云计算与云安全框架研究

云计算与云安全框架研究

摘要：云计算（cloud computing）是一种基于因特网的超级计算模式，在远程的数据中心里，成千上万台电脑和服务器连接成一片电脑云。用户通过电脑、笔记本、手机等方式接入数据中心，按自己的需求进行运算，为了将各种技术手段有机地结合起来形成真正具备安全能力的服务，必须在设计平台之初就考虑到各种安全需求，并且在运营过程中持续地把安全保障作为一个核心问题来对待。

关键词：云计算计算模式电脑云数据中心安全保障

1 什么是云计算？

云计算（cloud computing）是一种基于因特网的超级计算模式，在远程的数据中心里，成千上万台电脑和服务器连接成一片电脑云。因此，云计算甚至可以让你体验每秒10万亿次的运算能力，拥有这么强大的计算能力可以模拟核爆炸、预测气候变化和市场发展趋势。用户通过电脑、笔记本、手机等方式接入数据中心，按自己的需求进行运算。it精英们如何看待云计算？IBM的创立者托马斯·沃森曾表示，全世界只需要5台电脑就足够了。比尔·盖茨则在一次演讲中称，个人用户的内存只需640K足矣。李开复打了一个很形象的比喻：钱庄。狭义的云计算是指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展

的，并且可以随时获取，按需使用，随时扩展，按使用付费。这种特性经常被称为像水电一样使用IT基础设施。广义的云计算是指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的，也可以是任意其他的服务。

2 云计算的原理

云计算(Cloud Computing)是分布式处理(Distributed Computing)、并行处

理(Parallel Computing)和网格计算(Grid Computing)的发展，或者说是这些计算机科学概念的商业实现。云计算的基本原理是，通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，企业数据中心的运行将更与互联

网相似。这使得企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。

3 云计算有哪些好处？

1、安全，云计算提供了最可靠、最安全的数据存储中心，用户不用再担心数据丢失、病毒入侵等麻烦。

2、方便，它对用户端的设备要求最低，使用起来很方便。

3、数据共享，它可以轻松实现不同设备间的数据与应用共享。

4、无限可能，它为我们使用网络提供了几乎无限多的可能。

4.云计算基础安全服务和架构

基础安全服务和架构[1]定义包含了企业安全框架中的五个核心的基础技术构架和相关服务：物理安全、基础构架安全、身份/访问安全、数据安全和应用安全。基础安全服务和架构是安全运维和管理的对象，其功能由各自子系统提供保证。对一个具体的基础架构云来说，云计算平台采用统一管理的系统资源为用户提供各种IT资源服务，每个用户在属于自己的虚拟资源下运行相关程序。用户可控制这些虚拟资源的安全策略，而服务提供商需要确保这些虚拟资源之间是通过一定技术手段相互隔离的，以下是几种处理云计算安全的技术手段。

4.1用户认证与授权

用户的认证与授权管理旨在授权合法用户进入系统和访问数据库，同时保护这些资产免受非授权的访问。云计算的用户及其业务流程和应用向越来越多的员工、终端客户和业务伙伴开放，安全威胁不仅来自外部互联网，也来自内部的安全隐患，这种互通性向云计算系统提出新的挑战——如何经济高效地管理这些用户以及他们对系统

的访问[2]。

通过集中的身份和访问管理，云计算的用户能够以一种基于标准的方法保护那些影响生产效率的资产和信息，并且使企业能够满足安全需要，降低成本，提高用户体验，增加效率和避免风险。云计算的用户认证与授权措施需要具备如下的能力：

身份管理。在用户身份生命周期中，有效地管理用户身份和访问资源的权限是非常关键的。具体包括：

1、用户生命周期管理，包括用户自注册、自管理和自动化的用户ID部署服务。

2、用户身份控制，包括访问和权限控制、单点登录和审计。

3、访问授权。应该在用户生命周期以内提供及时的访问，从而加强安全，保护IT资源。用户生命周期可能跨越多种环境和安全域。可以通过集中的身份、访问、认证和审查服务，帮助监测、管理并降低身份识别和访问的风险。一般情况下，访问管理应提供以下功能[3]：

1、为多个服务和用户提供集中的访问控制，确保安全策略的执行是一致的。

2、根据IT需求和业务目标，提供基于策略的安全基础架构自动化。

3、在一个基础设施环境下集成访问和身份管理的能力。

4、在信任的web服务应用系统间建立共享认证和属性信息的身份联邦。

管理分布式环境下的用户，包括能够为用户配置一个或多个角色。主动强制安全策略，实现基于角色和规则的自动化管理。可模拟策略变更，以便掌握新的安全策略对用户可能产生的影响。安全高效地联接组织内部目前及今后可能引入的应用软件，操作系统和资源。提供重要的标准报告以满足管理规范的要求。提供执行口令和个人信息变更的Web自助接口。配置必要的软件组件，包括必要的数据库、LDAP服务器、Web与应用服务器。

4.2数据隔离

数据的隔离是大家都比较关心的问题。基础架构云服务的一个核心技术是虚拟化，这意味着不同用户的数据可能存放在共享的物理存储之上。

云计算系统对于客户数据的存放问题可再用两种方式实现：提供统一共享的存储设备；提供单独的存储设备。

当用户选择用共享存储设备存放数据时，通过存储设备自身的安全措施，比如存放映射等功能可以确保数据的隔离性，其优点为：

1、基于共享存储的方式节约存储空间。

2、统一管理，节约管理相关的费用。

3、存储整合，便于管理，便于备份及容灾的实现。

4、提供足够、有效的安全措施来保护数据。

当用户选择单独的数据存放设备时，从物理层面的隔离保护了用户重要数据，但缺点是存储设备无法有效利用，当用户规模扩大的时候，无法实现对分布的独立的存储设备进行有效管理，从而使整个云的成本和可用性大打折扣。

4.3 数据加密

数据加密的目的是防止他人拿到数据的原始文件后进行数据窃取。在云计算环境中，数据的隔离机制已经可以防止其他用户对数据的访问，因此，数据加密的主要途径是防p对于数据备份[4]，可通过现有的企业级备份软件或者存储备份功能来实现，可对其文件、数据库按照用户设定的备份策略进行自动备份及恢复，包括在线或离线备份。目前市面上的云存储服务提供商提出一些创新性的方法，比如把一份数据同时存放在多个地点，这样即使一份数据出问题，用户也可以从其它位置获取数据，而且这个过程对用户是透明的。可以利用数据校验技术帮助验证数据的完整性，比如数据是否被篡改，是否发生了缺失。数据校验技术还可以和数据的拷贝结合起来，用于判断每份拷贝的正确性。