1.引言
2007年10月,Google和IBM在美國大學(xué)校園開始嘗試推廣云計(jì)算計(jì)劃,學(xué)生可以透過網(wǎng)絡(luò)開發(fā)各項(xiàng)以大規(guī)模計(jì)算為基礎(chǔ)的研究計(jì)劃;隨后,更多的IT巨頭也開始往這方面發(fā)展。從此,云計(jì)算技術(shù)開始取代其他計(jì)算機(jī)技術(shù)成為IT業(yè)界的流行術(shù)語。所謂云計(jì)算,指的是一種模式,一個利用互聯(lián)網(wǎng)和遠(yuǎn)程服務(wù)器來維護(hù)數(shù)據(jù)和應(yīng)用程序的新概念。通過互聯(lián)網(wǎng),云計(jì)算能提供動態(tài)的虛擬化資源、帶寬資源和定制軟件給用戶,并承諾在應(yīng)用中為用戶產(chǎn)生可觀的經(jīng)濟(jì)效益。云計(jì)算可以幫助用戶減少對硬件資源、軟件許可及系統(tǒng)維護(hù)的投入成本:通過互聯(lián)網(wǎng),用戶可以方便地使用云平臺上的各類應(yīng)用服務(wù)。此外,通過云計(jì)算用戶可以節(jié)約投資成本并可靈活地實(shí)現(xiàn)按需定制服務(wù),云平臺的按需定制服務(wù)可以快速地響應(yīng)用戶需求,并方便地將用戶資源接人寬帶網(wǎng)絡(luò)。
本文針對云計(jì)算的類型和網(wǎng)絡(luò)安全威脅問題進(jìn)行了細(xì)致探討。在網(wǎng)絡(luò)風(fēng)險方面,云計(jì)算主要面臨著以下的威脅攻擊:拒絕服務(wù)攻擊、中間人攻擊、網(wǎng)絡(luò)嗅探、端口掃描、SQL注入和跨站腳本攻擊;在安全風(fēng)險方面,云計(jì)算面I臨的威脅主要是:XML簽名包裝、瀏覽器安全性、云惡意軟件注入、洪流攻擊、數(shù)據(jù)保護(hù)、數(shù)據(jù)刪除不徹底和技術(shù)鎖定。
2.云計(jì)算的相關(guān)概念
許多公司,機(jī)構(gòu)經(jīng)常需要對海量數(shù)據(jù)進(jìn)行存儲和檢索,而云計(jì)算可以有效地以最小的成本、最短的時間和最大的靈活性來實(shí)施完成該項(xiàng)任務(wù)。利用云計(jì)算獲取便利的同時,用戶也要面臨云計(jì)算中各種不同的安全風(fēng)險問題,如必須要將云平臺上不同用戶的數(shù)據(jù)相隔離,要保證不同云用戶數(shù)據(jù)的私密性、可靠性和完整性。此外,云服務(wù)提供商對云上的基礎(chǔ)服務(wù)設(shè)施必須制定一套完善的風(fēng)險管理控制方案,像服務(wù)提供商操縱或竊取程序代碼的安全風(fēng)險是時有出現(xiàn)的。
經(jīng)常使用的互聯(lián)網(wǎng),通常也可以被看作一朵巨大的云。通過互聯(lián)網(wǎng),云計(jì)算被看作一個應(yīng)用和服務(wù)呈現(xiàn)給用戶。它的出現(xiàn)迅速將舊的計(jì)算機(jī)技術(shù)整合。然后轉(zhuǎn)變?yōu)橐豁?xiàng)新技術(shù)。目前互聯(lián)網(wǎng)提供了不同的服務(wù)給不同的用戶群體,提供這些服務(wù)并不需要什么特殊的設(shè)備或軟件。因此,云計(jì)算最起碼包含幾個特性:“云是一個大型資源池,可以輕松地獲取虛擬化資源(如硬件、開發(fā)平臺或服務(wù))。這些資源可以動態(tài)地重新配置和靈活整合,達(dá)到一個最佳的資源利用率。云服務(wù)提供商通過定制服務(wù)水平協(xié)議,提供基礎(chǔ)設(shè)施服務(wù)并按付費(fèi)的模式來管理維護(hù)這種資源池。”云計(jì)算不是一個單一產(chǎn)品。它提供了不同的服務(wù)模式,主要包括以下3種:軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)和基礎(chǔ)設(shè)施即服務(wù)(IaaS)。
SaaS是一種通過互聯(lián)網(wǎng)來提供軟件的服務(wù)模式,用戶無需購買軟件。而是向云服務(wù)提供商租用基于Web的軟件來管理企業(yè)經(jīng)營活動。
Paas是把計(jì)算環(huán)境、開發(fā)環(huán)境等平臺作為一種服務(wù)提供的商業(yè)模式。云計(jì)算服務(wù)提供商可以將操作系統(tǒng)、應(yīng)用開發(fā)環(huán)境等平臺級產(chǎn)品通Web以服務(wù)的方式提供給用戶。通過PaaS,軟件開發(fā)人員可以在不購買服務(wù)器的情況下開發(fā)新的應(yīng)用程序。
IaaS是把數(shù)據(jù)中心、基礎(chǔ)設(shè)施硬件資源(如存儲、硬件、服務(wù)器、網(wǎng)絡(luò))通過Web分配給用戶使用的商業(yè)模式。這些資源由云服務(wù)提供商進(jìn)行操作、維護(hù)和管理。根據(jù)美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)的定義,云計(jì)算有4種部署模式,分別是:公共云、私有云、混合云和社區(qū)云,如圖l所示。
公共云:它面向大眾提供資源、Web應(yīng)用和其他服務(wù)等,任何用戶都可以通過互聯(lián)網(wǎng)從云服務(wù)商處獲取這些服務(wù)。公共云上的基礎(chǔ)設(shè)施由公用的企業(yè)機(jī)構(gòu)進(jìn)行建設(shè)及管理。
私有云:這種云基礎(chǔ)設(shè)施專門為一個企業(yè)服務(wù),該企業(yè)內(nèi)的任何用戶都可以從云設(shè)施處獲取數(shù)據(jù)、服務(wù)和Web應(yīng)用,但企業(yè)外部的用戶則不能訪問云。私有云上的基礎(chǔ)設(shè)施完全由企業(yè)自身管理,并維護(hù)公共數(shù)據(jù)。混合云:混合云是兩種或兩種以上的云計(jì)算模式的混合體,如公有云和私有云混合。它們相互獨(dú)立,但在云的內(nèi)部又相互結(jié)合,可以發(fā)揮出所混合的多種云計(jì)算模型各自的優(yōu)勢。
社區(qū)云:這種模式是建立在一個特定的小組里多個目標(biāo)相似的公司之間的,其共享一套基礎(chǔ)設(shè)施,所產(chǎn)生的成本共同承擔(dān)。因此,其所能實(shí)現(xiàn)的成本節(jié)約效果也并不很明顯。社區(qū)云的成員都可以登人云中獲取信息和使用應(yīng)用程序。
3.云計(jì)算的網(wǎng)絡(luò)問題
云計(jì)算環(huán)境中存著在多種網(wǎng)絡(luò)安全威脅問題,現(xiàn)將其中一些主要的網(wǎng)絡(luò)問題進(jìn)行探討分析。
圖1 云計(jì)算的類型
3.1 拒絕服務(wù)攻擊
拒絕服務(wù)攻擊指攻擊者想辦法讓目標(biāo)服務(wù)器停止提供服務(wù)甚至主機(jī)死機(jī)。如攻擊者頻繁地向服務(wù)器發(fā)起訪問請求,造成網(wǎng)絡(luò)帶寬的消耗或者應(yīng)用服務(wù)器的緩沖區(qū)滿溢:該攻擊使得服務(wù)器無法接收新的服務(wù)請求,其中包括了合法客戶端的訪問請求。例如。一個黑客劫持了Web服務(wù)器,使其應(yīng)用服務(wù)停止運(yùn)行,導(dǎo)致服務(wù)器不能提供Web服務(wù)。在云計(jì)算中,黑客對服務(wù)器開展拒絕服務(wù)攻擊時,會發(fā)起成千上萬次的訪問請求到服務(wù)器,導(dǎo)致服務(wù)器無法正常工作。無法響應(yīng)客戶端的合法訪問請求。針對這種攻擊,可以采用的應(yīng)對策略是減少連接到服務(wù)器的用戶的權(quán)限,這將有助于降低拒絕服務(wù)攻擊的影響。
