从用户角度来看,云计算意味着数据、计算及应用均通过网络被转移到用户掌控范围之外的云服务提供商手中,因此,用户隐私信息和云服务风险等问题随之而来。从技术层面来看,传统信息安全存在的问题在云端上同样存在,而且还因为云计算的商业模式及虛拟化等技术的引入,使得云服务面临新的服务风险问题。
云服务面临的风险
从安全事件的后果来看,主要表现为信息丢失或泄露和服务中断。从导致安全事件的原 因来看,包括软件漏洞或缺陷、配置错误、基础设施故障、黑客攻击等原因.从技术的角度来 看,云服务提供商方面存在如下几个方面的风险:
1)用户验证和授权风险。
云服务提供商根据服务模型针对不同的用户提供相应的服务, 用户在访问资源的同时必须满足相应的许可。这一过程主要是通过用户验证的方法来进行。
用户验证过程通过网络进行,网络本身是不可靠的,用户口令在传输过程中也存在泄露 的风险。在资源授权方面,云服务根据其授权机制必须维护一个授权列表,对于验证通过的用 户才可以访问相应的资源。但是很多授权是级联的,即授权可以是用户委托.在这个过程中也 可能出现误授权的情况。
2)数据机密性风险。
对于一些敏感数据,用户不希望被第三方知晓,因此云服务提供商 应该提供对数据做加密处理服务。为了保证数据加密的速度,常采用对称加密算法如AES。 数据机密性风险在于加密密钥的管理方面可能存在的潜在风险。
3)数据完整性风险。
用户在访问数据的时候,应该得到数据的校验信息和签名信息。数 据签名要采用数据加密体制lP的非对称加密算法如RSA。数据校验信息通过消息摘要来生成,消息摘要通过对任意长度的数据进行散列,生成特定长度的散列值。
在保证数据完整性的实施中通常会结合这两种方法,即在签名中引入了散列。当数据被人变更后,用户得到的散列值与签名中包含的散列值不符合,从而用户可以拒绝接收该数据在数据完整性验证中,用户所担任的风险主要来自服务劫持,即用户与云服务器的会话被劫持 到网络中的第三方,这样会话的机制没有任何变化,但是通信实体却已经改变。
4)可用性风险。
云服务必须有一定的容错机制来保证数据的可用性。主要来自软件性能故障和硬件性能故障两个方面。
5)不可抵赖性风险。
不可抵赖性是指在个会话过程中,任何一方的会话实体不能否认 其动作行为,服务器在会话过程中需要保证会话的纪录以便进行审计和核查。不可抵赖性的风 险主要来自于云服务方的会话日志记录的完整性。
6)资源共享可能引发的风险。
为了保证云计算资源可动态扩展,云计算中的计算能力、 存储与网络资源等在多用户间进行共享,这就难以保证良好的隔离性。
用户必须明确使用云计算所引入的各种风险。这就能够让用户确保在选取和釆用云服务过程中务必执行必要的安全控制措施。因此,从用户角度来看,用户需要关注以下几方面的安全风险:
1)数据传输安全。
在传输数据到云端服务器过程中,如何确保数据不被窃取,是云用户 关心的问题之一:因为这些数据可能涉及用户的隐私或企业的商业机密等。
2)数据存储安全。
在未做备份的情况下对数据删除和修改、把数据存储于不可靠的介质 上、密钥的丢失导致数据无法解密、发生意外灾难但缺乏合适的备份与存档,都可能导致数据 丢失。因此,用户在签订服务合同时,需要对数据存储的安全性进行细致和明确的规定,保障 自身的合法权益。与传统系统的风险相比较,除了上面所论述的技术风险外,云服务还面临如下政策和组织风险,法律风险:
1)锁定风险。
由于缺少支持云应用或云服务可移植性的通用标准,这使用户难以做到
2)跨云的迁移
当云提供商破产或倒闭时,这种数据被锁定的结果是灾难性的,即使到时能转移,其成本也是非常品贵的,可以说,用户存绪越多数据到云中,被锁定的数据会越多,风险会越大。
3)法规遵从方面的风险。
使用云计算可能不满足某些工业标准或法律规定的需求而产生
4)矛盾或纠纷。
可能的原因有:①有些法规要求特定数据不能与其他数据混杂保存在共享的服务器或数据库上;②有些国家严格限制本国公民的私密数据保存于其他国家;③有些职能部门如银行监管部门要求用户将数据保留在本国等。
5)调查、审计风险。
云计算和云存储服务可跨国获取,而用户提供的账户信息可能是伪
造的,加上不同国家和地区对违法行为的取证需求不尽相同。因此对基于云平台的网络犯罪行为很难进行追查。当平台中的资源来自第三方供应商时,湖源更为困难。
云存储支持多租用户共享,在调查取证过程中,云服务供应商不一定会配合。如果配合,可能会给其他用户的业务带来风险。再者,在资质审计的过程中,服务商未必提供必要的信息,使得第三方机构无法对服务商进行准确的、客观的评估。
总之,云服务商在确保不对其他企业的数据计算带来风险的同时,还需要提供必要的信息支持,以便协助第三方机构对数据的产生进行安全性和准确性的审计,实现合规性要求。
云服务风险研究现状
与云计算的其他方面相比,云安全风险研究明显滞后,主要存在的问题是,相关研究成果较少。国外刚刚起步,国内的研究更是匮乏,而且起步更晚一些。此外,已有研究多为定性的研究,缺乏定量的研究。而现有的定量分析的研究成果中也存在很多缺陷。
目前,尽管各国际标准组织机构对云计算安全风险分析的角度不尽相同,但普遍认为共享环境中的数据和资源隔离、云中数据保护以及云服务的管理和应用接口安全是最值得关注的问题。从各国际组织的关注重点来看,管理方面的探讨较多。例如ENISA强调公有云服务对满足某些行业或应用特定安全需求的合规性风险。2008年,Gartner发布的《云计算安全风险评信》研究报告声称,虽然云计算产业具有巨大市场增长前景,但对于使用这项服务的用户来说,他们应该意识到,云计算服务存在着如下七大潜在安全风险:
(1)优先访问风险当把数据交给云计算服务商后,具有数据优先访问权的并不是相应的用户,而是云计算服务商。这样就无法排除用户数据被泄露出去的可能性。因此,用户在选择使用云服务之前,最好要求服务商提供其IT管理员及相关员工的相关信息,从而把数据泄露的风险降到最低。
(2)管理权限风险虽然用户把数据交给云服务商托管,但用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商一般会由第三方机构进行审计或安全认证,但如果云服务商通常会拒绝接受这样的审查,则用户无法对被托管的数据加以有效利用。
(3)数据处所风险为了确保数据安全,用户在选择使用云计算服务之前,应先向云计算服务商了解:服务商是否从属于服务器放置地所在国的司法管辖,在这些国家展开调查时,云计算服务商是否有权拒绝提交所托管的数据等。
(4)数据隔离风险在云计算平台中,用户数据处于共享环境下,即使采用数据加密方式,也不能保证做到万无一失。而且数据加密在很多情况下并不有效,但是还降低了数据使用的效率。
(5)数据恢复风险即使用户了解到自己的数据被放置到哪台服务器上,也需要服务商做出承诺,必须对用户所托管数据进行备份,以防止出现重大事故后用户的数据无法得到恢复的情况,而且还需确保服务商在有效的时间内恢复。
(6)调查支持风险在通常情况下,如果用户试图收集一些数据,云服务商都不愿意提供,因为云计算平台涉及很多用户的数据。在一些数据查询过程中,可能会牵涉到云计算服务商的数据中心。如此一来,若用户本身也是服务商,当自己需要向其他用户提供数据收集服务时,则无法求助云计算服务商。
(7)长期发展风险在用户选定了某云计算服务商后,最期望的结果是,这家服务商能够一直平稳发展,而不会破产或被收购。因为,若该云计算服务商破产或被收购,用户既有服务将被中断。因此,用户在选择云计算服务商之前,最好把长期发展的风险也考虑在内。Gartner开创了云服务风险研究之先河。继而,一些学者投身该领域的研究。Rosenthal等人指出把数据储存在云端上可能会有如下风险:①安全技术管理风险;②黑客产生的风险;③非技术外包产生的风险。图为一个典型的SaaS安全堆栈:
突出强调了为避免企业数据的安全风险,必须要实现跨层次覆盖。
FAIR(Factor Analysis of Information Risk)方法,同时采用定量和定性两种风险评价方法。而且FAIR还对构成信息风险的因素进行分类,同时FAIR还提供一个针对导致信息风险因素的测量方法。除此之外,FAIR还给出一个进行应用程序分类的模拟模型。FAIR在云风险评价过程中,可以帮助我们更好地理解问题域,并且有利于进一步的分析。针对SaaS的风险评估框架S-CRA是以调查问卷为基础的一个决策工具,为云使用者产生一个SaaS候选提供商的风险文档及方案,并且做出一个标准的理性决策来减少风险的出现。
云服务框架OPTIMIS(Optimized InfrastructureService)的目标就是为了实现云服务生态系统,允许自动化的组织、无缝化的服务以及可信任的可审计的服务提供商的应用。在OPTIMIS中,云风险评估将被应用在云服务架构、部署以及运行等方面,从而实现云服务的可用性、可靠性、可审计以及在生态和经济方面的可持续性。
除了以上提到的风险评估框架外,为了应对云计算固有的风险,ENISA成立了临时工作组来对云计算的优势和安全风险进行评估。该工作组对如何使云计算风险最小化,利益最大化提出一些建议。工作组负责风险评估的专家还制订了一些方法论。通过这些方法论,企业可以
直接对比进行云服务和基础架构的风险评估与风险管理时要考虑的因素。此外,针对实际暴露的安全问题,人们还想到可以将云环境中存在的安全问题分成不同的等级,然后根据安全风险的等级来提供相应的解决方案。这样针对特定等级的特定问题来制订目标方案使得安全问题变得相对容易一些。类似的,随着云计算尤其是私有云中虚拟化技术的安全问题受到越来越多的关注,一种基于分而治之策略的方案被提出来。风险在经过分析后进行分类,然后应用分治的思想对每种风险制订解决方案。
目前,人们已经意识到单一安全策略不能够彻底解决云计算的安全风险问题,只有将传统的技术和新的的策略结合起来,才能使云计算系统的安全保护达到比较理想状态。