开源云计算平台安全机制分析研究.docVIP

开源云计算平台安全机制分析研究 　　摘 要：开源云计算平台在企业界逐步得到了有效的应用，但其安全机制的薄弱已成为阻碍其发展的主要问题之一。本文简述了云计算背景及主流开源云计算平台，归纳了开源云计算平台所面临的安全威胁，对比分析了其与传统信息安全的异同点，最后就其安全机制进行了探讨，提出了相应的安全措施办法。 　　关键词：云计算；开源；安全机制 　　1开源云计算被认为是IT的趋势。开源技术将后台源代码向外界开放，大大推动了IT行业的高速发展。但开源云计算在提供巨大共享存储、计算和服务便利的同时，也带来了前所未有的安全隐患。 　　2云计算背景及主流开源云计算平台 　　云计算通过互联网将超大规模的计算与存储资源整合起来，并以可信服务的形式按需提供给用户。用户通过简单的终端如笔记本，PDA，甚至手机，使用简单的客户端软件就能访问超大规模的计算与存储资源。 　　开源云计算平台帮助用户建立、管理以及扩展复杂的计算架构。用户可以以低廉的成本、较少的风险来架构和开发公有私有混合云，以及云应用等基础设施。目前主流的开源云计算平台有Elastic Computing Platform （ECP）、Cloud Foundry（vmware）、“abiCloud”、10gen、MongoDB、平台等。这些开源云计算平台为那些不希望使用商业云的用户提供了一个重要选择。 　　3开源云计算平台安全威胁 　　开源云计算平台在提供巨大共享存储、计算和服务便利的同时面临着各种各样的安全危险，主要有如下几种类型。 　　3.1DDoS攻击（拒绝服务） 　　在云服务的技术环境中，用户的关键核心数据迁移到了云服务中心。更多的应用和集成业务开始依靠互联网。拒绝服务带来的破坏将会明显地超过传统企业网环境。 　　3.2APT攻击 　　APT的典型代表是“火焰”。该病毒可以在不留痕迹的情况下，使被病毒感染后的电脑自动分析自己的网络流量规律，记录用户密码和键盘敲击规律，自动录音，最后将收集到的重要数据发送给操控病毒的远程服务器。 　　3.3信息泄露 　　云计算的到来也使信息泄露事件层出不穷，如何保证云服务商自身内部的安全管理，如何避免云计算环境中客户共存带来的潜在风险，这些都是云计算环境下用户的安全顾虑。 　　3.4信息篡改 　　云服务供应商面临内部和外部的各种安全威胁，有时为了自身的利益可能会删除用户不访问或很少访问的数据，或者由于数据的备份、转移等原因造成的数据丢失，而等到用户发现已经太晚了。如何确保用户数据完整地存储在云服务提供商上成为一个研究的热点。 　　3.5大量迅猛涌现的Web安全漏洞 　　云计算服务推动了Internet的Web化趋势。多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些Web2.0和云服务的特点对网络安全来说意味着巨大的挑战。 　　4开源云计算平台安全与传统信息安全的区别 　　本文对开源云计算安全与传统信息安全进行了对比分析，两者相比，既有相同之处，又有自身的特点。如表1-1所示。 　　5开源云计算平台安全机制探讨 　　源代码开放意味着更具风险的安全隐患，在开源云计算环境下，我们可以采取以下安全机制。 　　5.1数据安全机制 　　云环境下，用户数据在云端计算与存储，分离了数据的所有权与管理权，我们可以通过增强加密（下转第87页）（上接第85页）技术、密钥管理、数据隔离等技术来保护云中的数据安全。 　　5.2虚拟系统安全机制 　　关于虚拟化，本文提出了如下措施方法。一是适度应用传统安全控制。在云计算环境中，我们仍然可以适当应用防火墙、入侵检测等传统安全手段，按照优先规则使用基于角色的访问控制。二是创建虚拟端点安全。可以将入侵防范监测系统和传统防火墙移植到云计算系统架构中来发挥其原有的作用。在某些关键架构点上部署虚拟防火墙和IPS，跟踪并监视企业整合事件管理系统及安全信息。三是部门之间协作。由于虚拟化一般都会涉及到整个企业各个部门，部门之间的有效和及时的协作沟通对解决安全意外和冲突极为重要。 　　5.3存储安全机制 　　一是多副本策略。采取多副本策略可以防止数据丢失和为保证数据安全性。二是密钥策略。用户可以通过加密算法来加密数据并掌控加密密钥，防止他人访问数据。 　　5.4访问控制安全机制 　　我们可对云用户和云服务器上的数据划分安全等级、信任级别，可引入任务情景约束集，对不同访问主体、不同数据采取不同访问控制策略。这样提供分级的安全特性，避免了云服务提供商享有超级特权，保证云环境下数据的安全性和可靠性。 　　5.5应用安全机制 　　云应用程序的部署应充分考虑云环境下的应用安全威胁，云用户本身也应提高安全意识和防护措施，可在处理敏感数据时，采用机密性强的加密技术，并定期为更新应用