可信云服务
2022-06-09
摘要:云服务是一类依托于云计算平台的新兴网络服务,其外包服务模式以及云平台自身的安全风险引起了用户的信任问题.云服务可信与否成为用户业务向云迁移的最大顾虑.如何构建安全可信的云服务,成为近年来研究领域的热点之一.该文在分析云计算安全威胁的基础上,提出了可信云服务的定义,并从用户信任预期、安全威胁来源和技术针对的安全目标等角度对可信云服务研究技术的类型进行了划分;然后,系统地梳理了数据存储外包、计算外包、虚拟机外包等典型云服务的安全可信研究工作;最后,探讨了可信云服务的未来研究趋势.
关键词:可信云服务;数据存储外包可信;计算外包可信;虚拟机外包可信
1、引言
随着云计算技术的成熟,以AmazonEC2、GoogleAppEngine等为代表的云服务得到蓬勃发展,越来越多的企业和个人通过外包服务来降低计算成本.IT资源服务化的思想日益普及,呈现“一切皆服务”(XasaService,XaaS)的趋势,服务成为云计算的2015核心概念.然而,在云计算带来便利的同时,服务资源的集中化也进一步增加了安全防范的难度,云服务的安全问题日益凸显.早在2007年就有报道称著名的云服务提供商Saleforce.com因为在服务过程中受到安全攻击而造成大量的租户数据信息泄露或遗失;2010年谷歌公司的两名员工由于入侵云平台租户的账户并获取隐私数据而被解雇.云计算环境所受到的安全威胁严重地影响了用户对云服务提供商的信任程度.2010年富士通公司的调查表明,88%的潜在用户对云的可信性问题表示十分关注与担忧.而RSA首席技术官Hartman也指出:在企业将当前应用向第三方云环境迁移的过程中,首先需要考虑的就是对云服务的信任问题.因此,云服务能否被顺利地推广和使用,在很大程度上取决于云服务的可信性能否达到用户满意的程度.
由于云服务的“外包”特性,用户对云提供商是否能够对其数据安全提供保障,对其应用程序是否按照约定的方式安全执行产生了怀疑,亦即云服务的可信性问题.云服务的可信问题不仅指服务计算环境受其开放、共享等特点而导致服务的客观安全性上受到威胁,同时还指服务质量与服务结果可能受云服务提供商的主观意志等因素导致的不可信.为了规范云服务提供商的行为,帮助用户选择可信的云服务,目前,多家安全标准组织公布了云服务的安全标准,其中,规模最大的云安全标准组织云安全联盟(CloudSecurityAlliance,CSA)发布了《云控制矩阵(CloudControlMatrix,CCM)》等多部安全标准,内容涉及十多个云基础设施领域,不仅涵盖云服务本身的安全问题,还包含了政府、法律法规和硬件架构等合规解决措施,得到业界较广泛的认可.此外,美国国家标准与技术研究院(NIST)、电气和电子工程师协会(IEEE)以及欧洲网络与信息安全局(ENISA)都颁布了自己的云安全标准,分别在公有云计算安全和隐私、云供应商之间的互操作性以及云合同安全服务水平监测等方面为用户提供指南.尽管目前很多业内的云服务提供商还未采用统一的标准,而是各自采纳了自己所认可的准则,但随着云产业的不断演变与架构调整,最终会形成云服务供应商公认的认证标准.云用户可以通过贯彻与广泛采用这类标准对云服务提供商进行安全评估.
在学术界,针对云服务安全可信的研究涵盖了系统安全、数据安全及隐私保护、计算验证等各个方面,具体的研究涉及到系统架构、密码学、计算理论等多个层面.从2009年开始,在OSDI、SOSP、S&P、CCS、INFOCOM等各大安全、系统以及网络方向的顶级会议上,云计算安全以及服务可信技术都是持续热点,CCS专门设置了关于云计算安全的研讨会.著名的信息安全国际会议RSA大会也连续多年将这一问题列为焦点议题.为了更好地把握国际主流的研究方向与先进技术,本文对当前研究热点的云服务可信技术研究进行分析总结,以期为研究人员精准、实时地把握最新研究动态和未来研究趋势提供借鉴.
2、可信云服务基本概念
2.1云计算的定义与特性
NIST对云计算的定义为:云计算是一种通过互联网可以随时随地、便捷、按需地访问共享资源池(如计算设施、存储设施、应用服务等)的计算模式.伯克利对云计算的定义为:云计算既指通过互联网以服务方式提供的应用程序,也指在数据中心用来提供这些服务的硬件和系统软件.综上所述,云计算的核心思想是资源的服务化与用户的广泛性.软硬件资源均可以以服务的形式进行访问,并且用户通过互联网就可以简单地接入使用服务.具体来说,云计算包括5个特性:
(1)按需服务.可以根据用户的需求对服务资源进行自动分配,而不需要服务管理员干预.
(2)泛在接入.用户可以利用各种标准终端(如智能手机、平板电脑、笔记本等)通过互联网访问云服务.
(3)资源池化.服务资源以资源池的方式,利用虚拟化等技术,根据用户需求以多租户的形式服务.资源的放置、管理与分配策略对用户透明.
(4)快速伸缩.服务的规模可以根据用户需求情况快速伸缩,以自动适应业务负载的动态变化.
(5)按使用收费.云服务的资源使用量可以被监控,并依据资源使用情况对服务计费.
2.2云计算环境下新的安全威胁
在大型主机时代,主要服务特点是计算资源在企业内部集中部署,统一管理.系统的管理维护者拥有对计算环境的全部控制权.主机的用户大都采用终端模式与主机相连,本地不进行数据处理与存储.此种计算模式下,安全威胁主要来自于系统外部,安全研究的目标主要是防护来自系统外部的攻击,具体技术包括用户身份认证、访问控制等系统安全研究以及防火墙保护、病毒防范等网络安全研究等.与此相对,云计算可以被看作是以数据中心为核心的“集中计算”,其服务模式呈现“对外集中,对内分布”的特点.从用户的角度,服务的提供方是单一的主体,用户的服务请求由云服务方进行集中处理;而在云服务的内部,则由数据中心的分布式计算资源来协同完成服务过程.云计算内部复杂的资源共享方式与服务处理模式,以及通过互联网的泛在访问,大大增加了云计算安全防护的难度.同时,云计算外包服务的特性也使用户丧失了资源的独占性与一定程度的数据私密性,并且云计算的按使用收费的特性也为服务方为追求利益而损失服务质量埋下隐患.根据云计算的特性,云计算的模式带来如下安全威胁:
安全威胁1.外包服务模式带来数据安全与服务信任问题.云计算外包的服务模式使用户的数据管理与计算等都在云上完成,用户主要关心应用的处理逻辑而无需关心底层细节,但由此,用户将对数据与处理的控制权也交由云服务方来控制,云上的数据及处理是否安全可控成为需要关心的问题.
安全威胁2.资源的共享使用带来安全隔离问题.云计算使用共享资源池来提供用户所需的资源,采用虚拟化技术与物理资源相结合的方式分配资源,不同用户的资源在逻辑视图上相互独立,但其底层物理映射却有可能共享相同的物理资源.恶意用户可能通过各种攻击手段,获取其他用户的信息.
安全威胁3.服务的多级模式带来统一安全监控问题.云计算为用户提供的服务可能处于系统结构中的不同层级,并且位于上层的服务可以基于下层服务来构建.例如,基于基础架构级(IaaS)的服务上构建平台级服务(PaaS),在其上再构建软件级服务(SaaS).传统的安全监控主要集中在单一级别,在多级云服务的架构下,就必须将各级监控技术组合,才能完成针对云计算的统一视图的系统安全监控.
安全威胁4.效用计算模式带来服务可信性度量与计费问题.云计算的“pay-as-you-go”模式使得服务根据使用情况来进行收费,而追求商业利益是商人的天性,不可避免地会出现某些服务商为了追求商业利益而对服务作假.资源使用计量是否真实可信,是保证按使用付费的准确性的前提.
综上所述,用户对云服务的安全怀疑主要集中在客观与主观两个方面:在客观方面,云计算的集中服务模式使其更容易成为安全攻击的目标,而云计算的大规模分布式处理也大大增加了安全管理的难度,因此,服务商是否具有足够的安全管理能力来保护用户信息安全值得怀疑;在主观方面,由于云计算模式下,用户信息的存储、管理以及应用处理都在云服务方完成,用户丧失了控制权,此时如何保证服务方忠实履行自己的服务协议,保证服务质量,并且不会通过自己的特权来违规使用用户资源获利成为必须要解决的问题.
2.3可信云服务的定义
文献中将云服务定义为“所有在远端部署并通过Internet或私有网络访问的应用与服务的总称”,涵盖了各种形式的网络服务.其中,以云平台为底层支撑的新兴服务在利用云计算提供各种便利的同时,还要面对各种新产生的安全威胁,因此,成为可信云服务研究的主要研究对象.
可信系统的概念由Anderson于20世纪70年代初首次提出,之后数十年,计算系统的可信性问题就一直被广泛关注,人们尝试从不同的角度对系统的可信性的概念进行阐述.在云计算环境下,如何评价一个服务是可信的服务,成为用户选择云服务的重要评价标准.下面,给出可信云服务的定义.定义1.如果云服务的行为和结果总是与用户预期的行为和结果一致,那么就可以说云服务是可信的.
这里,我们主要针对云服务在安全性方面的服务质量来考虑服务的可信性.根据上述定义,可以看出,要讨论云服务的可信性,需要明确以下3个方面的问题:
(1)用户的界定.不同的用户拥有的信息安全敏感度不同,从而对云的安全性认定也不同.例如,热点人物的信息敏感度高,外包至云上存储容易导致恶意者的攻击,泄露隐私或破坏其数据安全;而普1期丁滟等:可信云服务通用户信息敏感度较低,将其外包至云上存储则更多地突出了信息保存不易失等特点.
(2)服务行为的区分.不同类型的服务可能涉及到的可信问题也不同.如果在云上运行的是开放性的服务,如网站、社区等,服务的主旨是希望更多的用户访问,云的便利性使其更具竞争力;但如果是公司内部的业务,服务对象、流程、结果等各个环节都可能涉及公司的机密,这样的业务迁移到云上,对服务环境的安全要求就会很高.
(3)信任预期的度量.不同用户针对不同类型的服务,其安全诉求也不同.与自己信任预期相对应的服务对用户来说就是可信的服务.在具体使用过程中,用户可以首先衡量服务的可信度,然后选择能够满足自己信任需求的服务.
3、可信云服务技术分类模型
云计算环境中,服务通过广域网面向用户开放.这种服务模式使得服务必须面对来自广域网的各类安全威胁,并且在云服务内部的各类新兴技术也将面临安全的考验.因此,各类针对云服务的可信性研究成为热点.
下面将从用户信任预期、安全威胁来源以及安全技术实现的安全目标3个维度来对可信云服务技术进行分类.
3.1按照用户信任预期分类
针对可信云服务的研究,可以根据用户对云服务的信任预期的不同分为3个类别:
(1)完全信任(TrustEverything)用户完全信任云服务方会负责保护用户的利益.此种假设下,服务是否可信主要取决于云服务方是否能够具有足够的能力保障系统的安全性,维护用户利益不被侵犯.例如,针对虚拟计算环境的安全隔离、完整性检验等方面的研究多基于这一类前提假设.
(2)条件信任(TrustSomething)用户对云服务方有所怀疑,但是信任经过某种手段验证的云服务,例如,通过具有资质的第三方检验的服务或者利用可信计算技术中TPM芯片等硬件手段验证过的服务等.
(3)最低信任(TrustNothing)用户怀疑云服务方的动机与能力,因此对服务方的信任为最低水平,仅信任服务的可用性、性能、容错等最低保障,其余安全问题靠用户自己解决.当前针对数据存储以及计算验证等方面的问题多属于这一类研究.
可以看出,上述条件信任与最低信任中,用户对云服务方都是持怀疑态度的.honest-but-curious是当前对云服务的一种主流假设,认为服务方基本会提供诚实的服务,但仍需采取谨慎态度.随着云计算技术的发展,对云服务质量监管将成为对云服务可信评价的重要手段,一般情况下,由具有可信资质的第三方来完成.能否通过第三方的检验认证将成为衡量云服务是否可信的重要标准.为了使第三方完成监督检验,云服务需要在云端的服务处理机制中向第三方提供检查接口,由第三方来具体实施检验,得出检验结果.然而,要实现第三方监管,除了技术上的支持,还需要相应的规范条文,以及对第三方的资质认证等一系列的工作,才能形成统一的监控管理.在一定程度上,要实现这样的监管体系,还需要较长时间的努力.因此,当前情况下,研究用户为主导的服务检验手段具有很强的现实意义.
3.2按照安全威胁来源分类
根据云服务中存在安全威胁来源的不同,可信云服务的研究分别针对以下3类安全威胁进行研究.
(1)一般安全威胁
指云系统中存在的软硬件漏洞、网络防护能力不足,以及在社会工程学等常规手段攻击下可能造成的安全风险.此种安全威胁并非仅存在于云服务中,而是在一般信息系统中就早已存在的固有安全问题.但是,由于云计算平台的开放性,使服务的安全边界难以判定,并且云服务的集中化处理也必将吸引更多的恶意攻击,因此,云服务系统必须具备很高的一般安全威胁防范能力.
(2)特权安全威胁
特权安全威胁是由云服务的外包特性产生的.由于云服务的数据存储以及处理等全部在云平台上完成,用户失去了对自己数据以及计算的控制权.此时,如果云平台的管理员具有恶意,就可以利用自己的特权随意访问与修改用户的信息,或者为用户提供错误的计算结果.Gartner的云安全报告中指出,云平台的最大的安全威胁来自于平台提供商对于租户隐私数据的非法访问.因此,在可信云服务的研究中,如何针对特权用户的安全攻击行为进行防范与补救,也成为研究的一个重点.
(3)共享资源安全威胁
云服务的另一个重要特点是资源的共享,通过虚拟化技术的支持,不同用户的应用在同一计算平台上运行,共享物理设备.因此,云服务的恶意用户可能通过底层平台的漏洞对同一物理平台上的其他用户进行旁路(SideChannel)攻击.虚拟机的安全隔离必须能够抵御此类攻击,才能保证用户的信息安全.简而言之,外部攻击者主要利用一般安全威胁,通过常规攻击手段对云服务进行攻击;特权安全威胁则主要来自于云服务的内部工作人员,甚至是云服务提供商本身,利用自身特权破坏用户的信息安全;而共享资源安全威胁主要来自于云服务的用户之间,利用底层的共享资源发起攻击.在云计算模式下的新的安全威胁中,外包服务模式带来的数据安全、服务验证以及可信计费等问题,主要都是对服务方的服务行为是否规范的怀疑,因此属于特权威胁;而计算资源的安全隔离等问题则主要关注在云计算环境中的计算资源共享而导致的威胁,属于共享资源威胁.在可信云服务的研究中,不仅要应用已有的安全防护手段抵御一般安全威胁,更重要的是针对云服务所特有的安全威胁形式进行研究,防护来自于服务方与共享资源用户之间的攻击行为.
3.3按照安全目标分类
可信云服务技术分别针对云服务系统中不同的安全问题,围绕不同的安全目标进行研究,其中,核心的安全目标包括保密性、完整性、可用性、可控性和不可抵赖性5种特性目标:
(1)保密性(Confidentiality).指信息只有被相应授权的主体才能够获取.这里既包括数据信息的内容不被非授权主体获得,还包括用户的行为等隐私的保密.
(2)完整性(Integrity).指信息不能够被未经授权的主体篡改,使信息保持其真实性.这里既包括存储的数据不被恶意修改,也包括数据处理等服务结果不被恶意篡改.
(3)可用性(Usability).指被授权的主体在需要使用服务时能及时访问服务的能力.可用性是在网络化服务必须满足的一项基本的信息安全要求.(4)可控性(Controlability).指对信息系统中的信息和系统行为实施安全管理与监控,防止对信息和信息系统的非法滥用.
(5)不可抵赖性(Non-repudiation).原指信息交换过程中的行为不可抵赖,也可以扩充到信息系统中的行为人不能否认自己的处理行为.可审计性(Audiability)与可鉴别性(Authenticity)均与此类似,可审计性更侧重于对系统行为的记录,可鉴别性则侧重于行为主体的身份的真实性.
针对上述安全目标,可以采取的安全手段可以分为主动控制与事后追责两类.主动控制类的技术如隐私保护、安全隔离等在处理的过程中进行控制,使威胁系统安全性的行为无法发生;而事后追责的技术主要通过对处理过程的信息进行记录与分析,从而发现恶意行为,完整性验证、安全审计等属于事后追责技术.事后追责的技术虽然不能直接地控制恶意行为的发生,但由于安全手段的存在意味着违规的行为将会受到惩罚,从而形成一定的威慑作用,可以间接地避免恶意行为.
下面,就以上述提出的可信云计算计数分类模型为基础,对当前可信云服务研究的焦点技术进行分析.
4、关键技术研究