报刊资料整理：云安全(cloud security)

云安全(cloud security)

云安全cloud security

• 云安全(cloud security)
• 什么是云安全
• 云安全的产生和原理
• 云安全的本质
• 云安全的特点
• • 1.共享虚拟安全
  • 2.数据失控挑战
  • 3.安全即服务模式
• 云安全的技术核心
• • (1)Web信誉服务
  • (2)文件信誉服务
  • (3)行为关联分析技术
  • (4)自动反馈机制
  • (5)威胁信息总汇
  • (6)白名单技术僻
• 云安全的关键技术
• • (1)双向自动反馈机制
  • (2)根据资源的URL地址来判断风险程度
  • (3)Web信誉服务
  • (4)电子邮件信誉服务
  • (5)文件信誉服务
  • (6)行为关联分析技术
• 云安全的策略、方法与实践
• • IaaS安全策略与实践
  • • 物理环境的安全
    • 网络与主机安全
    • 服务连续性
  • PaaS安全策略与实践
  • • 身份与访问管理
    • 信息保护
    • 服务连续性
  • SaaS安全策略与实践
  • • 工程安全
    • 应用安全设计框架
• 云安全常见问题
• • 1．云计算资源的滥用
  • 2．云计算环境的安全保护
  • 3．云服务供应商信任问题
  • 4．双向及多方审计
  • 5．系统与数据备份
• 云安全的应用研究方向
• • 1．云计算安全
  • 2．网络安全设备、安全基础设施的“云化”
  • 3．云安全服务
• 云安全的标准化组织
• 云安全的发展趋势
• 云安全与传统网络安全的区别

什么是云安全

云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全通过网状的大量客户端对网络中软件的行为进行监测，获取互联网中木马、恶意程序的最新信息，并发送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

云安全的产生和原理

在互联网普及前，计算机安全问题基本局限在单机范畴，传统安全厂商也主要做单机版杀毒软件，对付病毒的方法都是依靠“杀毒引擎+特征码”的“事后查杀”模式。反病毒行业目前一直沿用的方法是：发现病毒后，由反病毒公司的工程师解析病毒样本，然后将针对该样本的病毒码上传到病毒库中，用户通过定时或者手动更新病毒库，来获得杀毒软件的升级保护。但这样的传统杀毒方式，病毒码更新起来比较麻烦，用户每天升级杀毒软件也比较耗费内存和带宽，很多人对此很反感。此外，日益发展的大量病毒变种，使得标准样本收集、特征码创建以及部署不再能充分发挥效用。

另外，继续使用特征码防护机制面临的最大问题之一，是存在防护时间差的问题。一般来说，从一个病毒出现到被识别、分析、加入病毒特征码库到最终传送给用户计算机，通常要花费24～72小时。个人用户和机构用户在等待升级病毒库的这段时间中，他们的终端计算机将会暴露在安全威胁之下，很容易受到攻击。

起初病毒的设计是为了尽可能快速地进行传播，因此很容易找到。随着网络威胁的涌现，恶意软件已经从爆发模式发展到隐蔽的“睡眠式”感染，从而让传统的保护技术更加难以探测。对于小规模，特定范围传播的病毒(这是计算机病毒发展的最新趋势)，反病毒软件公司可能没有得到病毒样本，因此也无法提供特征代码。那么，对这些病毒，反病毒软件就无法检测到。即使反病毒软件公司提供特征代码，那也是在病毒传播一段时间之后了，这段时间里，用户也是不被保护的。

从安全防御机构的角度来说，如果依然沿袭以往的反病毒模式，安全机构依靠自身部署的有限地域、有限数量的恶意软件采集能力，无法在小规模爆发的恶意软件变成大规模的破坏前及时地采集、分析并提出处理措施，从而远远落在攻击者的脚步之后。基于“云安全”的网络协作模式，能够让每一台客户电脑都变成安全机构的智能恶意软件监测站，利用其主动防御技术及时发现和提交“可疑的恶意软件”，从而组成一个遍及全球和各领域的庞大恶意软件监测网络，大幅度提高安全机构的安全信息总量和反应速度，使其基于“特征码比对”或基于“行为模式分析”的解决方案的精确度能够得到大幅度提高。

“云计算”实现的安全，或称“云安全”，来源于其“云网络——瘦客户”的新型计算模型，如图1所示，将大量的各种计算资源放置在网络中，将分布处理、并行处理及网格计算的能力通过网络接口分享给客户，在实现上，让庞大的服务器端(即“云端”)承担大规模集中信息采集、处理、计算、存储、分析、检测和监测工作，甚至直接在云内将大部分流动的攻击行为阻断掉，而只让客户端承担提交“潜在恶意软件”和执行最终的“清除、隔离还是放行”的简单任务。客户端防护软件将不再需要设计得庞大而全面，不再占据系统过多的宝贵计算和存储资源。当然，对网络资源的使用是必须的。从客户的角度而言，这种“提供强大靠山”的新型方式大大简化了客户端工作量，使原本弱小的普通客户端告别了原本安全信息不对等的弱势局面，将实时更新的强大入侵监测和分析能力“推送”到了每一台客户计算机。

引入“云计算”架构后，杀毒行业真正实现了从杀毒到防毒的改变。把病毒码放到服务器的“云端”，服务器集群遇到进入用户终端的病毒码时可以自动查杀，这样就可以使用户终端变得很轻松，不用每天升级，也不必再因为杀毒软件而占用内存和带宽。不一定要等到用户中毒之后再去解决，重要的是要预防问题。趋势、熊猫、瑞星、赛门铁克等杀毒厂商目前都在部署自己的云计算机架构，用以组成“云端”的服务器集群从数百台到上万台不等。在未来，用户只要安装了某一款接入“云端”的杀毒软件，在上网时，服务器端会根据已经预存的海量病毒库来判断哪些网页行为是恶意的，甚至是木马程序，并自动为用户清除。

那么一旦出现了新的病毒，而服务器“云端”的数据库中此前没有该病毒码，云计算不再依靠某一公司的工程师们加班加点地去分析，而是根据事先设定好的数十项衡量标准对一种网页新行为进行测评，如果发现某一代码行为异常，则立即截断其来回反馈的通道，不让它进入用户终端，直接在半路上查杀。

云安全的本质

人们常把云计算服务比喻成自来水公司提供的供水服务。原来每个家庭和单位自己挖水井、修水塔，自己负责水的安全问题，例如避免受到污染、防止别人偷水等等。从这个比喻当中，我们窥见了云计算的本质：云计算只不过是服务方式的改变!

自己开发程序服务于本单位和个人，是一种服务方式；委托专业的软件公司开发软件满足其自身的需求也是一种方式；随时随地享受云中提供的服务，而不关心云的位置和实现途径，是一种到目前为止最高级的服务方式。

从这个比喻当中还看出云安全的本质：就像我们天天使用的自来水一样，我们究竟要关心什么安全问题呢?第一，我们关心自来水公司提供的水是否安全，自来水公司必然会承诺水的质量，并采取相应的措施来保证水的安全第二，用户本身也要提高水的使用安全，自来水有多种，有仅供洗浴的热水，有供打扫卫生的中水，有供饮用的水等等。例如，不能饮用中水，要将水烧开再用，不能直接饮用，这些安全问题都是靠用户自己来解决。还有，第三个关于云的安全问题是，

用户担心别人会把水费记到自己的账单上来， 担心自来水公司多收钱。

和自来水供应一样，云计算的安全问题也大致分为以下几个方面：第一方面，云计算的服务提供商，他们的网络是安全的吗，有没有别人闯进去盗用我们的账号?他们提供的存储是安全的吗?会不会造成数据泄密?这些都是需要云计算服务提供商们来解决，向客户承诺的问题。就像自来水公司要按照国家有关部门法规生产水一样，约束云计算的服务提供商的行为和技术，也一定需要国家出台相应的法规。第二方面，客户在使用云计算提供的服务时也要注意：在云计算服务提供商的安全性和自己数据的安全性上做个平衡，太重要的数据不要放到云里，而是藏在自己的保险柜中；

或将其加密后再放到云中，只有自己才能解密数据，将安全性的主动权牢牢掌握在自己手中，而不依赖于服务提供商的承诺和他们的措施。第三方面，客户要保管好自己的账户，防止他人盗取你的账号使用云中的服务，

而让你埋单。

不难看出， 云计算所采用的技术和服务同样可以被黑客利用来发送垃圾邮件，或者发起针对下载、数据上传统计、恶意代码监测等更为高级的恶意程序攻击。所以， 云计算的安全技术和传统的安全技术一样： 云计算服务提供商需要采用防火墙来保证不被非法访问； 使用杀病毒软件保证其内部的机器不被感染； 用入侵检测和防御设备防止黑客的入侵；用户采用数据加密、文件内容过滤等防止敏感数据存放在相对不安全的云里。

与传统安全不一样的地方，是随着服务方式的改变，在云计算时代，安全设备和安全措施的部署位置有所不同安全责任的主体发生了变化。在自家掘井自己饮用的年代，水的安全性由自己负责，在自来水时代，水的安全性由自来水公司作出承诺， 客户只须在使用水的过程中注意安全问题即可。原来，用户自己要保证服务的安全性，现在由云计算服务提供商来保证服务提供的安全性。

云安全的特点

针对云计算服务模式和资源池的特征，云安全继承了传统信息安全特点，更凸显了传统信息安全在数据管理、共享虚拟安全、安全管理等问题，同时改变了传统信息安全的服务模式，主要包括：

1.共享虚拟安全

在云计算中心，虚拟化技术是实现资源分配和服务提供的最基础和最核心的技术。通过虚拟化技术，将不同的硬件、软件、网络等资源虚拟为一个巨大的资源池，根据用户的需求，动态提供所需的资源。因此，虚拟化技术的安全性在云中显得格外重要。虚拟机的安全除了传统上虚拟机监督程序的安全性以及虚拟机中恶意软件等造成的安全问题和隐私泄露之外，虚拟化技术本身的安全问题在云中也显得非常重要，而且这其中许多问题在云计算之前并未得到人们的重视。在云中，一台物理服务器通常会运行多台虚拟机，并为多个用户提供服务。这些用户共享同一物理设备，这就为攻击者提供了发起攻击的可能性。此外，资源的动态分配使得云中虚拟机的迁移成为了普遍现象，而针对虚拟机迁移的迁移攻击也成为了云中不可忽视的安全问题。虚拟化的安全需要从多个层面和角度进行考虑，才能够确保云计算平台的虚拟化安全。

2.数据失控挑战

在云计算应用中，用户将数据存放在远程的云计算中心，失去了对数据的物理控制，对数据的安全与隐私的保护完全由云计算提供商提供。这一特性使得云计算提供商即使声明了其提供的安全性，也无法说服用户完全的信任云。相比于传统的客户／服务器模式，用户对云的依赖性更高，所有操作均放在云端执行。因此，在云计算中，我们面临着如何使得用户能够信任云，或者在不能完全信任的平台下仍然进行存储和计算，能够检验数据是否受到保护、计算任务是否正确执行的问题。云计算中心通常都会向用户声明其提供的安全性，使用户能够放心使用其提供的服务，然而如何验证其是否提供了声明的安全服务是用户能够信任云的关键。因此通过技术手段使得用户可以确信其数据和计算是安全且保密的，则对打消用户对云计算安全与隐私问题的顾虑有着极大的帮助。

3.安全即服务模式

云计算作为一种新的模式，虽然带来了一些新的安全威胁，但也为传统信息安全与隐私问题的解决提供了新的途径。在云计算之前，敏感数据大量分散在网络中，许多站点并没有很好的措施保障数据的安全，容易造成数据泄露。而利用云计算强大的计算与存储能力，可以将安全以服务的形式(安全即服务)提供给用户，使得客户能够随时使用到更好更安全的服务。安全即服务可以在反病毒、防火墙、安全检测和数据安全等多个方面为用户提供服务，实现安全服务的专业化、社会化。云安全服务中心可以通过搭建信息安全服务平台，集中对信息安全的相关威胁进行处理，能够及时为用户提供良好的安全保护。

云安全的技术核心

实现云安全有六大核心技术：

(1)Web信誉服务

借助全信誉数据库，云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数，从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。

(2)文件信誉服务

文件信誉服务技术，它可以检查位于端点、服务器或网关处的每个文件的信誉，检查的依据包括已知的良性文件清单和已知的恶性文件清单。

(3)行为关联分析技术

通过行为分析的“相关性技术”可以把威胁活动综合联系起来，确定其是否属于恶意行为。

(4)自动反馈机制

云安全的另一个重要组件就是自动反馈机制，以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。

(5)威胁信息总汇

(6)白名单技术僻

作为一种核心技术，白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别，区别仅在于规模不同。现在的白名单主要被用于降低误报率。

云安全的关键技术

基于信誉的安全技术补充了传统安全技术的不足，通过收集匿名用户使用情况的样本，从而辨别URI/WEB/邮件/文件安全与否。技术的核心集中在如何凭借指定URI/WEB/邮件/文件的部分使用情况信息来辨别该URI/WEB/邮件/文件是否安全。基于信誉的安全技术充分利用多方数据资源，包括由数亿用户计算机上的代理提供的匿名数据、软件发行商提供的数据以及在针对大型企业用户发起的数据收集项目中获得的数据。这些数据会持续不断地更新到信誉引擎，以此确定每一URI/WEB/邮件/文件的安全信誉等级，绝不需要对该URI/WEB/邮件/文件进行扫描。从技术实现的角度而言，“云安全”全球化的信息采集和分析模式使其可以采用新的防御模式和技术，主要归纳为以下几点：

(1)双向自动反馈机制

“云计算”防恶意软件技术不再需要客户端保留恶意软件库特征，所有的信息都将存放于互联网中。当全球任何角落的终端用户连接到互联网后，与“云端”的服务器保持实时联络，当发现异常行为或恶意软件等风险后，自动提交到“云端”的服务器群组中，由“云计算”技术进行集中分析和处理。之后，“云计算”技术会生成一份对风险的处理意见，同时对全世界的客户端进行统一分发。客户端可以自动进行阻断拦截、查杀等操作。将恶意软件特征库放置于“云”中，不但可以节省因恶意软件不断泛滥而造成的软硬件资源开支，而且还能获得更加高效的恶意软件防范能力。

(2)根据资源的URL地址来判断风险程度

“云安全”可以从整个互联网上收集源信息，判断用户的互联网搜索、访问、应用的对象是不是恶意信息。这种模式与病毒代码的比对不同，病毒代码是用特征码进行识别。传统病毒代码分析依靠大量人工，而“云安全”则利用基于历史用户反馈的统计学分析方式不停地对互联网进行判断。只要全球范围内有1％的用户提交需求给“云端”服务器，15分钟之后全球的“云安全”库就会对该URL的访问行为进行策略控制。

(3)Web信誉服务

借助全球域信誉数据库，Web信誉服务按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数，从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性，降低误报率，Web信誉服务为网站的特定网页或链接指定信誉分值，而不是对整个网站进行分类或拦截，因为通常合法网站只有一部分受到攻击。而信誉可以随时间而不断变化。通过信誉分值的比对，就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时，就可以及时获得系统提醒或阻止，从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务，可以防范恶意程序源头。由于对“零日攻击”的防范是基于网站的可信度而不是真正的内容，因此能有效预防恶意软件的初始下载，用户进入网络前就能够获得防护能力。

(4)电子邮件信誉服务

电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址，同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对口地址的行为、活动范围以及以前的历史不断分析而加以细化。按照发送者的IP地址，恶意电子邮件在“云”中即被拦截，从而防止僵尸或僵尸网络等Web威胁到达网络或用户的计算机。

(5)文件信誉服务

文件信誉服务技术可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单，即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在“云”中，所以可以立即到达网络中的所有用户。此外，与占用端点空间的传统防病毒特征码文件下载相比，这种方法降低了端点内存和系统消耗。

(6)行为关联分析技术

利用行为分析的相关性技术把威胁活动综合联系起来，确定其是否属于恶意行为。按照启发式观点来判断Web威胁的单一活动是否实际存在威胁，可以检查潜在威胁不同组件之间的相互关系。来自世界各地的研究将补充客户端反馈内容，全天候威胁监控和攻击防御，以探测、预防并清除攻击，综合应用各种技术和数据收集方式——包括蜜罐、网络爬行器、反馈以及内部研究获得关于最新威胁的各种情报。

云安全的策略、方法与实践

云计算安全是云计算服务提供商和云计算用户之间共同的责任，但两者之间的界限有些模糊，这个界限直接取决于所应用的云计算模式的类型。云计算有3种云服务模式：IaaS、PaaS、SaaS。由于这三类云计算服务自身特点，以及用户对云计算资源的控制能力不同，使得云服务提供商和云用户各自承担的安全角色、职责也有所不同。在云计算应用中，为了避免服务纠纷，有必要对云服务提供商与用户进行各自的责任划分与界定。

IaaS云服务提供商主要负责为用户提供基础设施服务，如提供包括服务器、存储、网络和管理工具在内的虚拟数据中心，云计算基础设施的可靠性、物理安全、网络安全、信息存储安全、系统安全是其基本职责范畴，包括虚拟机的入侵检测、完整性保护等；而云计算用户则需要负责其购买的虚拟基础设施以上层面的所有安全问题，如自身操作系统、应用程序的安全等。

PaaS云服务提供商主要负责为用户提供简化的分布式软件开发、测试和部署环境，云服务提供商除了负责底层基础设施安全外，还需解决应用接口安全、数据与计算可用性等；而云计算用户则需要负责操作系统或应用环境之上的应用服务。

SaaS云服务提供商需保障其所提供的SaaS服务从基础设施到应用层的整体安全，云计算用户则需维护与自身相关的信息安全，如身份认证账号、密码的防泄露等。下面将对这3种服务方式的云安全策略与实践作进一步的探讨和论述。

IaaS安全策略与实践

IaaS(Infrastructure as a

Service，基础设施即服务)通过互联网提供了数据中心、基础设施硬件和软件资源。IaaS可以提供服务器、操作系统、网络、磁盘存储、数据库和／或信息资源。IaaS在信息安全方面需要考虑的因素包括以下几个方面。

物理环境的安全

传统的企业IT建设，企业需要购置全部的硬件、网络、存储、软件以及业务应用系统，企业需要自己管理数据中心，开发、部署、维护业务应用系统。在这种情形下，企业全面掌控设备、系统以及至关重要的各种业务数据。但当企业应用迁移到云端以后，企业的业务数据被存放在云服务供应商的数据中心内，企业就会更加关心云服务提供商数据中心的物理安全。谁能够进入数据中心?进入数据中心以后的操作是否会受到控制和监视?进入数据中心以后，能够到达的区域是否能够控制?是否能够对进入数据中心人员进行全程录像监视?等等。所有这些都对云服务提供商数据中心的管理提出更高的要求。

下面以微软的Business Productivity Online Service云服务为例，说明云服务提供商对物理安全的考虑因素。

针对某些防护措施，使用技术系统实现自动化的访问身份验证和授权，使得物理安全能够随着安全技术的进步同步进化。而从传统的，部署在企业内部的计算硬件和软件中的企业级应用，转变为利用软件即服务，以及软件外加服务，这属于另一种进化。这些变动使得组织为了确保资产安全而进行额外的调整成为必需。

OSSC(在线安全与合规管理团队)管理了所有微软数据中心的物理安全，这是确保设施的正常运作及保护客户数据的前提条件。所有设施的安全设计和运维都使用了已确立的，并且非常严格的规程，因此微软可确保通过不同的边界层，对外向和内向边界提供更进一步的控制。

所实施的安全系统结合使用了包括摄像头、生物验证、读卡器，以及报警器等技术解决方案，并依然实施了传统的安全机制，如锁和门禁。对于所有设施，还应用了运维控制机制，以便进行自动化监控，并在遇到异常情况和问题时提供前期预警，并对数据中心的物理安全规程提供可审计的文档材料，充分履行了所有义务。下面提供了额外的范例，介绍微软是如何对物理安全应用所需限制的。

• (1)限制可访问数据中心的人员：微软提供了可供数据中心员工和承包商审阅的安全需求，除了针对站点人员的契约条款，在数据中心内部保持设置运作的人员还应用了一层额外的安全机制。通过最小特权策略对访问进行限制，这样只有必要的人员才能获得授权并管理客户的应用程序和服务。

• (2)解决高业务影响力数据的需求：在数据中心内，对于提供联机服务的资产，除了中低等敏感度的内容，如果处理的是归类为高度敏感的内容，而不是中等或低等敏感的内容，微软还制定了更严格的最低需求。在标准安全协议中，对于站点项的身份认证、访问令牌，以及日志和监管等内容明确列出了需要何种类型的身份验证。如果要访问高敏感度资产，则需要多因素身份验证。

• (3)集中进行物理资产的访问管理：随着Microsoft继续提供更多数量的数据中心用于提供联机服务，还专门开发了一个用于对物理资产的访问控制进行管理的工具，该工具还可通过集中的工作流程提供包含申请、批准，以及交付数据中心访问等活动的可审计的记录。该工具的运作遵循了提供访问所需的最低特权的原则，并可编入工作流，以便能够获得来自多个身份验证方的审批。该工具可根据站点情况进行配置，针对报表和合规性审计，还可提供更高效的历史记录访问功能。

网络与主机安全

云服务依靠互联网提供服务。因此，云服务提供商的网络接入能力是正常、持续提供服务的关键。所有的请求、数据、回应都将通过网络进行通信。因此，云服务提供商在网络的边际应该提供诸如防火墙、防毒墙、入侵检测与防护系统等安全措施。

微软已经有多年的云服务提供经验，早在1994年就开始运营MSN，并且有200多个面向企业提供的云服务。现在，BPOS的运行也取得了可观的付费用户。在网络安全方面，微软的实践经验如下。

对于数据中心的设施和网络连接，微软应用了需要的各种安全保护层。例如，在控制和管理方面，都应用了相关的安全控制。另外还实施了某些特殊的硬件，如负载均衡器、防火墙，以及入侵检测设备，以便管理大量的拒绝服务(DoS)攻击。网络管理团队则应用了层次式的访问控制列表(ACL)，以便按照需要对虚拟本地网络(VLAN)和应用程序进行分段。对于使用网络硬件，Microsoft使用了应用程序网关功能执行深入的数据包检测，并针对可疑网络通信执行操作，如发送警报，或直接拦截。

• 对于微软云环境，还提供了全局冗余的内部和外部DNS基础架构。冗余可提供容错机制，这一功能是通过DNS服务器群集实现的。另外还有其他控制可减缓分布式拒绝服务(DDoS)和缓存投毒或污染等攻击。例如，DNS服务器和DNS区域的ACL只允许通过授权的人员对DNS记录进行写入。来自最新版安全DNS软件的新安全功能，如查询标识符随机化等，也已经被所有DNS服务器使用。DNS群集还被进行着持续的监控，以预防未经授权的软件和DNS区域配置变动，及服务中断等问题的产生。DNS是连接全球互联网中的一部分，要求很多机构的合作参与才能提供所需的服务。Microsoft参与了很多此类活动，例如，DNS运作分析和研究团(DNS—OARC)，该团是由全球各地的DNS专家组成的。
• 在主机安全方面，IaaS服务提供商应当提供针对操作系统的安全加固、病毒防范以及入侵检测及防护等功能。同时，应该加强对操作系统的日志管理和监视。微软在这方面的实践是这样的。

为了提供可靠的、受到良好管理的、安全的，以及无漏洞的服务，环境规模和复杂度的增长必须进行妥善的管理。

对基础架构资产进行每天一次的扫描即可对主机系统的漏洞提供最新视图，并使得OSSC能够与产品和服务交付团队的合作伙伴配合，在不造成微软的联机服务运作中断的情况下对相关风险进行管理。

由内部和外部人员执行的渗透实验对微软云基础架构安全控制的效力提供了重要的验证。这些审查的结果和对结果进行的持续评估可被用于后续的扫描、监控，以及风险弥补工作。

通过用自动化的方式部署标准强度的操作系统映像，并积极使用主机策略控制功能，如组策略，使得微软可以控制微软云基础架构中新增的服务器。一旦部署完成，微软的运维审查流程和补丁管理工作就会提供持续的保护，减缓主机系统的安全风险。

• OSSC借助审计和报表实现检测控制，并且在发生事件后，可提供深入信息甚至法庭证据。由边界防火墙、入侵检测设备，及网络设备生成的日志将通过SYSLOG协议进行集中收集，并作为文件保存。这些文件中包含的针对特定事件的记录则可解析并上传到中央SQLServer数据库。上传的记录可使用自动化工具进行分析，以便能找出针对被监控环境的异常行为或恶意活动的模式，如果对活动进行调查发现操作可能是被批准的，则还会触发SIM团队的警报。处理完每个日志文件后，还会对文件生成密码哈希，并将其与相关文件状态保存在同一个数据库中。创建哈希后，每个数据文件会被压缩并存储在冗余的文件归档服务器中。哈希值使得在需要进行额外分析时，审计和调查人员能够验证存储在档案中的原始日志文件的完整性。
• 对于微软云基础设施中的一些重要服务器，如域控制器、安全服务器，以及包含敏感信息的服务器，其审计日志会通过微软System Center Operations Manager 2007的Audit Collection Services(ACS)功能进行近乎实时的收集，并保存在SQLServer数据库中。由于这些环境会收集到大量数据，因此重要或相关事件(也叫作“感兴趣的事件”)会从中提取出来，然后转发到另一个SQL数据库，针对该数据库，OSSC会使用自动化的工具执行详细的分析，并寻找可疑活动。从事件日志中收集的信息包括用户登录、安全策略配置的变动，以及未经授权的系统或应用程序文件访问。与由边界和网络设备生成的记录类似，从审计日志中提取的感兴趣的事件可以看作是控制失败，对服务器配置进行未经授权的修改，以及其他恶意活动的证据。

另外，针对微软Operations Manager(MOM)和微软System Center Operations Manager创建的自定义的管理包则提供了实时警报和健康监控功能。这样即可从另一个角度了解安全问题、影响系统完整性的改动，以及特定系统的策略违背情况。这些MOM和System Center Operations Manager事件会被整合到标准的运维框架中。微软内部运维团队采用的方法也需要使用这些内容减缓不那么紧迫的问题。

从不同日志文件中提取的信息可用于事件创建、报表生成，以及历史趋势等用途，所有这些内容都可用于验证控制框架中控制机制的效力。

服务连续性

IaaS服务提供商应该保证数据中心的运行连续性，保证根据SLA的定义，保障服务连续性。IaaS服务连续性涉及技术和运营管理。技术方面包括：负载均衡技术、群集技术、系统高稳定性技术、虚拟化高可用性技术等。管理方面包括：运行监控、安全管理、补丁管理等。

PaaS安全策略与实践

PaaS云提供给用户的能力是在云基础设施之上部署用户创建或采购的应用，这些应用使用服务商支持的编程语言或开发工具，用户并不管理或控制底层的云基础设施，包括网络、服务器、操作系统或存储等，但是可以控制部署的应用以及应用主机的某个环境配置。

PaaS(Platform as a Service，平台即服务)提供了应用基础设施，软件开发者可以在这个基础设施之上建设新的应用，或者扩展已有的应用，同时却不必购买开发、质量控制或生产服务器。Salesforce．tom的Force．tom、Google的App Engine和微软的Azure(微软云计算平台)都采用了PaaS的模式。这些平台允许企业创建个性化的应用，也允许独立软件厂商或者其他的第三方机构针对垂直细分行业建立新的解决方案。

PaaS在信息安全方面需要考虑的因素包括以下几个方面。

身份与访问管理

身份与访问管理涉及对使用者的身份认证／单点认证、授权以及用户身份生命周期的管理。

(1)身份认证／单点登录：如何在企业中启用单点登录，以简化应用程序访问过程中的用户体验，并降低与额外的用户凭据有关的风险和管理负担?服务提供商是否支持使用单点登录所必需的，基于标准的联合身份验证技术?

(2)身份周期管理：管理用户的交付，以确保用户权限的精确和及时管理。企业还应考虑采用联合身份验证(如基于声明的安全性)，以增强现有用户权利在内部系统和云服务之间的便携性。

基于云的服务要求安全地跨域协作，并保护防范人员和设备身份的误用。任何负责身份和访问控制的系统，尤其是针对高价值资产的此类系统，都应使用基于用户面对面证明机制的身份框架，或者类似强度的其他流程，并使用强壮的加密凭据。这些凭据有助于实现“基于声明”的访问控制系统，此类系统可对系统中任何实体的声明进行身份验证。该验证系统的强度则应在保护系统用户的隐私方面进行合理的权衡。为了帮助实现这一平衡，对于任何特定的事务或服务的连接，系统都应允许强声明在不需要获取任何非必要信息的情况下进行传输和验证。

安全的身份管理是任何环境的基础，但在云计算的环境中，可能会变得更加复杂。典型的云系统通常包含多种身份声明提供程序，并使用相对独立的流程，因此必须充分理解并证实其可信。将服务迁往云端往往会产生多个问题：身份的所有权归谁?针对身份和访问管理可实施怎样的控制?组织是否可更改声明提供程序?联合身份验证功能如何用于不同提供程序?身份验证和授权如何与身份进行捆绑?如何与组织范围之外的，使用不同身份提供程序的人建立自由式的协作?

任何需要与不同应用程序进行交互的身份环境都必须使用身份声明，并需要在云端和本地建立双向的，安全的数据访问控制迁移机制。这样的环境必须可被组织，以及使用云服务的个人所管理。

在帮助每个参与者理解某个身份提供程序可提供何种程度的信任和责任方面，身份提供程序的资质和声誉系统扮演了重要的角色。在这种情况下，提供强凭据需求的数字化身份系统即可根据交互式声明，同时对内部和云提供商的用户进行验证，可极大地改善安全性和数据完整性。

信息保护

服务运行过程中所涉及数据的敏感度是决定服务是否能够由服务提供商进行管理的主要因素，如果可以，又应使用怎样的访问控制机制以确保事务中可以满足合规性义务的要求。通过实施有效的数据分类方法即可了解事务中所涉及数据的类型，并可确定在不同情况下需要使用的控制机制，这样有助于组织更容易地做决策。无论数据保存在哪里，如何传输，组织都需要确定自己对于数据处理和信息管理的接受程度。这一基本原则也适用于今天的内部环境。

另外，还需要了解在交付云服务的过程中可能遭遇的挑战，包括数据主权、信息的访问，以及数据的分隔和处理。

• 多年来，已经针对数据的保护制定了相关的规章制度。这些制度通常都针对特定的司法制度，用于对数据的权威性划定限制或范围。随着云计算的到来，数据可能会保管在最初确定的范围之外，或位于多种不同的范围或位置中。在客户的司法范围或位置之外承载数据可能导致有关信息管理和访问方面的问题，即谁或哪些实体对数据拥有“主权”。目前一些较新的云服务正在尝试通过允许客户指定数据的物理存储位置，解决这些挑战。

• 当信息的管理和控制从一方转交给另一方，组织可能会失去保护、获取，或移动信息的能力。因此一定要理解谁控制了访问信息所需的身份和身份验证系统，备份数据都保存在哪里，是否支持对数据进行加密，加密解决方案有哪些相关成本(例如功能的缺失)，以及如果对服务提供商的选择存在分歧，如何获取对数据的访问和管理。例如，是否可以确保如果服务被取消，服务提供商无法保留任何数据。
• 最后，如果数据被存储在公共云中，承载数据的基础设施可能是与其他组织所共用的。此时依然可以借助强数据保护实践确保数据按照正确的方式进行分隔和处理。因此在批准在云端处理数据之前，组织一定要明确谁可以访问自己的数据，并考虑相关风险是否是可接受的。另外还需要明确云服务提供商的架构，以确信如何保护共享的虚拟机防范来自相同物理硬件上，被恶意用户使用的其他虚拟机进行的各种形式的潜在攻击。

设计信息保护时，需要考虑的因素如表2所示。

　

服务连续性

• 如果要将关键业务流程迁移到云计算模型下，还需要对内部安全流程进行更新，以允许多个云提供商可以在需要时参与到这一流程中。这其中包括的流程有安全监控、审计、法定责任、事件响应，以及业务连续性等。这一协作必须被包含到客户和云提供商最初的云交付工作中，并需要照顾到所有参与方的需求。对于某些应用或服务，服务的安全需求非常简单直观，但对其他服务(例如，涉及高价值资产的服务)，则需要考虑并建立更加严格的需求，包括物理安全需求、额外的日志，以及更深入的管理员背景核查等。

任何云服务协议都应包含有关性能问题、管理等问题的详细规划，按照需要照顾到网络和映像方面的法定责任，并包含在服务的交付遇到中断后，负责进行修复的特定责任联系人和流程。最终，该协议应当定义云服务应以怎样的价格提供何种程度的安全监控和审计功能。

SaaS安全策略与实践

SaaS应用提供给用户的能力是使用服务商运行在云基础设施之上的应用，用户使用各种客户端设备通过浏览器来访问应用。

SaaS在信息安全方面需要考虑的因素包括以下几种。

工程安全

SaaS安全非常重要的一方面是在服务设计、开发时引入安全的设计、编码的考虑和评估。微软自2002年以来，一直致力于安全开发周期(SDL)的实践活动，并取得了积极的效果。微软SDL实践的情况如下。

任何开发软件的组织都应当遵循一定的设计和开发流程，以在自己的产品中包含安全和隐私保护功能。云计算环境的设计和开发也是如此，并且往往需要一种流程，能够将安全和隐私保护贯彻到应用程序和软件开发的整个过程中一无论是由组织的开发部门，或者云提供商和／或其他第三方开发的程序皆是如此。虽然作为一项收益，云运营商可以提供整合式安全技能，但依然需要确保提供商的开发和维护流程在每个开发阶段都考虑到安全和隐私保护。微软的应用程序开发工作使用了安全开发生命周期技术，并已将其扩展到云计算环境中开发工作的每个阶段。

(1)需求。

这一阶段的主要目标是确定主要安全目标，否则需要在确保最大程度的软件安全性的同时，确保客户易用性、规划，以及计划方面的影响降到最低。

(2)设计。

这一阶段的关键安全步骤包括记录潜在的攻击面，以及建立威胁模型。

(3)实施。

在这一阶段中，开发团队必须采取措施以确保代码中不存在已知安全漏洞，为此需要遵守一定的代码编写标准，并针对软件的进化使用分析工具。

(4)确认。

在这一阶段，团队必须确保代码满足前期阶段中建立的安全和隐私信条，团队还需要完成公开发布的隐私评估。

(5)发布。

在这一阶段需要进行最终的安全审查，这种审查有助于确定产品是否已经足够安全，并可以发布，为此需要确保软件满足所有标准的安全需求，并满足任何额外的，与特定项目有关的安全需求。

(6)响应。

软件发布后，提供商还需要准备安全响应小组，以找出、监控、解决，以及响应安全事件和微软软件的安全漏洞。提供商还需要管理涉及整个公司范围的安全更新发布流程，并承担单点协调和沟通的工作。

在对云服务提供商进行评估时，应询问有关提供商的特定安全开发流程方面的问题。这些流程应反映上述每个通用阶段，因为上述每个领域对整体的安全开发流程都至关重要。另外还需要讨论这一安全流程在长期时间内的性质，包括威胁模型的更新频率，安全响应小组的职能，以及客户如何获得有关安全更新的通知等。

应用安全设计框架

在应用设计、编码时，在实行SDL的同时，需要采用安全设计框架以加强SaaS服务的安全性。应用安全设计框架如表3所示。

云安全常见问题

云计算所带来的新兴安全问题主要包含以下几个方面。

1．云计算资源的滥用

由于通过云计算服务可以用极低的成本轻易取得大量计算资源，于是已有黑客利用云计算资源滥发垃圾邮件、破解密码及作为僵尸网络控制主机等恶意行为。滥用云计算资源的行为，极有可能造成云服务供应商的网路地址被列入黑名单，导致其他用户无法正常访问云端资源。例如，亚马逊EC2云服务曾遭到滥用，而被第三方列入黑名单，导致服务中断。之后，亚马逊改采用申请制度，对通过审查的用户，解除发信限制。此外，当云计算资源遭滥用作为网络犯罪工具后，执法机关介入调查时，为保全证据，有可能导致对其他用户的服务中断。例如，2009年4月，美国FBI在德州调查一起网络犯罪时，查扣了一家数据中心的电脑设备，导致该数据中心许多用户的服务中断。

2．云计算环境的安全保护

• 当云服务供应商某一服务或客户遭到入侵，导致资料被窃取时，极有可能会影响到同一供应商其他客户的商誉，使得其他客户的终端用户不敢使用该客户提供的服务。此外，云服务供应商拥有许多客户，这些客户可能彼此间有竞争关系，而引发强烈地利用在同一云计算环境之便动机，去窃取竞争对手的机密资料。
• 另一个在国内较少被讨论的云安全问题是在多用户环境中，用户的活动特征亦有可能成为泄密的渠道。2009年在ACM上发表的一份研究报告，即提出了在同一物理服务器上攻击者可以对目标虚拟机发动SSH按键时序攻击。

以上安全问题的对策，有赖于云服务供应商对云计算环境中的系统与数据的有效隔离。但不幸的是，大多数的云服务供应商都有免责条款，不保证系统安全，并要求用户自行负起安全维护的责任。

3．云服务供应商信任问题

传统数据中心的环境中，员工泄密时有所闻，同样的问题，极有可能发生在云计算的环境中。此外，云服务供应商可能同时经营多项业务，在一些业务和计划开拓的市场甚至可能与客户具有竞争关系，其中可能存在着巨大的利益冲突，这将大幅增加云计算服务供应商内部员工窃取客户资料的动机。此外，某些云服务供应商对客户知识产权的保护是有所限制的。选择云服务供应商除了应避免竞争关系外，亦应审慎阅读云服务供应商提供的合约内容。此外，一些云服务供应商所在国家的法律规定，允许执法机关未经客户授权，直接对数据中心内的资料进行调查，这也是选择云服务供应商时必须注意的。在欧盟和日本的法律限制涉及个人隐私的数据不可传送及储存于该地区以外的数据中心。

4．双向及多方审计

其实问题1到3都与审计有关。然而，在云计算环境中，都涉及供应商与用户间双向审计的问题，远比传统数据中心的审计来得复杂。国内对云计算审计的讨论，很多都是集中在用户对云服务供应商的审计。而在云计算环境中，云服务供应商也必须对用户进行审计，以保护其他用户及自身的商誉。此外，在某些安全事故中，审计对象可能涉及多个用户，复杂度更高。为维护审计结果的公信力，审计行为可能由独立的第三方执行，云服务供应商应记录并维护审计过程所有稽核轨迹。如何有效地进行双向及多方审计，仍是云安全中重要的讨论议题，应逐步制定相关规范，未来还有很多的工作需要做。

5．系统与数据备份

很多人都有这样的认为，即云服务供应商已做好完善的灾备措施，并且具有持续提供服务的能力。事实上，已有许多云服务供应商因网络、安全事故或犯罪调查等原因中断服务。此外，云服务供应商亦有可能因为经营不善宣告倒闭，而无法继续提供服务。面对诸如此类的安全问题，用户必须考虑数据备份计划。

另外一个值得注意的问题是，当不再使用某一云服务供应商的服务时，如何能确保相关的数据，尤其是备份数据，已被完整删除，这是对用户数据隐私保护的极大挑战。这有待于供应商完善的安全管理及审计制度。

云安全的应用研究方向

云安全的应用研究方向主要有3个方向。

1．云计算安全

主要研究如何保障云计算应用的安全，包括云计算平台系统安全、用户数据安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护，乃至合规审计等多个层面的安全。

2．网络安全设备、安全基础设施的“云化”

网络安全设备的“云化”是指通过采用云计算的虚拟化和分布式处理技术，实现安全系统资源的虚拟化和池化，有效提高资源利用率，增加安全系统的弹性，提升威胁响应速率和防护处理能力，其研究主体是传统网络信息安全设备厂商。

对于云安全服务提供商或电信运营商来说，其主要研究领域是如何实现安全基础设施的“云化”来提升网络安全运营水平，主要研究方向是采用云计算技术及理念新建、整合安全系统等安全基础设施资源，优化安全防护机制。例如通过云计算技术构建的超大规模安全事件、信息采集与处理平台，可实现对海量信息的采集、关联分析，提高全网安全态势把控能力、风险控制能力等。

3．云安全服务

云安全服务是云计算应用的一个分支，主要是基于云安全业务平台为客户提供安全服务，云安全服务可提供比传统安全业务更高可靠性、更高性价比的弹性安全服务，而且用户可根据自身安全需求，按需定购服务内容，降低客户使用安全服务的门槛。云安全业务按其服务模式可分为两类，若该服务直接向客户提供，则属于SaaS业务；若作为一种能力开放给第三方或上二层应用，则可归类为PaaS业务。

云安全的标准化组织

目前，云安全研究还处于起步阶段，业界尚未形成相关标准。但业已有70个以上的业界组织正在制定云计算相关标准，其中超过40个宣称有包含安全相关的议题。例如，美国的National Institute of Standards and Technology(NIST)已成立云计算工作小组，并且也发布了少数研究成果，但还没有提出具体的标准。欧盟的European Network and Information Security Agency(ENISA)也发布了云安全风险评估与云安全框架等相关研究成果。目前以Cloud Security Alliance(CSA)所发布的云安全研究成果，涵盖面最为完整，但仍有很多领域的成果未发布。

其次业界在云计算应用安全方面的研究相对较多的是一些CSA、CAM等相关论坛。而在安全云研究方面，主要由各安全设备厂家自行对自有安全产品进行“云化”研发，在业界并未形成相关标准组织或论坛。

• CSA是目前业界比较认可的云安全研究论坛，其发布的《云安全指南》是一份云计算服务的安全实践手册，准备或已经采用了云计算服务的IT团队从中可以获得在如何选择云服务提供商、如何签署合约、如何实施项目和监视服务交付等商业活动中的安全注意事项，这些推荐事项可以用来保证企业安全策略的正确顺利实施，避免出现因安全事件、法律法规方面的疏忽或合同纠纷等带来的商业损失。目前已有越来越多的IT企业、电信运营商加入到该组织中来。

另外，欧洲网络信息安全局(ENISA)和CSA联合发起了一个项目——Common Assurance Metric-Beyondthe

Cloud(简称CAM)。CAM项目的研发目标是开发一个客观、可量化的测量标准，供客户评估和比较云计算服务提供商安全运行的水平。CAM计划于2010年底提出内容架构。学术界也成立了ACM Cloud Computing Security Workshop等专属学术交流论坛。此外，ACM Conferenceon Compmer and Communications Security(CCS)也有云安全专属的分组。目前相关的学术研究，主要关注Web安全、数据中心及虚拟环境安全。

至于黑客界，也分别在BlackHatUSA2009及2010的大会上，发表了云端服务及虚拟化环境的安全漏洞、利用云端服务作为僵尸网络恶意控制主机及虚拟环境中密码方法的弱点等研究成果。

由于云安全的许多领域正在积极发展，估计短期内很难有统一的云安全标准。但根据业界专属需求或特定部署方式制定的标准，较有可能于近期内发布。

云安全的发展趋势

• 云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。云安全的策略构想是：使用者越多，每个使用者就越安全，因为如此庞大的用户群，足以覆盖互联网的每个角落，只要某个网站被挂马或某个新木马病毒出现，就会立刻被截获。
• 云安全的发展像一阵风，瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士、卡卡上网安全助手等都推出了云安全解决方案。瑞星基于云安全策略开发的2009新品，每天拦截数百万次木马攻击，其中2009年1月8日更是达到了765万余次。趋势科技云安全已经在全球建立了五大数据中心，几万部在线服务器。据悉，云安全可以支持平均每天55亿条点击查询，每天收集分析2．5亿个样本，资料库第一次命中率就可以达到99％。借助云安全，趋势科技现在每天阻断的病毒感染最高达1000万次。
• 云安全的核心思想是建立一个分布式统计和学习平台，以大规模用户的协同计算来过滤垃圾邮件：首先，用户安装客户端，为收到的每一封邮件计算出一个唯一的“指纹”，通过比对“指纹”可以统计相似邮件的副本数，当副本数达到一定数量，就可以判定邮件是垃圾邮件；其次，由于互联网上多台计算机比一台计算机掌握的信息更多，因而可以采用分布式贝叶斯学习算法，在成百上千的客户端机器上实现协同学习过程，收集、分析并共享最新的信息。反垃圾邮件网格体现了真正的网格思想，每个加入系统的用户既是服务的对象，也是完成分布式统计功能的一个信息节点，随着系统规模的不断扩大，系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟，不容易出现误判假阳性的情况，实用性很强。反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作，来构建一道拦截垃圾邮件的“天网”。反垃圾邮件网格思想提出后，被IEEE Cluster2003国际会议选为杰出网格项目，在2004年网格计算国际研讨会上作了专题报告和现场演示，引起较为广泛的关注，受到了中国最大邮件服务提供商网易公司的重视。既然垃圾邮件可以如此处理，病毒、木马等亦然，这与云安全的思想就相距不远了。

云安全与传统网络安全的区别

云安全包括两种含义，分别是云计算应用的安全以及云计算技术在网络安全领域的具体应用。

• 云计算安全与传统信息安全并无本质区别，但由于云计算自身的虚拟化、无边界、流动性等特性，使得其面临较多新的安全威胁；同时云计算应用导致IT资源、信息资源、用户数据、用户应用的高度集中，带来的安全隐患与风险也较传统应用高出很多。例如，云计算应用使企业的重要数据和业务应用都处于云服务提供商的云计算系统中，云服务提供商如何实施严格的安全管理和访问控制措施，避免内部员工或者其他使用云服务的用户、外部攻击者等对用户数据的窃取及滥用的安全风险。如何实施有效的安全审计、对数据的操作进行安全监控、如何避免云计算环境中多客户共存带来的潜在风险、数据分散存储和云服务的开放性以及如何保证用户数据的可用性等，这些都对现有的安全体系带来新的挑战。
• 许多安全问题并非是云计算环境所特有的，不论是黑客入侵、恶意代码攻击、拒绝服务攻击、网络钓鱼或敏感信息外泄等，都是存在已久的信息安全问题。许多人对云安全的顾虑甚为担忧，源自于混杂了互联网固有的安全问题和云计算所带来的新兴安全问题。例如，2009年12月，Zeus恶意代码被入侵到亚马逊(Amazon)服务，形成恶意控制主机事件，被许多人视为新兴的云安全问题。然而，同样的安全问题也存在传统的计算环境，这个事件再次说明了云安全和传统信息安全在许多方面的本质是一样的。
• 另外，在现有网络安全形势日益严峻的形势下，传统的网络安全系统与防护机制在防护能力、响应速度、防护策略更新等方面越来越难以满足日益复杂的安全防护需求。面对各类恶意威胁、病毒传播的互联网化，必须要有新的安全防御思路与之抗衡，而通过将云计算技术引入到安全领域，将改变过去网络安全设备单机防御的思路。通过全网分布的安全节点、安全云中心超大规模的计算处理能力，可实现统一策略动态更新，全面提升安全系统的处理能力，并为全网防御提供了可能，这也正是安全互联网化的一个体现。