事实上，你的云服务提供商都可能不知道，你的审计者也未必知道。

云是共享的，在云里，应用系统之间是没有物理划分的。可是我们知道，很多安全性考虑都是基于系统之间有物理边界这样一个事实。但在云里，我们做不到这一点。

 

5结语

云计算存在很多安全问题，到目前位置尚未取得人们的信任，有些问题尚无定论，但决不意味着我们无所作为。已经有许多例子，如测试、开发、beta测试，这些并不要求合规的应用可以放到云里；工作流，没有合规性要求的数据目录等，也能放到云里。有很多应用可以走向云世界。

什么可以、什么不可以放在云里，这是各企业自己的决策。每个应用都是不同的，而且每个应用都有一些特点，这些特点决定了它们能不能放到云里。如果要在安全性和云计算的高效性方面做个折衷，那么部署私有云是个途径。私有云部署在企业的防火墙之内，可以保证安全和合规。如美国国防部，就是最大的私有云的使用者。

所幸，云提供商没有拒绝考虑安全。

 

参考文献：

[1] 陈尚义，“浅谈云计算的安全问题”，《计算机安全》，2009

[2] Wayne Rash，“Is Cloud Computing Secure? “,  http://www.eweek.com/c/a/Cloud-Computing/ 2009

[3] Sumner Lemon , “Cloud Computing Not Secure Enough” http://www.cio.com/article/ 2009

[4] Kelly Jackson Higgins, “The 6 Worst Cloud Security Mistakes”, http://www.darkreading.com/securityservices/security/management/ 2009