IaaS云安全研究综述.docxVIP

? ? IaaS云安全研究综述 ? ? 欧阳雪,徐彦彦 武汉大学测绘遥感信息工程国家重点实验室 武汉 中国 430079 1 介绍 自2006 年“云计算”(Cloud Computing)的概念首次被提出以来,就受到研究者的广泛关注[1]。本质上,云计算是一种基于互联网的服务提供模型[2],从应用层到基础层可以分为三种服务类型: 软件即服务(Software as a Service,SaaS)提供完整软件应用服务;平台即服务(Platform as a Service,PaaS)提供应用程序的开发环境和资源等服务;基础设施即服务(Infrastructure as a Service,IaaS)提供底层硬件基础设施部署等服务。 IaaS 作为云计算的三种服务类型之一,依靠云服务提供商(Cloud Service Provider,CSP),并根据现有的虚拟化、分布式计算和网络存储等技术为用户提供通用基础设施服务(如计算、存储和网络),用户基于这些基础设施资源部署需要的中间件和应用软件等。因此,IaaS 可以提供较为完善的基础设施服务,并成为云计算服务体系的基石。然而,IaaS 的公有云模式是通过公共网络向多个互不信任的用户提供共享资源服务,这就导致公共云的多租户特性可能出现资源隔离不足或共享信息泄露等问题。一般来说,攻击者主要是恶意的CSP 和使用相同CSP 的恶意用户,他们通过攻击或占有用户资源的方式来获取用户的数据或获得额外资源服务,从而影响用户数据的机密性、完整性、可用性和用户与CSP 之间的合同安全性[3]。 面对IaaS 云环境产生的安全挑战,本文首先介绍IaaS 的相关基础知识和IaaS 云安全威胁。然后,从学术界和工业界的角度出发,重点对IaaS 提供的计算、存储和网络等服务中存在的安全问题进行具体分析,并梳理提供的解决方案。最后对未来研究方向进行总结和展望。 2 IaaS 相关基础知识和安全威胁 2.1 IaaS 相关基础知识 IaaS 架构如图1 所示。可以看出,物理层主要为IaaS 提供底层基础硬件资源,然后虚拟机监视器(hypervisor)管理和整合基础硬件资源,并进行重新分配虚拟硬件资源来构建多个虚拟机。最后云管理平台对虚拟化资源进行平台统一的调度和管理,为用户提供完整的IaaS 服务。IaaS 主要包括计算、存储和网络服务。 图1 IaaS 架构Figure 1 IaaS Architecture 计算服务 用户可根据自身业务的计算需求,向CSP 弹性租用hypervisor、虚拟机或服务器,并通过网络将工作负载迁移进去,进而提高用户的工作效率。目前国内外CSP 都提供IaaS 计算服务,例如Amazon AWS 的弹性计算云EC2[4]、Google Cloud 的Compute Engine[5]、Microsoft Azure 虚拟机[6]、阿里云服务器ECS[7]、华为弹性云服务器[8]和百度的智能云服务器BCC[9]等。 存储服务 在IaaS 环境下,CSP 可以根据用户的具体使用场景来提供不同的存储设备。根据数据存储服务的差异,主要分为对象存储、块存储和文件存储。 网络服务 IaaS 的网络服务可以实现云环境下的虚拟网络功能,并为每个用户建立独立的网络环境来运行虚拟机。根据用户需求,网络服务可以提供公网网络和私有网络。 2.2 IaaS 云安全威胁 攻击者针对IaaS 云平台有两类攻击目标。第一类攻击目标是通过攻击用户的hypervisor 或虚拟机来获得或破坏用户的资源,这类攻击者主要是恶意用户或恶意CSP;第二类攻击目标是通过攻击CSP或用户来获得比服务水平协议(Service Level Agreement,SLA)更多的服务,这类攻击者主要是恶意用户。其中,恶意用户指的是租用同一个CSP 提供设施的用户,恶意CSP 包括被攻击者破坏的正常CSP和本身具有破坏性的CSP。 根据以上两类攻击目标,并以云计算领域的权威机构(CSA[10-11]、ENISA[12]和NIST[13])的调查为依据,分析IaaS 安全威胁,如表1 所示,对安全威胁内容、云安全属性和安全责任进行总结。其中,这两类攻击的目标都是攻击用户和CSP 的云安全属性,即机密性、完整性、可用性和合同安全性[3]。机密性确保CSP 上使用和存储的用户的数据和数据访问模式等信息不会被泄露;完整性确保用户的数据的内容在使用CSP 后都是一致;可用性确保用户访问的CSP 资源是否可以正常使用,并且如果数据因某种原因而无法访问,用户可以恢复数据;合同安全性确保CSP 按照合同中的服务水平协议诚实而完整地将IaaS 服务提供给用户。并且,针对数据层面,安全威胁包括数据泄露和内部威胁;针对系统层面,安全威胁包括缺乏安全架