分布式計算、云計算與大數(shù)據(jù) 第2版 課件 第8章 云計算安全技術與標準

第8章云計算安全技術與標準提綱8.1 云計算安全的概念與現(xiàn)狀分析8.2 云計算安全技術8.3 云計算技術標準云計算安全的概念云計算安全（cloudcomputingsecurity），也簡稱為云安全（cloudsecurity），是一個演化自計算機安全、網(wǎng)絡安全甚至是更廣泛的信息安全的子領域，而且還在持續(xù)發(fā)展中。云安全是指一套廣泛的政策、技術與被部署的控制方法，用來保護資料、應用程序與云計算的基礎設施。注意：這里的云安全（云計算安全）與“基于云”（cloud-based）的安全軟件（安全即服務，securityasaservice）不是一個概念！云計算安全的概念對于云安全一詞，目前還沒有明確的定義。但是，可以從兩方面來理解云安全。第一，云計算本身的安全通常稱為云計算安全，主要是針對云計算自身存在的安全隱患，研究相應的安全防護措施和解決方案，云計算安全是云計算健康可持續(xù)發(fā)展的重要前提。第二，云計算在信息安全領域的具體應用稱為安全云計算，主要利用云計算架構、采用云服務模式，實現(xiàn)安全的服務化或者統(tǒng)一安全監(jiān)控管理。這里主要關注的是云計算安全技術，它包括兩個方面：1.用戶的數(shù)據(jù)隱私保護；2.針對傳統(tǒng)互聯(lián)網(wǎng)和硬件設備的安全。云計算安全與傳統(tǒng)安全的異同相同點：安全目標相同：云安全和傳統(tǒng)安全的目的都是保護信息、數(shù)據(jù)的安全和完整。系統(tǒng)資源類型相同：云計算和傳統(tǒng)計算使用的系統(tǒng)資源類型相同，都包括計算、網(wǎng)絡、存儲三類資源，云計算和傳統(tǒng)計算都基于這三類資源進行安全防護?；A安全技術相同：云安全和傳統(tǒng)安全使用的加解密技術、安全基礎設施的類型相同，云安全依然需要防火墻、IDS/DPI/IPS等基本防護手段。云計算特有的安全問題：云計算服務模式導致的信任問題集中管理的數(shù)據(jù)安全問題虛擬化環(huán)境下的技術及管理問題公開的基礎設施帶來的安全威脅*5云計算安全現(xiàn)狀分析云計算發(fā)展到今天，其概念、技術層次、架構體系逐漸清晰，逐漸形成了完整的產(chǎn)業(yè)鏈結構，但是在云計算的安全方面仍然存在較大的問題。McAfee一項2017年的調(diào)查顯示，83%的用戶將敏感數(shù)據(jù)存儲在云上，四分之一的企業(yè)用戶有過公有云數(shù)據(jù)被盜的經(jīng)歷，五分之一的企業(yè)公有云基礎設施受到過攻擊。總之，云計算服務從誕生的那一天起，頻頻出現(xiàn)一些安全事件，即使是業(yè)界實力強勁的領先企業(yè)，也難免遭受威脅的攻擊。一些重要的云計算安全事件2009年2月24日，谷歌的Gmail電子郵箱爆發(fā)全球性故障，服務中斷時間長達4小時。針對這一事件，谷歌向企業(yè)、政府機構和其他付費GoogleAppsPremierEdition客戶提供15天免費服務，補償服務中斷給客戶造成的損失，每人合計2.05美元。2011年4月21日凌晨，亞馬遜爆出了史上最大的停機事件。亞馬遜公司在北弗吉尼亞州的云計算中心宕機，導致亞馬遜云服務中斷持續(xù)了近4天。2018年6月27日，阿里云出現(xiàn)運維失誤，導致一些客戶訪問阿里云官網(wǎng)控制臺和使用部分產(chǎn)品功能出現(xiàn)問題，受影響的范圍包括阿里云官網(wǎng)控制臺，以及MQ、NAS、OSS等產(chǎn)品功能。2021年6月8日，云計算公司Fastly修改了一項服務配置，導致使用該公司CDN服務的網(wǎng)站崩潰約1小時，其中包括GitHub、谷歌、亞馬遜、Reddit、推特、eBay等?！?7制約云計算發(fā)展的安全因素*8目前來說制約云計算發(fā)展的安全因素主要源于技術、管理和法律三個方面。技術方面云計算系統(tǒng)龐大，發(fā)生故障時，如何快速定位故障、無縫自動切換到備用系統(tǒng)成為挑戰(zhàn)。傳統(tǒng)的基于物理安全邊界的防護機制難以有效保護基于共享虛擬化環(huán)境下的用戶應用及信息安全?，F(xiàn)有基礎設施無法滿足云計算的需求，例如現(xiàn)有交換設備、安全設備和網(wǎng)絡設備可能無法滿足內(nèi)外之間大流量的處理要求。服務器虛擬化后帶來的安全隱患，包括網(wǎng)絡架構改變引起的使用風險、虛擬機溢出導致虛擬機失去安全系統(tǒng)的保護、虛擬機遷移以及虛擬機間通信導致服務器更容易遭受滲透攻擊等。管理方面用戶與服務提供商之間在安全界面上難以達成一致，安全責任不清。云計算平臺可能被惡意利用，給安全監(jiān)管帶來挑戰(zhàn)。云計算數(shù)據(jù)管理權與所有權分離，高權限管理員的權限容易被濫用。安全防御兩極分化，大公司對安全比較重視，而中小型公司由于業(yè)務量不多并且能力有限，基本無安全防御能力。法律方面多租戶、虛擬化、分布式存儲等特點給司法取證帶來挑戰(zhàn)。云計算應用具有地域性弱、信息流動性大的特點，在政府信息安全監(jiān)管、隱私保護等方面可能存在法律差異與糾紛。云計算數(shù)據(jù)管理權與所有權分離，高權限管理員的權限容易被濫用。知識產(chǎn)權部門對云計算中的操作方法、軟件邏輯構思、功能設計不予保護，從而使得版權保護模式和內(nèi)容依云計算服務模式的不同而有所不同。制約云計算發(fā)展的安全因素企業(yè)的擔憂智能交通燈系統(tǒng)IDC在2009年底發(fā)布的一項調(diào)查報告顯示，云計算服務面臨的前三大市場挑戰(zhàn)分別為服務安全性、穩(wěn)定性和性能表現(xiàn)。2009年11月，F(xiàn)orresterResearch公司的調(diào)查結果顯示，有51%的中小型企業(yè)認為安全性和隱私問題是它們尚未使用云服務的最主要原因。2011年IDC調(diào)查結果（圖8-1）顯示，76%的受訪企業(yè)認為，是否投資建立云數(shù)據(jù)中心，安全性成為首要業(yè)務驅(qū)動因素。由此可見，要讓企業(yè)和組織大規(guī)模應用云計算技術與平臺，放心地將自己的數(shù)據(jù)交付于云服務提供商管理，就必須全面分析并著手解決云計算所面臨的各種安全問題。各方的努力智能交通燈系統(tǒng)雖然云計算安全面臨著嚴峻的考驗，但各方也在致力于改善當前云計算的種種難題。云提供商致力于提升云計算的安全水平，通過自身評估與第三方工具，例如CSASTAR項目、DIACAP認證，以及FedRAMP認證項目等方式評估云提供商的通用安全水準；各大企業(yè)、研究機構也在積極推進安全技術的研發(fā)，使云安全技術日漸成熟；國內(nèi)外大量標準化組織也參與到云計算標準的制定工作中，并且發(fā)布了大量標準草案，涵蓋云計算相關技術、服務、安全等各個領域，為云計算的規(guī)范化起到了一定的指導作用。后續(xù)將從云計算安全技術和云計算技術標準兩個方面進行介紹。提綱8.1 云計算安全的概念與現(xiàn)狀分析8.2 云計算安全技術8.3 云計算技術標準云計算安全技術云計算本質(zhì)上是物理的機器集群，因此云安全是傳統(tǒng)安全技術的延續(xù)，但因為云計算環(huán)境具有大規(guī)模、高動態(tài)、不可信、分布式等特點，所以某些方面的技術對云安全來說尤為重要，并且在云環(huán)境下一些傳統(tǒng)技術有了新的發(fā)展。對于不同的云安全組織及公司，云計算安全技術的關注點有所不同，如表8-1所示。云安全聯(lián)盟（CloudSecurityAlliance，CSA）從云服務模式（IaaS、PaaS、SaaS）角度提出了一個云計算安全技術體系框架，該框架描述了三種基本云服務的層次及其依賴關系，并實現(xiàn)了從云服務模式到安全控制框架的映射，如圖8-2所示。云計算安全技術體系框架圖8-2云安全聯(lián)盟云計算安全技術體系框架從圖8-2可以看出，對于不同的云服務模式（IaaS、PaaS、SaaS），安全關注點是不一樣的。當然，有些是這三種模式共有的，如數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問管理、安全事件管理、業(yè)務連續(xù)性等。（1）IaaS層安全IaaS涵蓋從機房設備到硬件平臺的所有基礎設施資源層面，它包括將資源抽象化的能力，并交付到這些資源的物理或邏輯網(wǎng)絡連接，終極狀態(tài)是IaaS提供商提供一組API，允許用戶管理基礎設施資源以及進行其他形式的交互。IaaS層安全主要包括物理與環(huán)境安全、主機安全、網(wǎng)絡安全、虛擬化安全、接口安全，以及數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問管理、安全事件管理、業(yè)務連續(xù)性等。云計算安全技術體系框架（2）PaaS層安全PaaS位于IaaS之上，用以與應用開發(fā)框架、中間件能力以及數(shù)據(jù)庫、消息和隊列等功能集成。PaaS允許開發(fā)者在平臺之上開發(fā)應用，開發(fā)的編程語言和工具由PaaS提供。PaaS層的安全主要包括接口安全、運行安全以及數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問管理、安全事件管理、業(yè)務連續(xù)性等。（3）SaaS層安全SaaS位于IaaS和PaaS之上，它能夠提供獨立的運行環(huán)境，用以交付完整的用戶體驗，包括內(nèi)容、展現(xiàn)、應用和管理能力。SaaS層的安全主要是應用安全，同樣也包括數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問管理、安全事件管理、業(yè)務連續(xù)性等。云計算安全技術體系框架身份認證技術身份認證是云安全防護的第一步，是系統(tǒng)審查用戶身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限。除傳統(tǒng)的HTTP認證外，針對云計算獨特的環(huán)境，還存在幾種身份認證技術。1.API調(diào)用源鑒定云服務商提供了大量API服務和資源訪問，對API進行鑒定可以幫助云服務商驗證API調(diào)用源的身份、防止數(shù)據(jù)篡改和重放攻擊等安全問題。鑒定API調(diào)用源身份的常用方法是訪問密鑰（accesskey），通常在用戶創(chuàng)建時由云服務商進行分配，用戶也可以為部署的應用請求分配訪問密鑰。訪問密鑰由訪問密鑰ID（accesskeyID）和秘密訪問密鑰（secretaccesskey）組成。在訪問API時，可以使用秘密訪問密鑰對API請求進行簽名，然后將訪問密鑰ID與API請求一起發(fā)送給API服務器，當服務器收到API請求后會根據(jù)訪問密鑰ID驗證秘密訪問密鑰是否正確。1.API調(diào)用源鑒定（續(xù)）訪問密鑰用于云內(nèi)部鑒定API調(diào)用，對于外部API調(diào)用（例如第三方調(diào)用）來說，可以使用開放授權（OpenAuthorization，OAuth）進行API調(diào)用源鑒定。第三方認證流程中一般包含以下角色?！褓Y源擁有者（resourceowner）：有權授予對保護資源訪問權限的實體，通常是應用的使用者，例如應用使用用戶●資源服務器（resourceserver）：存儲受保護資源的服務器，通常為云服務商提供的存儲服務器●客戶端（client）：需要使用受保護數(shù)據(jù)的第三方●認證服務器（authorizationserver）：服務提供商專門用來處理認證授權的服務器OAuth的流程如圖8-3所示。2.聯(lián)合身份認證技術在許多云計算使用場景下，用戶可能使用了云服務商提供的多個服務，因此為了防止用戶重復多次進行身份認證，云計算中普遍采用基于單點登錄的聯(lián)合身份驗證。單點登錄使用戶只需要一次登錄即可訪問所有互相信任的服務，而不需要為每個服務單獨進行身份認證，實現(xiàn)單點登錄的常見技術有SAML

和OpenID。安全斷言標記語言（SecurityAssertionMarkupLanguage，SAML）是一個基于XML的安全協(xié)議，用于在不同的安全域之間進行交換認證和授權數(shù)據(jù)。SAML中定義了身份提供者（IdentityProvider，IDP）和服務提供者（ServiceProvider，SP），當需要進行身份認證時，SP會向IDP發(fā)起驗證用戶身份的請求，隨后IDP將會要求用戶提供認證信息，一旦用戶被IDP認證以后，訪問其他在IDP注冊過的SP就可以直接登錄而不需要再進行身份認證。這個過程中，SP與IDP之間是不需要進行交互的。OpenID

是一個以用戶為中心的身份驗證框架，用戶需要預先在OpenID提供者（OpenIDProvider，OP）注冊一個統(tǒng)一身份標識符，當需要使用OpenID支持方（OpenIDRelyingPart，RP）的服務時，以該身份標識符而不是以傳統(tǒng)的用戶名和密碼進行身份認證，在RP收到該用戶的身份標識符后會與OP進行驗證確認。3.跨域身份認證JWT（JSONWebToken）是目前云環(huán)境中最流行的跨域認證解決方案，當用戶通過認證以后，服務器會給用戶簽發(fā)一個JWT，此后用戶都可以使用該JWT直接訪問受保護的資源。JWT將認證信息存儲在客戶端，從而大大減少了服務器跨域身份認證的開銷。4.多因素身份認證在從傳統(tǒng)身份認證向更高級的身份認證過渡的階段，許多企業(yè)采用多因素身份認證（Multi-FactorAuthentication，MFA）保證云環(huán)境的安全。多因素身份認證是一種通過犧牲便利性換取安全性的身份認證技術，它需要用戶提供多種認證憑證，這些認證憑證通常分為以下三類?！衩艽a：靜態(tài)密碼、動態(tài)令牌、手機驗證碼、郵箱驗證碼等?！裎锢碛布簬в忻芰畹腢盤、銀行卡、鑰匙等?！裆镒R別特征：指紋、聲紋、面部特征等。訪問控制技術訪問控制是云計算保證數(shù)據(jù)安全的重要機制，它只允許經(jīng)過授權的用戶訪問對應權限的數(shù)據(jù)，并防止非法用戶訪問受保護的網(wǎng)絡資源，如圖8-4所示。訪問控制技術雖然各大云提供商都支持傳統(tǒng)的訪問控制技術，如DAC、MAC、RBAC，但是傳統(tǒng)的訪問控制技術已不能滿足云計算的復雜場景，具體表現(xiàn)在以下方面:傳統(tǒng)的訪問控制構建在可信的邊界保護下形成的“安全域”，但是云計算中用戶不能完全控制自己的資源，“安全域”不適用于云環(huán)境。傳統(tǒng)的訪問控制屬于分散式管理模式，一臺云服務器上可能有多個主體和客體，需要有集中的訪問控制模型支持。傳統(tǒng)的訪問控制在設計上針對相對固定的權限分配，而云計算用戶種類眾多、層次復雜，各個角色擁有的權限可能頻繁變化。下面分別對不同類型的訪問控制技術進行介紹。1.基于任務的訪問控制基于任務的訪問控制（Task-BasedAccessControl，TBAC）是一種主動安全模型，它以工作流中的任務為中心。主動的安全管理方法會根據(jù)正在進行的任務動態(tài)地、實時地進行權限的管理，在這期間權限被不斷地監(jiān)測、激活和停用。此外，TBAC模型在很大程度上是自我管理的，它不需要人工地對各種主客體的權限進行配置，從而減少了與細粒度主客體安全管理有關的開銷。TBAC

最大的特點是使權限的授予、使用跟蹤和撤銷自動化，并與各種任務的進展相協(xié)調(diào)。因此TBAC非常適用于具有多個訪問、控制和決策點的分布式計算和信息處理活動。2.基于屬性的訪問控制基于屬性的訪問控制（Attribute-basedAccessControl，ABAC）是針對云計算高動態(tài)性開放網(wǎng)絡的訪問控制技術。ABAC將任何與安全相關的特征定義為屬性（attribute），在訪問控制的過程中主體和客體不直接交互，而是將每一個訪問控制中的元素描述為對應的屬性，從而根據(jù)屬性建立一個統(tǒng)一的訪問控制機制，這不僅降低了訪問控制的開銷，還允許ABAC應用于具有海量用戶的大規(guī)模訪問控制。2.基于屬性的訪問控制（續(xù)）與其他訪問控制模型不同的是，ABAC

還考慮了環(huán)境屬性，這是一種自定義的動態(tài)屬性，例如時間、地點、歷史、技術等信息。環(huán)境屬性使ABAC具有極高的靈活性，使其能夠根據(jù)復雜的場景細粒度地對資源訪問的權限進行配置。3.基于ABE的訪問控制基于ABE的訪問控制的主要出發(fā)點在于對云服務商的不信任，一個典型的場景是客戶端請求服務端存儲在云服務器上的共享數(shù)據(jù)，基于ABE的訪問控制可以實現(xiàn)在云服務器上僅僅存儲加密后的數(shù)據(jù)，并且密鑰的交換不需要通過云服務商。4.基于屬性加密的訪問控制基于屬性加密（Attribute-basedEncryption，ABE）是公鑰加密和基于身份加密（Identity-basedEncryption，IBE）的一種擴展，ABE與IBE最主要的區(qū)別是，ABE使用屬性集合描述用戶身份或數(shù)據(jù)的信息特征，通過定義各種策略來實現(xiàn)細粒度的訪問控制能力，只有屬性符合定義的訪問策略，才能夠進行數(shù)據(jù)解密。4.基于屬性加密的訪問控制（續(xù)）ABE

分為CP-ABE

和KP-ABE。CP-ABE

中每個客戶端都有其屬性，每個數(shù)據(jù)都有服務端定義的訪問策略，這些策略聲明了具有哪些屬性的客戶端才有權限解密數(shù)據(jù)；而在KP-ABE

中，屬性是用來描述服務器數(shù)據(jù)的，訪問策略是由客戶端設定的，服務端無法決定數(shù)據(jù)能被具有哪些屬性的客戶端獲取。兩種ABE實現(xiàn)的訪問控制的區(qū)別實際上在于數(shù)據(jù)的控制權主體，如果服務端需要控制客戶端能夠獲取的數(shù)據(jù)種類，那么可以使用CP-ABE

在分布式系統(tǒng)中實現(xiàn)細粒度的數(shù)據(jù)共享；如果客戶端需要控制數(shù)據(jù)的獲取，那么可以使用KP-ABE

根據(jù)需要獲取對應的數(shù)據(jù)，例如付費視頻網(wǎng)站。注意：ABAC

是將客戶端劃分為多個客戶端屬性，將服務端數(shù)據(jù)劃分為多個服務端數(shù)據(jù)屬性，然后在客戶端屬性和服務端數(shù)據(jù)屬性之間建立一系列一對一的訪問控制策略；而基于ABE的訪問控制（以CP-ABE

為例）是為單個客戶端賦予多個屬性，單個服務端數(shù)據(jù)定義多個策略，形成一系列多對多的訪問控制策略。網(wǎng)絡隔離技術VLAN虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）最初用于解決大規(guī)模網(wǎng)絡導致的廣播報文泛濫問題，它將一個網(wǎng)絡劃分為多個邏輯上的子網(wǎng)絡，從而實現(xiàn)不同網(wǎng)絡廣播域的隔離，如圖8-5所示。VLAN

被運用于云計算中，對云主機網(wǎng)絡進行安全域劃分，例如接入域、管理域、業(yè)務域等，并用防火墻等進行安全域的隔離，確保安全域之間的數(shù)據(jù)傳輸符合相應的訪問控制策略，網(wǎng)絡安全問題不會擴散。VXLAN隨著云計算技術的不斷發(fā)展，租戶隔離、虛擬網(wǎng)絡隔離、應用隔離等隔離需求都會耗費大量的VLAN，導致VLAN的數(shù)量逐漸緊缺，因此虛擬擴展本地網(wǎng)絡（VirtualeXtensibleLocalAreaNetwork，VXLAN）被提出。VXLAN

是一種將以太網(wǎng)報文封裝成UDP報文的隧道技術，因此可以實現(xiàn)二三層網(wǎng)絡的傳輸。相比VLAN，VXLAN

擴展了網(wǎng)絡規(guī)模、提高了網(wǎng)絡部署的靈活性和網(wǎng)絡傳輸效率、解決了IP地址沖突的問題，更能適應大規(guī)模多租戶的網(wǎng)絡環(huán)境。VLAN和VXLAN的局限性VLAN

和VXLAN

屬于較粗粒度的隔離技術，虛擬化、容器化等技術的運用使傳統(tǒng)的VLAN、VXLAN等隔離技術在大型網(wǎng)絡的進出口端都存在比較復雜的業(yè)務訪問關系和較重的工作負載，從而導致進出口端的網(wǎng)絡產(chǎn)生擁塞。VPC虛擬私有云（VirtualPrivateCloud，VPC）最初是AWS在公有云多租戶環(huán)境上建立互相隔離的虛擬網(wǎng)絡的技術，VXLAN

技術與AWSVPC技術類似。但目前來說，各大云服務商更多將VPC視為一種常見的私有云網(wǎng)絡服務，即在公共資源池中劃分出客戶私有網(wǎng)絡區(qū)域，使其他租戶無法進入該網(wǎng)絡區(qū)域。圖8-6是一個虛擬私有云方案的示意圖，圖中存在兩個VPC，VPC1與VPC2之間相互隔離，不同VPC之間可以通過創(chuàng)建對等連接進行相互通信。在VPC內(nèi)部，用戶可以像使用傳統(tǒng)網(wǎng)絡架構那樣根據(jù)自己的需求進行建立防火墻、劃分子網(wǎng)等操作來實現(xiàn)滿足自己需求的網(wǎng)絡。圖8-6虛擬私有云方案示意圖微隔離方案微隔離方案是新一代的網(wǎng)絡隔離技術，它將網(wǎng)絡劃分為多個小的功能分區(qū)，如Web分區(qū)、App分區(qū)等，如圖8-7所示，用戶可以對每個分區(qū)設置細致的訪問控制策略。與其他網(wǎng)絡隔離技術最大的區(qū)別在于它不依賴于傳統(tǒng)的防火墻進行隔離：VLAN和VXLAN都是基于服務器IP在防火墻處實現(xiàn)的隔離，而微隔離網(wǎng)絡的隔離是在認證服務器處實現(xiàn)的，只有通過了認證服務器的認證，才能訪問網(wǎng)絡資源，將認證服務器分布式地實現(xiàn)在網(wǎng)絡內(nèi)部，可以減輕整個網(wǎng)絡進出口端的網(wǎng)絡壓力。相比傳統(tǒng)的防火墻隔離，微隔離更具有靈活性，當有主機上下線時可以隨時更改區(qū)域劃分的范圍，從而動態(tài)地更新服務的主機IP域，更加適合動態(tài)變化的云計算環(huán)境。遠程訪問技術傳統(tǒng)的訪問方法遠程用戶或企業(yè)合作伙伴如果想訪問內(nèi)網(wǎng)，傳統(tǒng)的訪問方法是使用虛擬接入網(wǎng)絡（VirtualPrivateNetwork，VPN），VPN

用于在公共網(wǎng)絡中建立臨時的、經(jīng)過加密的私有網(wǎng)絡連接，常用的VPN

有IPSecVPN和SSLVPN。IPSecVPN基于IPSec安全標準在公有網(wǎng)絡中建立網(wǎng)絡與網(wǎng)絡之間的連接，因此要求兩端網(wǎng)絡出口都部署IPsecVPN網(wǎng)關；而SSLVPN基于SSL加密協(xié)議建立終端與網(wǎng)絡之間的連接，僅需要在服務端部署SSLVPN網(wǎng)關。相比之下，IPSecVPN具有更高的安全性；而SSLVPN部署更加簡單、可擴展性強，可以實現(xiàn)更細粒度的訪問控制。圖8-8是一種常見的遠程接入架構，IPSecVPN用于混合云中的云間互聯(lián)或分支機構的接入，SSLVPN則用于內(nèi)部員工遠程接入云服務器。VPN存在的問題雖然VPN可以保證基本的連接安全并且大部分云服務商提供的遠程訪問方案也是VPN，但是VPN信息容易被泄露、可擴展性差、應對網(wǎng)絡攻擊能力弱等問題在云計算中不容忽視，具體體現(xiàn)在以下方面：VPN信息容易被泄露，一旦攻擊者通過VPN建立連接，就獲取了授權用戶擁有的全部內(nèi)網(wǎng)權限。在大規(guī)模的云環(huán)境中，為每一個用戶部署VPN、編寫權限規(guī)則的開銷是非常大的，并且后續(xù)的維護也較為煩瑣。VPN網(wǎng)關作為內(nèi)網(wǎng)和公網(wǎng)之間的橋梁，容易遭受各種網(wǎng)絡攻擊，并且一旦遭受攻擊，就基本失去遠程訪問內(nèi)網(wǎng)的能力。SDP基于上述問題，軟件定義的邊界（SoftwareDefinedPerimeter，SDP）被提出，它被認為是替代VPN遠程訪問的最佳技術之一。相比VPN，SDP的訪問控制是動態(tài)的，不僅表現(xiàn)在權限策略上是動態(tài)可變化的，也表現(xiàn)在建立連接時使用的密鑰也是動態(tài)變化的，因此過期的密鑰泄露在SDP中不會導致入侵問題；SDP

是基于身份建立連接的，因此只需要對每個身份制定訪問策略，而當用戶變動時只需要修改其對應的身份即可，能夠應對大規(guī)模環(huán)境下的擴展；SDP

將身份認證服務器和資源訪問服務器分離，如圖8-9所示，在訪問資源服務器之前，SDP控制器會驗證請求者的身份，只有通過認證的請求者才能與資源服務器建立連接，這使資源服務器的IP信息不暴露在公共網(wǎng)絡中，對外實現(xiàn)零連接和零可見性，基本上可以抵御任何基于網(wǎng)絡的攻擊。端點防護技術從廣義上講，任何連接到網(wǎng)絡的設備都被稱為端點（endpoint），這里的端點防護是指資源服務器及其上虛擬機的防護，即保障資源服務器在處理外部網(wǎng)絡流量時的安全。網(wǎng)絡邊緣的網(wǎng)關服務器可以抵御一定的外部攻擊（如DDoS攻擊），但對于病毒、惡意軟件這類較為隱蔽的攻擊（如SQL注入），需要額外的防護技術進行檢測來保障端點的安全。傳統(tǒng)的端點安全防護主要依靠殺毒軟件，它在云環(huán)境中的不足表現(xiàn)在以下幾個方面。殺毒是基于病毒庫、惡意軟件庫比對進行的安全防御，在攻擊類型復雜多樣且快速變化的云環(huán)境中，基于庫比對的防護難以保證云服務器的安全。殺毒軟件屬于靜態(tài)的防御技術，只有在受到攻擊以后才能捕獲攻擊特征并記錄到庫中，在大規(guī)模、存儲大量敏感數(shù)據(jù)的云環(huán)境中，任何成功的攻擊都會帶來嚴重的損失。隨著病毒庫、惡意軟件庫的不斷擴建，需要存儲大量的數(shù)據(jù)庫資源，同時也會降低病毒、惡意軟件的檢索效率，使端點防護的響應速度難以得到保障。反病毒程序旨在保護一個單一的端點，在許多情況下只對該端點提供可見性，每個端點孤立地進行安全防護，沒有協(xié)作關系。EPP端點保護平臺（EndpointProtectionPlatform，EPP）建立了一個公共的數(shù)據(jù)庫平臺和一個統(tǒng)一的控制平臺，管理員可以根據(jù)共享數(shù)據(jù)在控制平臺上對各個設備進行遠程管理。EPP

只是傳統(tǒng)端點防護在云計算環(huán)境下的擴展，它暫時緩解了本地存儲帶來的信息臃腫問題，但是沒有從本質(zhì)上改變靜態(tài)、孤立的端點防護機制。EDR端點檢測與響應（EndpointDetectionandResponse，EDR）是一種主動防御技術，主要思想是監(jiān)控端點的活動和事件，產(chǎn)生關鍵上下文以自動檢測和分析攻擊，它在傳統(tǒng)的端點安全防護基礎上擴展了威脅檢測和響應取證兩個能力。EDR

的危險檢測建立在已有的云端威脅情報、用戶和軟件的行為上，通過機器學習技術主動地對當前用戶和軟件的行為進行分析，從而訓練出一個準確的攻擊指示器（IndicatorofCompromise，IoC），通過攻擊指示器來判斷當前任何可能出現(xiàn)的威脅并進行防護；在防護過后，EDR能夠?qū)ν{自動進行分析，獲取威脅的典型特征，反復訓練攻擊指示器以更好地應對未來的攻擊。EDR（續(xù)）EDR專注于快速、有效地應對網(wǎng)絡威脅，它最大的優(yōu)勢在于不需要過分依賴外部專家即可實現(xiàn)快速攻擊響應和自動化取證分析。與傳統(tǒng)端點防護類似，EDR

僅僅基于單一端點的信息進行安全防護，沒有考慮到各個端點之間的聯(lián)系，會產(chǎn)生大量不完整的上下文信息，導致較高的威脅誤報率。XDR擴展檢測與響應（eXtendedDetectionandResponse，XDR）解決了EDR孤立防護的問題，是EDR在整個網(wǎng)絡中的推廣。XDR

同樣也使用機器學習技術分析可能的攻擊，不同的是XDR

的數(shù)據(jù)來源于端點、網(wǎng)絡、其他云服務器等整個網(wǎng)絡架構，能夠為攻擊分析提供全方位的數(shù)據(jù)支持，從而實現(xiàn)更深入、更準確的攻擊檢測和響應。數(shù)據(jù)加密技術數(shù)據(jù)加密的目的是防止他人拿到數(shù)據(jù)的原始文件后進行數(shù)據(jù)的竊取。數(shù)據(jù)加密在云計算中的具體應用形式為：在用戶側(cè)使用密鑰對數(shù)據(jù)進行加密，然后將其上傳至云計算環(huán)境中，如圖8-10所示，使用時再實時解密，避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上。數(shù)據(jù)加密已經(jīng)存在多種成熟的算法，比如對稱加密、公鑰加密、iSCSI加密等，在此基礎上針對云計算不同的場景又發(fā)展出多種新型的加密技術。同態(tài)加密技術在某些情況下，云服務器不止需要對數(shù)據(jù)進行簡單的存儲和傳輸，還需要利用其集成的環(huán)境和強大的算力對數(shù)據(jù)進行計算，這意味著服務器需要得到原始數(shù)據(jù)才能執(zhí)行計算服務，為了能夠在加密狀態(tài)下對數(shù)據(jù)進行操作，誕生了同態(tài)加密技術（homomorphicencryption）。與傳統(tǒng)密碼算法不同的是，同態(tài)加密算法的密文計算算法能對加密的數(shù)據(jù)進行計算而無須先將其解密，因此云服務器上并不需要獲取原始數(shù)據(jù)，也不會得到計算后的真實數(shù)據(jù)，在完成計算后服務器將加密后的計算結果傳輸給用戶，用戶對其進行解密即可得到真實數(shù)據(jù)。共享數(shù)據(jù)加密技術云環(huán)境中存在大量數(shù)據(jù)共享的場景，目前主流的共享數(shù)據(jù)加密技術分為屬性加密技術（ABE）和代理重加密技術，訪問控制中介紹的屬性加密技術常用于用戶與服務器等一對多的共享數(shù)據(jù)加密，而代理重加密技術的應用場景為用戶與用戶等一對一的數(shù)據(jù)共享，一種典型的場景是數(shù)據(jù)請求方向云服務器發(fā)起數(shù)據(jù)擁有方的私有數(shù)據(jù)請求。代理重加密（ProxyRe-Encryption，PRE）實質(zhì)上是一種密文之間的密鑰轉(zhuǎn)換機制，它使用對稱加密算法對原始數(shù)據(jù)進行加密，然后通過非對稱加密算法生成重加密密鑰作為中間橋梁，在云環(huán)境下實現(xiàn)安全的端到端對稱密鑰交換，當數(shù)據(jù)請求方獲得對稱密鑰之后，即可解密獲得原始數(shù)據(jù)。提綱8.1 云計算安全的概念與現(xiàn)狀分析8.2 云計算安全技術8.3 云計算技術標準云計算技術標準隨著云計算的不斷發(fā)展，它未來將會轉(zhuǎn)變?yōu)橐环N電信基礎設施服務，充分市場化的公共云服務需要涉及服務提供商之間的接口（類似于運營商間的網(wǎng)絡與業(yè)務互聯(lián)），以及服務提供商與用戶之間的接口（類似于運營商與終端用戶之間的接口），這些接口都需要進行標準化，以實現(xiàn)服務提供商之間業(yè)務的互通，同時避免服務提供商對用戶的鎖定。如果沒有對云計算的技術、服務、管理、接口等進行標準化，各個云服務商難以實現(xiàn)互聯(lián)互通，形成較大規(guī)模的云計算服務體系，云計算產(chǎn)業(yè)也難以得到健康、規(guī)范化的發(fā)展。國際云計算組織及技術標準各國政府在積極推動云計算發(fā)展的同時，也積極推動云計算標準的制定工作。全世界已經(jīng)有30多個標準組織宣布加入云計算標準的制定行列，這些標準組織大致可分為以下3種類型：以DMTF、OGF、SNIA等為代表的傳統(tǒng)IT標準組織或產(chǎn)業(yè)聯(lián)盟，這些標準組織中有一部分原來是專注于網(wǎng)格標準化的，現(xiàn)在轉(zhuǎn)而進行云計算的標準化。以CSA、OCC、CCIF等為代表的專門致力于進行云計算標準化的新興標準組織。以ITU、ISO、IEEE、IETF為代表的傳統(tǒng)電信或互聯(lián)網(wǎng)領域的標準組織。1.ISO/IECJTC1ISO/IECJTC1（國際標準化組織/國際電工委員會的第一聯(lián)合技術委員會）是一個信息技術領域的國際標準化委員會，官網(wǎng)為/home.html。其中負責云計算和分布式平臺領域標準化的是38號特別工作組（SC38），主要內(nèi)容包括：基礎概念和技術、運營問題，云計算系統(tǒng)之間及云計算系統(tǒng)與其他分布式系統(tǒng)之間的交互問題。截至2019年，ISO/SECJTC1/SC38發(fā)布了15個標準，一些重要的標準如表8-2所示。2.ITU-TITU-T（國際電信聯(lián)盟電信標準分局）是國際電信聯(lián)盟管理下專門制定電信標準的分支機構，官網(wǎng)為/zh/ITU-T/Pages/default.aspx。其中第13研究組（SG13）負責云計算的標準化工作，該小組制定了詳細說明云計算生態(tài)系統(tǒng)要求和功能架構的標準，涵蓋支持XaaS（X即服務）的云間和云內(nèi)計算和技術。這項工作包括云計算模型的基礎設施和網(wǎng)絡方面，以及互操作性和數(shù)據(jù)可移植性的部署注意事項和要求，表8-3是SG13發(fā)布的一些標準。3.CSACSA（云安全聯(lián)盟）是一個非營利組織，旨在推廣云安全的最佳實踐方案和開展云安全培訓。CSA在全球范圍內(nèi)設立了美洲區(qū)、亞太區(qū)、歐非區(qū)和大中華區(qū)四大區(qū)，其中CSA大中華區(qū)在網(wǎng)信辦、工信部、公安部的支持下，成為網(wǎng)絡安全領域首家在中國正式注冊備案的境外非政府組織，并在上海設立中國總部。CSA大中華區(qū)的官方網(wǎng)址為/。表8-4是CSA發(fā)表的一些報告與建議書。國內(nèi)云計算技術標準在我國，云計算相關的標準化工作自2008年底開始被科研機構、行業(yè)協(xié)會及企業(yè)關注，并成立了相關的聯(lián)盟、協(xié)會及標準化工作組以開展相關的標準化工作，如中國通信標準化協(xié)會、中國電子學會云計算專家委員會、全國信息計劃標準化技術委員會等?？傮w而言，我國的云計算標準化工作還處于起步階段。當前的工作首先對國際標準組織及協(xié)會的云標準進行梳理，對中國國內(nèi)云計算商業(yè)應用進行調(diào)研，并基于此規(guī)劃我國的云計算標準體系及開展云計算標準的制定。雖然目前在云計算產(chǎn)業(yè)與服務方面，我國并未在國際上取得領先的地位，但在云計算的國際標準化方面，國內(nèi)許多企業(yè)與研究機構都在積極參與。中國標準是四級結構：國家標準、行業(yè)標準、地方標準、企業(yè)標準。國家標準信息查詢網(wǎng)站為/fuwu/bzxxcx/bzh.htm。國家標準信息查詢網(wǎng)站首頁國家標準信息查詢云計算結果1.《云計算綜合標準化體系建設指南》2015年11月，工業(yè)和信息化部辦公廳印發(fā)《云計算綜合標準化體系建設指南》（以下簡稱《指南》），《指南》確定了云計算標準研制方向，以云計算綜合標準化體系框架為基礎，通過研究及分析信息技術和通信領域已有標準，提出現(xiàn)有標準缺失的，并能直接反映云計算特征，有效解決應用和數(shù)據(jù)遷移、服務質(zhì)量保證、供應商綁定、信息安全和隱私保護等問題的29個標準研制方向。《指南》構建了云計算綜合標準化體系框架，包括云基礎標準、云資源標準、云服務標準和云安全標準4個部分，如圖8-13所示?！吨改稀窐嫿嗽朴嬎憔C合標準化體系框架，包括云基礎標準、云資源標準、云服務標準和云安全標準4個部分，各個部分的概況如下：云基礎標準。用于統(tǒng)一云計算及相關概念，為其他各部分標準的制定提供支撐。主要包括云計算術語、參考架構、指南等方面的標準。云資源標準。用于規(guī)范和引導建設云計算系統(tǒng)的關鍵軟硬件產(chǎn)品研發(fā)，以及計算、存儲等云計算資源的管理和使用，實現(xiàn)云計算的快速彈性和可擴展性。主要包括關鍵技術、資源管理和資源運維等方面的標準。云服務標準。用于規(guī)范云服務設計、部署、交付、運營和采購，以及云平臺間的數(shù)據(jù)遷移。主要包括服務采購、服務質(zhì)量、服務計量和計費、服務能力評價等方面的標準。云安全標準。用于指導實現(xiàn)云計算環(huán)境下的網(wǎng)絡安全、系統(tǒng)安全、服務安全和信息安全，主要包括云計算環(huán)境下的安全管理、服務安全、安全技術和產(chǎn)品、安全基礎等方面的標準。1.《云計算綜合標準化體系建設指南》公安部在2017年5月8日正式發(fā)布GA/T1390.2—2017《信息安全技術網(wǎng)絡安全等級保護基本要求第2部分：云計算安全擴展要求》（以下簡稱“云等?！保?，“云等?！睂Α缎畔踩夹g網(wǎng)絡安全等級保護基本要求第1部分：安全通用要求》進行了擴展，形成了云計算安全擴展要求，用于指導分等級的非涉密云計算系統(tǒng)的安全建設和監(jiān)督管理?！?/p>