云计算中的信息安全

云计算中的信息安全
1、什么是云计算
随着互联网的飞速发展，云计算，不再仅仅再是概念，它已经开始给企业带来真金白银。

是继上世纪末期大型计算机到客户端-服务器的大转变之后的又一种巨变。

云计算的各方面定义很多，基于用户的视角来看，目的就是让使用者在不需了解资源的具体情况下做到按需分配，将计算资源虚拟化为一片云。

站在高处看，当前的主流云计算更贴切于云服务，个人认为可理解为早先运营商提供数据中心服务器租用服务的延伸。

以前用户租用的是一台台物理服务器，现在租用的是虚拟机，是软件平台甚至是应用程序。

云计算是一种基于因特网的超级计算模式，在远程的数据中心，几万甚至几千万台电脑和服务器连接成一片，共同拥有和使用同一类资源或资料，协同处理某项工作或处理某项进程。

而对用户来讲，则不需要知道所进行的为何种计算过程，只是在将条件和要求提交给相应的计算机系统后，得到结果而已。

因此，云计算甚至可以让你体验每秒超过10万亿次的运算能力，如此强大的运算能力几乎无所不能。

公认的三个云计算服务层次是IaaS（Infrastructure asa Service）、PaaS（Platform as a Service）和SaaS（Software as a Service），分别对应硬件资源、平台资源和应用资源。

用户通过电脑、笔记本、手机等方式接入数据中心，按各自的需求进行存储和运算。

2、云计算面临的安全威胁
然而在云计算蓬勃发展的当今阶段，对信息的安全问题同样提出了新的要求，信息安全也面临的新的威胁。

我们见过众多的关于安全类的规范和模型，以及当今众多声称能改进的安全工具，也有新的法律、法规，形成了众多的安全和执法团队，同时与安全技术相关的会议、课程、认证、培训等不断的发展，但关于违反安全性的报告数量仍急速增长。

由于大量的客户信息，数据等等都存储在云端，就导致安全事件也从最初的PC 性能下降、上网速度变慢，甚至网络瘫痪，发展到现在的数据丢失、信息泄密等严重状态，各种安全事件的破坏力也越来越大，尤其在云计算中发生安全事件带来的损失更是不可估量。

在信息安全中，威胁最大的无疑是计算机病毒。

国家计算机病毒应急处理中心统计，09年新增病毒299万个，是08年新增病毒数的3.2倍，其中木马程序巨量增加，截至09年底，木马样本共330万多个，占病毒木马样本总数的72.9%，而08年这一比例只有54%；2009年发现新增木马246万多个，是2008年新增木马的5.5倍。

09年5月19日21时50分，江苏、安徽、广西、海南、甘肃、浙江六省区网络突然“瘫痪”，该致“5·19”网络瘫痪案的犯罪分子，竟然是5名只有初中文化的“80后”黑客；
之所以出现这种情况，是因为随着互联网技术的飞速发展，计算机病毒技术也迅速发展，并且逐渐融合了网络蠕虫、木马、拒绝服务攻击等各种攻击手段，由最初的计算机高手仅仅是为炫耀自身技术，到现在以追求利益、追求暴利为目的，计算机病毒技术也具备了免查、免杀、自毁等功能，病毒加壳、加花等变种技术也已经工具化，所以安全厂商在搜集病毒样本时，逐渐变的力不从心，而安全厂商搜集不到病毒样本就无法给出解决方案，这正是致使病毒、木马每年都在急速增长的主要原因。

3、云安全真的安全吗？
随着云计算的兴起与发展，有人就提出了“云安全”概念，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状部署的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server 端进行自动分析和处
理，再把病毒和木马的解决方案分发到每一个客户端。

所以通过深入了解我们就不难得出结论，这种方式没有从根本上解决问题，这是由目前杀毒软件技术设计概念的缺陷性导致的。

那么杀毒软件的核心技术是什么？存在哪些缺陷呢？
杀毒软件的核心技术——特征码扫描技术。

从病毒体中提取病毒特征值构成病毒特征码库，反病毒软件将用户计算机中的文件或程序等目标，与病毒特征码库中的特征值逐一比对，来判断该目标是否是病毒或被病毒感染。

病毒特征码判断就依据像指纹码识别一样，一个指纹对应一个人，一个特征码只对应一个病毒。

结论：杀毒软件以外貌（特征码）判断该可疑程序或程序模块是否是病毒。

如何获取病毒特征码——从计算机中提取可疑程序，然后返回公司的实验室，运行可疑程序侦测其行为，如果行为符合病毒定义，则据此判断此可疑程序是病毒。

我们得出结论：杀毒软件能够查杀病毒的关键，反病毒公司必须先收集到病毒样本之后才能判断。

病毒样本来源：传统的做法是采用蜜罐等诱捕技术，在互联网部署采用蜜罐等诱捕技术的计算机，能够自动收集到部分病毒，但这种方式需要在互联网部署大量的计算机，这需要很高的成本，而所收集病毒的数量少的非常可怜。

为了解决这个问题，所以才提出云安全，云安全解决了安全厂商搜集病毒样本的困难，加快了安全厂商搜集病毒样本的速度，但是无论样本搜集的多快，注定是要滞后于病毒产生的速度，病毒通过加壳、加花、变种、自动更新等免杀技术，可以轻松躲过杀毒软件。

所以云安全也没有从根本上解决问题。

另外，我们的应用程序自身若存在重大安全隐患，因为，在获取木马、病毒、恶意程序传送到云端(Server 端)的同时，容易将终端的文件、客户资料等信息一并传走。

这样数据丢失、泄密事件发生就是再平常不过了。

何况很多政府、企、事业单位的内网与互联网是物理隔离的，无从实现实时跟踪和检测，也就更谈不上云安全了。

4、云计算中的信息安全仍需立体防护、监控并举、构建主动防御网络
云计算中应建立立体防护、监控并举、主动防御的安全体系，只有变被动为主动，从静态转变为多层次立体动态防护，才是有效保护网络信息安全的技术发展趋势。

这种安全体系大体可以分为三个部分：云端安全、边界安全和终端安全。

4.1云端和终端安全
云端的服务器和终端需要安装安全软件、上网行为管理软件、主动防御软件，构建主动防御体系。

从API 接口监控、程序关联分析、行为逻辑判断这一系列的方式来做到主动防御。

现在也有一些组织提出了主动防御技术，主动防御技术是以程序行为作为判断标准的智能分析判断及实时防御技术，不以程序特征码作为判断依据，而是从病毒木马最原始的定义出发，直接将应用程序的行为作为判断依据。

4.2边界安全
边界安全，现在普遍用的都是边界部署防火墙和网络入侵检测\防御系统来实现。

防火墙有三种基本类型：状态检测、无状态检测和代理。

如其名字所示，状态检测防火墙跟踪网络流量（如网络链接）的状态，并把它与一个策略相比较。

有些状态检测防火墙还能查看应用层数据，检查是否一些知名协议（如SMTP）中只使用了常规的命令。

如果SMTP 服务器收到了非SMTP 指令，则防火墙会对发送者假装那些指令已被接受。

无状态防火墙不跟踪链接状态，因此不能关联协议信息。

代理防火墙与实际协议更接近，可提供更好的安全性。

因为他们更加针对应用程序的上下文，根据实际需求不同，防火墙的实现也会不同。

防火墙能以很多方式预防蠕虫感染以及
其他类型的网络攻击。

防火墙对付蠕虫最有效的功能通常就是简单地封锁防火墙后端系统无需使用的端口。

管理员也可以控制从网络中出去的流量。

一般公司都允许其WEB 服务器发起对TCP80端口的访问。

但是这不是好的做法。

原因很多。

让WEB服务器变成WEB浏览器并不是所期望的。

如果这样做了，那么像CodeRed这样的蠕虫就可以进入网络，并从80端口离开，就像它从80端口进来一样。

所以应该选择一个允许控制流量的防火墙，即在两个方向上都能控制局面。

所以，一定要使用防火墙，并坚持不断的对其进行维护。

这里所说的“维护”并不是指每当出现一个攻击新端口的蠕虫时，就封锁一个新端口，而是指随需求的变化而调整防火墙。

与所有安全解决方案一样，防火墙也会带来计算性能上的损失。

尽管状态检测防火墙通常有更佳的性能，但它们不能解决所有应用级别的安全问题，而代理防火墙却能够以稍慢的性能提供这些能力，不幸的是代理防火墙通常更容易受到复杂的协议解析引入的漏洞危害。

另外一点需要注意的是，和传统的安全建设模型强调的物理边界防护不同，云计算环境下计算等资源的高度池化，使得不同的租户在申请云计算服务时，只能实现基于逻辑的划分隔离，不存在物理上的安全边界。

在这种情况下，已经不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。

因此安全服务部署应该从原来的基于各子系统的安全防护，转移到基于整个云计算网络的安全防护，建设集中的防火墙体系，并通过虚拟化防火墙技术，适应这种逻辑隔离的物理模型。

云计算服务商或私有云管理员可以将需要进行安全服务的用户流量，通过合理的技术手段引入到集中的防火墙体系，完成安全服务后再返回到原有的转发路径。

目前在网络领域，IEEE 组织正通过802.1Qbg（EVB）标准，将原本位于每个物理服务器内部的多虚拟资源（虚拟机）的网络流量牵引到网络设备上进行转发，这样网络设备就可以将虚拟资源流量牵引到防火墙上，在防火墙上由各个虚拟防火墙对相应的虚拟资源流量进行过滤和防护。

5、网络入侵检测系统
网络入侵检测系统（NIDS）正日益成为网络安全的重要组成部分。

NIDS 监听网络通信，检查通信的流向及内容。

NIDS 有两种基本类型：基于网络特征的和基于网络流量及协议异常分析的。

一些NIDS 结合了两种方法。

1、特征分析模块把网络中的数据与特征库进行匹配。

特征可用来分析网络协议的包头或在数据包中匹配某种字节序列。

2、NIDS 的网络流量及协议分析功能实际上是一个启发式引擎。

例如，大型的协议分析模块可能可以理解多数相关的协议（如HTTP，FTP，SMTP 等），并能匹配这些协议中的任何异常：如能从过长的URL 中检测到CodeRed 蠕虫；类似，还可以在常见协议的报文的特定字段过长时，向用户发出警报。

这些使得NIDS 一般都能检测到通过协议字段溢出导致目标主机缓存溢出的漏洞利用攻击技术。

NIDS 和防火墙一样能导致网络性能降低，好的NIDS 必须对数据包进行重组，这个过程对性能要求很高。

通常IDS 部署的位置是网络边界处，与防火墙相近的地方，另外一个重要的决定是怎么连接IDS。

有两种不同的IDS 基本模式：日志模式和阻塞模式。

日志模式中的IDS 可能会被连接到一个能接收复制的通信流量的交换机端口上。

这种模式中，IDS 会产生警报，但不能丢弃数据包以防止攻击，恶意数据包可以攻击到目标上，但至少这个报警可以让管理员立即采取措施。

IDS 在日志模式中会运行得很快。

阻塞模式中，IDS 会阻塞网络通信，并对其进行检查，以免恶意通信到达目标。

这种
解决方案中恶意通信会被丢弃，但通常对性能的要求比日志模式高得多。

使用异常检测引擎的IDS方式，其性能会有效得多，因为它只需做少量的恶意流量特征匹配。

然而，具体的IDS特征会有助于更准确地检测一个攻击，并为尚未被异常检测引擎支持的协议提供更好的安全性。

把这两种技术结合在一起以获得更高安全性的混合方案通常是最好的。

同防火墙一样，IDS 在云计算环境中，应具备虚拟化能力，可在逻辑上区分为多个IDS，针对不同租户独立的管理权限、独立的接口管理、独立的威胁统计报表、独立的资源分配（CPU、内存等）等多种虚拟入侵检测技术。

所以，在云计算的环境中，信息安全依然要从服务端、网络边界、终端来综合考虑，构建立体防护、监控并举的主动防御体系。