云计算安全风险和措施研究

云计算安全风险和措施研究

刘婧甜

（中国石油工程建设有限公司北京设计分公司100085）

摘要：云计算的发展为企业、政府和各类组织提供了灵活便捷的IT解决方案，与此同时，也带来了区别于传统IT的诸多安全风险。本文从多角度探讨云计算的安全风险，如何考虑这些安全因素以及相应的应对措施，为有意采用云计算IT方案的组织提供参考。

关键词：云计算；传统IT；信息安全；数据保护

一、概述

云计算为各类企业或组织带来诸多好处，但与此同时组织的利益可能会因使用云服务时未能保证完善的信息安全和数据保护而受到损害，从而导致企业或组织声誉受损，成本增加以及潜在的业务损失。在考虑迁移到云计算时，用户必须清楚地了解与云计算相关的潜在安全优势和风险，并对云服务提供商设定合理的期望。

本文对云计算安全的风险、策略和方案进行了探讨，介绍了安全标准在提高云安全性和隐私方面所发挥的作用，为采用云计算IT方案的企业或组织提供参考，以帮助企业IT和业务决策者评估云计算的信息安全对业务的影响，并做出正确决策。

二、与云计算相关的安全和隐私风险

●管理权限和责任划分。在公有云部署中，可能影响安全性和隐私内容的部分管理权限在云服务提供商手中。然而，云服务协议可能并未包括云服务提供商解决其中很多问题的承诺，并且，安全和隐私方面的责任实际是在云服务提供商和客户之间共享的，如果未能明确责任划分，则可能造成安全防御方面的部分空白。

●身份验证和授权。从互联网的任何地方都可以访问云资源，甚至包括一些敏感资源信息，这一特点决定了用户身份验证的必要性，尤其是用户可能包括员工，代理商，合作伙伴和客户等多类身份，完善的身份验证和授权机制成为安全防御的关键问题。

●应用程序和数据保护。传统上，应用程序得到明确的物理设备以及受信任区域的保护。而在云计算中，基础设施完全由云服务提供商进行管理，用户需要重新考虑网络的边界安全性，保证对应用程序拥有更多控制。数据保护的主要风险是敏感数据的泄露、数据丢失或不可用，以及数据的过度保留。云服务用户可能难以有效地确定云服务提供商的数据处理情况。在数据多次传输的情形下，这个问题更加严重。

●个人数据监管。用户需要根据所属地区的法律法规的要求处理所有个人数据，涉及个人查看、传输、更正和删除其数据的权利。使用云服务来保存或处理个人数据必须满足这些要求，同时进行完善的数据保护，这是一个非常重要但可能被忽视的安全问题。

●不安全或不完整的数据删除。用户停止使用某一云服务提供商的云计算服务时，用户数据并不一定被云服务提供商彻底删除，数据的备份副本可能会被保留，并且与其他客户的数据在同一介质上混合存储。那么，硬件资源共享的多租户优势也带来了比专用硬件更高的安全风险。

●安全事件处理。安全事件的检测，报告和后续处理可以委托给云服务提供商完成，但这些事件通常会影响用户业务。明确云服务的安全事件通知和处理事宜是必要的。

三、确保有效的风险管理和合规流程

云服务用户根据安全性和合规性策略，对托管在云服务中的应用程序数据进行保护。用户必须了解与安全和隐私相关的所有条款，并确保这些条款满足其需求，并且，用户与云服务提供商之间的云服务协议以及服务级别协议（SLA）需要包含所有安全性要求。如果云服务提供商无法提供合适的云服务协议和SLA，则不建议用户继续使用这些云服务。

云服务提供商所提供的云服务类别（IaaS，PaaS，SaaS）对客户与提供商之间的责任划分有很大影响。对于IaaS，提供商提供并负责保护IT基础设施，如计算机，磁盘和网络。用户通常负责运行应用程序所需的操作系统和软件，并且负责存储在云计算环境中的各类数据。因此，保护应用程序和数据的主要责任落在用户侧。对于PaaS产品，大部分软件堆栈在云服务提供商的管理和控制之下，应用程序则由云服务用户负责。对于SaaS，基础架构，软件和数据主要由提供商负责，用户仅对部分数据拥有管理和控制权限。这些责任划分需要在云服务协议和SLA中明确。

通常，云服务提供商应该向用户通知其系统中发生的任何安全事件，无论事件对应用和数据的影响如何。提供商应在通知中包含事件的相关信息，事件影响，消除安全事件的方案，并分析根本原因，以确保相同事件不再发生。同样，云服务协议和SLA应包含此类约束。

另外，用户数据可以存储，处理并传输到云服务提供商运营的任何服务器或设备。在一些情况下，托管用户数据的服务器可能位于不同地区的多个数据中心，哪些监管机构具有管辖权以及适用哪些法规对于数据保护来说非常关键。因此，云服务提供商有责任提供有关其数据中心所属地区的信息，并为用户提供相应的控制权利，以便用户选择使用或不使用哪些数据中心的服务。

四、角色和身份管理

用户需要确保管理人员、角色和身份权限的合理划分；同时，云服务提供商必须允许客户根据其安全策略为每个用户分配和管理角色及相关授权级别。例如，用户根据其安全策略可以设定允许生成购买请求的管理角色，同时可以生成负责批准该请求的另一不同的角色并给予相应授权权限。身份管理不仅可以提供系统、应用和数据的最终用户访问权限，还可以保护管理员、开发人员和测试人员的特别访问权限。所有主要的公有云服务提供商都具有相似的身份管理概念，但安全实施细节则有所不同。最佳实践参考是采用密钥管理服务来保护云服务使用的加密密钥，并进行多重身份验证，例如分配给用户的硬件或虚拟安全令牌。

五、完整的数据和隐私保护

无论使用何种基础架构，数据都是关键业务资产，是任何组织IT安全的核心，云计算也不会改变这一点，但云计算服务的分布式特性及其涉及的共同责任带来了新的挑战。数据安全保护既包括静态数据（保存在某种形式的存储系统上），也包括传输数据（通过某种形式的通信链路传输），这两者在使用云服务时都需要进行特别考虑。

从本质上讲，与云计算数据相关的问题涉及各种形式的风险，包括数据盗窃或数据泄露风险，篡改或未经授权的数据修改风险，数据丢失或不可用风险，数据过度保存的风险。在云中，“数据资产”还包括应用程序或系统镜像。数据保护的一般方法已在诸多规范中描述，例如ISO/IEC27002标准，适用于云服务的应用，以及ISO中描述的一些其他基于云的考虑因素。

另一方面，个人身份信息（PII）的隐私和保护目前在全球范围内越来越重要，通常涉及到与PII的获取，存储和使用相关的法律和法规。许多大型企业和金融机构遭遇关键PII（如信用卡号码）被盗窃的数据泄露事件的加剧了各界对隐私的关注。虽然信息安全和隐私保护是相关的，但它们是不同的问题。安全主要关注防御攻击，并非所有攻击的目的都是窃取数据，而隐私则与组织持有的个人数据密切相关。通常，数据保护要求对PII的使用和可访问性加以限制，这是一些非IT部门（尤其是法律和风险管理部门）的重要责任，这些部门制定的约束限制需要符合法规和法律，并获得管理层的批准。执行此类限制要求对数据进行适当标记和安全存储，并仅允许授权用户访问。ISO/IEC27018提供了保护PII所需的控制标准。

六、确保云网络和物理安全

云服务提供商必须允许合法的网络流量并阻止恶意网络流量，与传统IT服务组织不同，云服务提供商不一定知道其客户计划发送和接收的网络流量详情，然而，用户仍需期望云服务提供商的外部网络边界安全措施。

IT系统的安全性还取决于物理基础设施和设施的安全性。在云计算的情况下，物理安全扩展到云服务提供商的基础设施。客户必须从提供商处获得适当的安全控制措施的保证，包括物理设施区域、外部环境威胁、现场人员限制、电力供应、冷却控制、设备维护等。