1雲計算的概念
雲計算技術是在分佈式處理、並行計算和網絡計算的基礎上發展而來的新型計算技術。雲計算的核心是將計算任務分佈到大量的分佈式計算服務器上,而不是在本地服務器上進行計算,也就極大的減輕了本地服務器的執行壓力,即將計算與數據存儲進行分離。在這個過程中提供雲計算服務的企業負責的是計算任務在雲計算服務器上的管理和維護,只要保證計算任務能夠正常執行,並保證足夠的計算數據存儲空間,這樣,用戶就可以透過互聯網進入到雲計算服務中心訪問數據,並對數據進行操作。
2雲計算數據安全
雲計算的安全層次由高到低可以分爲身份和訪問安全、數據安全、網絡安全、存儲安全、服務器安全和物理安全。其中數據安全是雲計算的重要因素,這其中存在着用戶對服務商的信任問題、數據安全的標準問題以及可以信任的第三方對其的制約。
2。1信任問題
因爲數據和軟件應用的管理和維護是外包的或者委託的,並不能被雲計算服務商嚴格控制,所以,雲計算時代的信任則依賴於雲計算的部署構架。在傳統部署架構中,是透過強制實施的安全法則來產生信任的,而在雲計算時代,控制權在於擁有計算基礎設施的一方。雲可分爲公有云和社區雲。在公有云的部署過程中,因爲服務商的可信任度成爲考慮因素,爲了降低危險,需要削弱基礎設施擁有者的權限,這樣能夠強制實施一些有效的安全防護措施,減少安全隱患;而在私有云的部署過程中,因爲私有云的基礎設施是由私有組織來實施管理和操作,而其數據和應用都是由私有組織來負責,也就不存在額外的安全隱患。雲計算時代,使得數據邊界安全的觀點不在適用,因爲在雲計算的世界裏,很難定位是什麼人在什麼位置獲取了什麼數據,所以傳統的邊界安全觀點很難在雲計算中實施。因此我們在處理一些涉及到安全漏洞的問題的時候,在雲環境中,需要透過信任和密碼學保證數據的機密性,保證數據的完整性,保證數據通訊的可靠性,也就是我們需要引入一個可信的第三方。這個第三方也就是代表客戶對於特殊操作的可信任性,同時也能夠保證整個操作過程中數據的安全性。被信任的第三方在數據資訊系統中的作用是提供終端對終端的安全服務,這些安全服務是基於安全標準,且適用於不同的部分、地理位置和專業領域,還可以進行擴展。引入被信任的'第三方可以有效降低因傳統安全邊界失效而產生的安全隱患,因爲在實質上,第三方是是一個被用戶委派的信任機構,其有責任和義務去解決在雲環境中存在的安全問題。
2。2安全標準
我們要對一個資訊系統進行安全維護,必然會遭遇到一些特殊的威脅和挑戰,而這些問題都必須找到一個適當的解決方法。雲計算由於其特殊的構架而在安全上存在着一些先天優勢,如數據與程序的分割、冗餘和高可用性等,一些傳統的安全危機都因爲雲計算系統的基礎設施的單一性而被有效解決,然而卻有一些新的安全隱患產生。在考慮到雲計算的一些獨特特性,我們會對雲計算的可用性和可靠性、數據集成、恢復,以及隱私和審記等諸多方面的評估。通常來說,安全問題與數據的機密性、完整性和可用性等重要方面息息相關,這些方面也成爲設計安全系統時必須考慮的基本安全模組。所謂保密性,就是指只有授權的組織或系統能夠對數據進行訪問,非授權的個人或組織,不能夠對數據進行訪問,同時不能對以獲取的數據任意公開。完整性則是指數據只能夠透過被授權的方式來進行修改或引用。可用性是在考慮到被授權實體在使用或進入系統時,能夠很方便的,適時的獲取正確的數據,即保證數據、軟件和硬件在需要被使用的時候能夠可用。在這幾個方面,延伸到三大資產類別,分別對應於數據、軟件和硬件,也就是考慮安全問題必須要考慮的三個基本保護對象。
2。3被信任的第三方
前面提到過我們可以透過被信任的第三方來實施我們的安全策略,而在雲計算環境中,我們如果僱傭了被信任的第三方,那麼勢必要建立一個適用於第三方的信任等級制度來約束這些第三方,才能保證數據的保密性、完整性和可靠性,才能尋找到最佳的安全防禦措施。被信任的第三方能夠很好的解決因傳統安全邊界失效而導致的安全問題,這是透過新的信任機制而產生的所謂的安全域對雲環境的安全防護。Castell曾說過:“一個被信任的第三方對於電子交易來說是一個重要的傳送商業機密的組織,這是透過商業和技術安全特性來達到的。它提供技術和法律上可靠的方法來執行、幫助、產生獨立的對於電子交易的公斷證據。它的服務被透過技術、法律、金融和結構方法提供和準,可以對所有類別的數據進行認證。
2。3。3安全域
安全域即在雲計算的相關實體之間建立一個有效的信任關係,而這個關係可以透過引入聯合,再加上PKI和LdaP技術來實現。聯合是一組合法的實體共享,一致同意的政策和規則集,我們透過這些規則和政策來約束在線資源的使用。在聯合系統裏,我們提供了一個結構和合法框架,透過這個框架可以使得不同組織或系統之間的認證和授權成爲可能。從而使得雲架構可以被部署到不同的安全域中,這些安全域可以使得類似的應用共享通用的認證符號,或者類似的認證符號,聯合雲也因此而誕生。聯合雲是子云的集合,子云與子云之間保持相對的獨立性,只有透過標準接口才能實現相互之間的操作,例如透過提前定義好的接口來實現數據交換和計算資源共享等。聯合能夠提供認證框架以及法律、金融等多方面的框架結構來容納不同的組織,各組織之間可以透過聯合來進行認證和授權。
2。3。4數據的加密分離
在雲計算時代,數據之中存在着大量的個人數據以及敏感數據,對於這些數據的保護,推進了SaS和AaS模型在雲計算環境中的發展。在對個人數據和敏感數據進行加密隔離的過程中,所有的計算過程和數據通訊都是透過這種方式加以隱藏,使人感覺這些數據都是無形的,但是卻又真實的存在。
2。3。5基於證書的授權
雲計算環境是一個虛擬的網絡,往往由多個獨立的域形成,在這個虛擬的世界裏,資源的提供則和使用者之家的關係非常特別,因爲他們是動態的,他們不處於同一個域,他們之間的關係識別都是透過其操作特點以及特殊屬性來進行判別,而不是事先定義的身份。於是乎,傳統的基於身份的訪問控制模式在雲環境中就失去作用了,訪問決策需要透過用戶的特性來進行判定。透過PKI頒發的證書能夠用於網絡環境下的用戶訪問控制。典型的一個例子就是擴展的X509證書,這個證書包含了對於用戶角色資訊的認證。證書授權機構透過發佈這樣的證書來實現網絡安全的保護。屬性管理結構簽發包含授權屬性的證書,期內內包含的屬性值用於配對以及規定它應用於什麼數據。透過基於屬性的訪問控制,也就是基於請求者、數據資源和應用環境的屬性來做出訪問控制決策,它們能夠更爲靈活的、可擴展性的對訪問進行控制,這對於像雲系統這樣的大型數據處理中心來說是非常重要的。
3結論
很明顯,雲計算的優點是大於缺點的,雲計算還能夠對於過剩的資訊進行充分利用,使得數據具有更多的可操作性。雲計算系統的特殊部署構架很好的解決了傳統系統的缺點,更因爲其動態的特性使得很多傳統的方法都失去效用。我們知道,依據雲計算系統的一般的設計原則,對於安全的控制,減少因爲安全隱患而帶來的威脅是我們的基礎,在實現這個原則的情況下,我們需要不斷的更新軟件以及資訊系統的設計方法。在雲計算時代數據的安全需要我們所有人都建立一個統一的安全觀念,在這個觀念的基礎之上發展數據安全必須的元素,信任。透過建立優質的第三方體系,將雲計算的安全隱患及解決職責全部轉移到這些可以監控的地方去。我們可以透過綜合PKI,LDAP和SSL等先進網絡技術去解決雲計算中與數據完整性、機密性、可靠性以及數據和通訊可用性相關的大部分公認的安全問題。