云安全技术报告主要内容•云计算概述•云安全面临的挑战•国内外安全现状•云用户安全目标•云安全关键技术•云安全解决方案云计算简介•云计算(CloudComputing)是一种通过Internet以服务的方式提供动态可伸缩的虚拟化的资源计算模式。•云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,这些资源能够被快速提供,就像用水和电一样方便。•云计算(CloudComputing)是网格计算(GridComputing)、(分布式计算)(DistributedComputing)、并行计算(ParallelComputing)、效用计算(UtilityComputing)、网络存储(NetworkStorageTechnologies)、虚拟化(Virtualization)、负载均衡(LoadBalance)等传统计算机和网络技术发展融合的产物。四种部署模式云计算的基本架构•云计算包括以下几个层次的服务:基础设施即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)。云安全面临的挑战•挑战1:建立以数据安全和隐私保护为主要目标的云安全技术框架•要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以及多租户共享运营模式对数据安全与隐私保护带来的挑战。体现在以下几个方面:•云计算服务计算模式所引发的安全问题•云计算的动态虚拟化管理方式引发的安全问题•云计算中多层服务模式引发的安全问题•挑战2:建立以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系•云计算安全标准要支持广义的安全目标•云计算安全标准要支持用户描述其数据安全保护目标、指定其所属资产安全保护的范围和程度•还应支持用户、尤其是企业用户的安全管理需求,如•分析查看日志信息、搜集信息•了解数据使用情况•展开违法操作调查等。•云计算安全标准应支持对灵活、复杂的云服务过程的安全评估。•传统意义上,对服务商能力的安全风险评估方式:•通过全面识别和分析系统架构下威胁和弱点及其对资产的潜在影响来确定其抵抗安全风险的能力和水平。•在云计算环境下,服务方式将发生根本性的变化:•云服务提供商可能租用其他服务商提供的基础设施服务或购买多个服务商的软件服务,根据系统状况动态选用。•挑战3:建立可控的云计算安全监管体系•实现基于云计算的安全攻击的快速识别、预警与防护•在云计算环境下,如果黑客攻入了云客户的主机,使其成为向云服务提供商发动DDoS攻击的一颗棋子,那么按照云计算对计算资源根据实际使用付费的方式,这一受控客户将在并不知情的情况下,为黑客发起的资源连线偿付巨额费用。•与以往DDoS攻击相比,基于云的攻击更容易组织,破坏性更大。•实现云计算内容的监控•云计算所具有的动态性特征使得建立或关闭一个网络服务较之以往更加容易,成本代价更低。因此,很容易以打游击的模式在网络上迁移,使得追踪管理难度加大,对内容监管更加困难。•如果允许其检查,必然涉及到其他用户的隐私问题。•另外,云服务提供商往往具有国际性的特点,数据存储平台也常跨越国界,将网络数据存储到云上可能会超出本地政府的监管范围,或者同属多地区或多国的管辖范围,而这些不同地域的监管法律和规则之间很有可能存在着严重的冲突,当出现安全问题时,难以给出公允的裁决。国内外云安全技术现状•Sun公司发布开源的云计算安全工具,可为Amazon的EC2,S3以及虚拟私有云平台提供安全保护•工具包括OpenSolarisVPC网关软件,能够帮助客户迅速和容易地创建一个通向Amazon虚拟私有云的多条安全的通信通道;•为AmazonEC2设计的安全增强的VMIs,包括非可执行堆栈,加密交换和默认情况下启用审核。•云安全盒(Cloudsafetybox)•使用类AmazonS3接口,自动对内容进行压缩、加密和拆分,简化云中加密内容的管理。•微软为云计算平台Azure设计的Sydney的安全计划•帮助企业用户在服务器和Azure云之间交换数据,以解决虚拟化、多租户环境中的安全性。•可信云体系架构•EMC,Intel,Vmware等公司联合宣布了一个“可信云体系架构”的合作项目,提出了一个概念证明系统。•该架构采用Intel的可信执行技术(TrustedExecutionTechnology)、VMware的虚拟隔离技术、RSA的enVision安全信息与事件管理平台等技术相结合,以此构建从下至上值得信赖的多租户服务器集群。•开源云计算平台Hadoop安全版本•引入Kerberos安全认证技术,对共享商业敏感数据的用户加以认证与访问控制,阻止非法用户对HadoopClusters的非授权访问。云用户安全目标•数据安全•保护涉及用户数据生命周期中创建、存储、使用、共享、归档、销毁等各个阶段,同时涉及到所有参与服务的各层次云服务提供商。•隐私保护•防止云服务商恶意泄露或出卖用户隐私信息,或者对用户数据进行搜集和分析,挖掘出用户隐私数据。云安全关键技术•可信访问控制•在云计算模式下,如何通过非传统访问控制类手段实施数据对象的访问控制是关键,这就是可信访问控制问题。有如下的方法:•基于密码学方法实现访问控制,包括:基于层次密钥生成与分配策略实施访问控制的方法;利用基于属性的加密算法(如密钥规则的基于属性加密方案KP-ABE,或密文规则的基于属性加密方案CP-ABE);基于代理重加密的方法;在用户密钥或密文中嵌入访问控制树的方法等。•权限撤销。基于密码类方案的一个重要问题是权限撤销,一个基本方案是为密钥设置失效时间,每隔一定时间,用户从认证中心更新私钥;或对其加以改进,引入了一个在线的半可信第三方维护授权列表,基于用户的唯一ID属性及非门结构,实现对特定用户进行权限撤销。•密文检索与处理•数据变成密文时丧失了许多其他特性,导致大多数数据分析方法失效。密文检索有两种典型的方法:•基于安全索引的方法。通过为密文关键词建立安全索引,检索索引查询关键词是否存在。•基于密文扫描的方法。通过对密文中每个单词进行比对,确认关键词是否存在,以及统计其出现的次数。•密文处理研究主要集中在秘密同态加密算法设计上。•IBM研究员Gentry利用“理想格(Ideallattice)”的数学对象构造隐私同态(Privacyhomomorphism)算法,也称全同态加密,可以充分地操作加密状态的数据,在理论上取得了一定突破。使相关研究重新得到研究者的关注,但目前与实用化仍有很长的距离。•数据存在与可使用性证明•由于大规模数据所导致的巨大通信代价,用户不可能将数据下载后再验证其正确性。因此,云用户需在取回很少数据的情况下,通过某种知识证明协议或概率分析手段,以高置信概率判断远端数据是否完整。典型的工作包括:•面向用户单独验证的数据可检索性证明(POR)方法、公开可验证的数据持有证明(PDP)方法。•NEC实验室提出的PDI(Provabledataintegrity)方法,改进并提高了POR方法的处理速度以及验证对象规模,且能够支持公开验证。•其他典型的验证技术包括:基于新的树形结构MACTree的方案;基于代数签名的方法;基于BLS同态签名和RS纠错码的方法等。•数据隐私保护•云中数据隐私保护涉及数据生命周期的每一个阶段。典型的工作包括:•Roy等人将集中信息流控制(DIFC)和差分隐私保护技术融入云中的数据生成与计算阶段,提出了一种隐私保护系统Airavat,防止Mapreduce计算过程中非授权的隐私数据泄露出去,并支持对计算结果的自动除密。•差分隐私保护是诞生于2006年的一种数据隐私保护新方法,通过添加噪声使数据失真,从而起到保护隐私的目的。•在数据存储和使用阶段,有研究者提出了一种基于客户端的隐私管理工具,提供以用户为中心的信任模型,帮助用户控制自己的敏感信息在云端的存储和使用。•Munts-Mulero等人讨论了现有的隐私处理技术,包括K匿名、图匿名以及数据预处理等,作用于大规模待发布数据时所面临的问题和现有的一些解决方案很有效。•K-匿名是数据发布时保护私有信息的一种重要方法。K-匿名技术是1998年由Samarati和Sweeney提出的,它要求发布的数据中存在一定数量(至少为K)的在准标识符上不可区分的记录,使攻击者不能判别出隐私信息所属的具体个体,从而保护个人隐私。K-匿名通过参数K指定用户可承受的最大信息泄露风险。K-匿名化在一定程度上保护了个人的隐私,但同时会降低数据的可用性。因此,K-匿名化的研究工作主要集中在保护私有信息的同时提高数据的可用性。•Rankova等人提出一种匿名数据搜索引擎,可以使得交互双方搜索对方的数据,获取自己所需要的部分,同时保证搜索询问的内容不被对方所知,搜索时与请求不相关的内容不会被获取。•虚拟安全技术•虚拟技术是实现云计算的关键技术。使用虚拟技术的云架构提供者必须向其客户提供安全性和隔离保证。典型的工作包括:•Santhanam等人提出了基于虚拟机技术实现的Grid环境下的隔离执行机。•Raj等人提出了通过缓存层次可感知的核心分配,并给缓存划分的页染色的两种资源管理方法实现性能与安全隔离。这些方法在隔离影响一个VM的缓存接口时是有效的,并整合到一个样例云架构的资源管理(RM)框架中。•部分研究者还重点研究了虚拟机映像文件的安全问题。即对每一个映像文件对应一个客户应用,它们必须具有高完整性,且可以安全共享的机制。所提出的映像文件管理系统实现了映像文件的访问控制、来源追踪、过滤和扫描等,可以检测和修复安全性违背问题。•云资源访问控制•在云计算环境中,各个云应用属于不同的安全管理域,每个安全域都管理着本地的资源和用户。•当用户跨域访问资源时,需在域边界设置认证服务,对访问共享资源的用户进行统一的身份认证管理。•在跨多个域的资源访问中,各域有自己的访问控制策略,在进行资源共享和保护时必须对共享资源制定一个公共的、双方都认同的访问控制策略,因此,需要支持策略的合成。•具体的方法有:•Mclean在强制访问控制框架下,提出了一个强制访问控制策略的合成框架,并将两个安全格合成一个新的格结构。策略合成的同时还要保证新策略的安全性,新的合成策略不能违背各个域原来的访问控制策略。•Gong提出了自治原则和安全原则。•Bonatti提出了一个访问控制策略合成代数,基于集合论使用合成运算符来合成安全策略。•Wijesekera等人提出了基于授权状态变化的策略合成代数框架。•Agarwal构造了语义Web服务的策略合成方案。•Shafiq提出了一个多信任域RBAC策略合成策略,侧重于解决合成的策略与各域原有策略的一致性问题。•可信云计算•将可信计算技术融入云计算环境,以可信方式提供云服务已成为云安全研究领域的一大热点。•Santos等人提出了一种可信云计算平台TCCP,基于此平台,IaaS服务商可以向其用户提供一个密闭的箱式执行环境,保证客户虚拟机运行的机密性。•应允许用户在启动虚拟机前检验Iaas服务商的服务是否安全。•Sadeghi等人提供了可信的软件和硬件以及证明自身行为可信的机制,可以被用来解决外包数据的机密性和完整性问题。•同时,他们还设计了一种可信软件令牌,将其与一个安全功能验证模块相互绑定,以求在不泄露任何信息的前提下,对外包的敏感(加密)数据执行各种功能操作。云数据中心安全框架系统加固–基础设施安全在业务节点、管理节点和用户\管理Portal等不同组件采取业界的安全工具来实现系统加固,保证基础设施的安全性。集中补丁管理–基础设施安全防病毒总体解决方案–基础设施安全二层网络安全和隔离–网络安全VPC全用户数据传输安全–网络安全集中日志管理–管理安全VM资源隔离–虚拟化安全VM安全组隔离–虚拟化安全虚拟防火墙–虚拟化安全块存储数据安全–数据安全对象存储数据存储安全–数据安全NC终端安全管理解决方案终端安全管理(TSM,TerminalSecurityManagement)解决方案,从接入网络的终端安全控制入手,将终端安全状况和网络准入控制结合在一起,通过检查、隔离、加固和审计等手段,加强网络用户