1.引言
2007年10月,Google和IBM在美國大學(xué)校園開(kāi)始嘗試推廣云計算計劃,學(xué)生可以透過(guò)網(wǎng)絡(luò )開(kāi)發(fā)各項以大規模計算為基礎的研究計劃;隨后,更多的IT巨頭也開(kāi)始往這方面發(fā)展。從此,云計算技術(shù)開(kāi)始取代其他計算機技術(shù)成為IT業(yè)界的流行術(shù)語(yǔ)。所謂云計算,指的是一種模式,一個(gè)利用互聯(lián)網(wǎng)和遠程服務(wù)器來(lái)維護數據和應用程序的新概念。通過(guò)互聯(lián)網(wǎng),云計算能提供動(dòng)態(tài)的虛擬化資源、帶寬資源和定制軟件給用戶(hù),并承諾在應用中為用戶(hù)產(chǎn)生可觀(guān)的經(jīng)濟效益。云計算可以幫助用戶(hù)減少對硬件資源、軟件許可及系統維護的投入成本:通過(guò)互聯(lián)網(wǎng),用戶(hù)可以方便地使用云平臺上的各類(lèi)應用服務(wù)。此外,通過(guò)云計算用戶(hù)可以節約投資成本并可靈活地實(shí)現按需定制服務(wù),云平臺的按需定制服務(wù)可以快速地響應用戶(hù)需求,并方便地將用戶(hù)資源接人寬帶網(wǎng)絡(luò )。
本文針對云計算的類(lèi)型和網(wǎng)絡(luò )安全威脅問(wèn)題進(jìn)行了細致探討。在網(wǎng)絡(luò )風(fēng)險方面,云計算主要面臨著(zhù)以下的威脅攻擊:拒絕服務(wù)攻擊、中間人攻擊、網(wǎng)絡(luò )嗅探、端口掃描、SQL注入和跨站腳本攻擊;在安全風(fēng)險方面,云計算面I臨的威脅主要是:XML簽名包裝、瀏覽器安全性、云惡意軟件注入、洪流攻擊、數據保護、數據刪除不徹底和技術(shù)鎖定。
2.云計算的相關(guān)概念
許多公司,機構經(jīng)常需要對海量數據進(jìn)行存儲和檢索,而云計算可以有效地以最小的成本、最短的時(shí)間和最大的靈活性來(lái)實(shí)施完成該項任務(wù)。利用云計算獲取便利的同時(shí),用戶(hù)也要面臨云計算中各種不同的安全風(fēng)險問(wèn)題,如必須要將云平臺上不同用戶(hù)的數據相隔離,要保證不同云用戶(hù)數據的私密性、可靠性和完整性。此外,云服務(wù)提供商對云上的基礎服務(wù)設施必須制定一套完善的風(fēng)險管理控制方案,像服務(wù)提供商操縱或竊取程序代碼的安全風(fēng)險是時(shí)有出現的。
經(jīng)常使用的互聯(lián)網(wǎng),通常也可以被看作一朵巨大的云。通過(guò)互聯(lián)網(wǎng),云計算被看作一個(gè)應用和服務(wù)呈現給用戶(hù)。它的出現迅速將舊的計算機技術(shù)整合。然后轉變?yōu)橐豁椥录夹g(shù)。目前互聯(lián)網(wǎng)提供了不同的服務(wù)給不同的用戶(hù)群體,提供這些服務(wù)并不需要什么特殊的設備或軟件。因此,云計算最起碼包含幾個(gè)特性:“云是一個(gè)大型資源池,可以輕松地獲取虛擬化資源(如硬件、開(kāi)發(fā)平臺或服務(wù))。這些資源可以動(dòng)態(tài)地重新配置和靈活整合,達到一個(gè)最佳的資源利用率。云服務(wù)提供商通過(guò)定制服務(wù)水平協(xié)議,提供基礎設施服務(wù)并按付費的模式來(lái)管理維護這種資源池。”云計算不是一個(gè)單一產(chǎn)品。它提供了不同的服務(wù)模式,主要包括以下3種:軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)和基礎設施即服務(wù)(IaaS)。
SaaS是一種通過(guò)互聯(lián)網(wǎng)來(lái)提供軟件的服務(wù)模式,用戶(hù)無(wú)需購買(mǎi)軟件。而是向云服務(wù)提供商租用基于Web的軟件來(lái)管理企業(yè)經(jīng)營(yíng)活動(dòng)。
Paas是把計算環(huán)境、開(kāi)發(fā)環(huán)境等平臺作為一種服務(wù)提供的商業(yè)模式。云計算服務(wù)提供商可以將操作系統、應用開(kāi)發(fā)環(huán)境等平臺級產(chǎn)品通Web以服務(wù)的方式提供給用戶(hù)。通過(guò)PaaS,軟件開(kāi)發(fā)人員可以在不購買(mǎi)服務(wù)器的情況下開(kāi)發(fā)新的應用程序。
IaaS是把數據中心、基礎設施硬件資源(如存儲、硬件、服務(wù)器、網(wǎng)絡(luò ))通過(guò)Web分配給用戶(hù)使用的商業(yè)模式。這些資源由云服務(wù)提供商進(jìn)行操作、維護和管理。根據美國國家標準技術(shù)研究院(NIST)的定義,云計算有4種部署模式,分別是:公共云、私有云、混合云和社區云,如圖l所示。
公共云:它面向大眾提供資源、Web應用和其他服務(wù)等,任何用戶(hù)都可以通過(guò)互聯(lián)網(wǎng)從云服務(wù)商處獲取這些服務(wù)。公共云上的基礎設施由公用的企業(yè)機構進(jìn)行建設及管理。
私有云:這種云基礎設施專(zhuān)門(mén)為一個(gè)企業(yè)服務(wù),該企業(yè)內的任何用戶(hù)都可以從云設施處獲取數據、服務(wù)和Web應用,但企業(yè)外部的用戶(hù)則不能訪(fǎng)問(wèn)云。私有云上的基礎設施完全由企業(yè)自身管理,并維護公共數據。混合云:混合云是兩種或兩種以上的云計算模式的混合體,如公有云和私有云混合。它們相互獨立,但在云的內部又相互結合,可以發(fā)揮出所混合的多種云計算模型各自的優(yōu)勢。
社區云:這種模式是建立在一個(gè)特定的小組里多個(gè)目標相似的公司之間的,其共享一套基礎設施,所產(chǎn)生的成本共同承擔。因此,其所能實(shí)現的成本節約效果也并不很明顯。社區云的成員都可以登人云中獲取信息和使用應用程序。
3.云計算的網(wǎng)絡(luò )問(wèn)題
云計算環(huán)境中存著(zhù)在多種網(wǎng)絡(luò )安全威脅問(wèn)題,現將其中一些主要的網(wǎng)絡(luò )問(wèn)題進(jìn)行探討分析。
圖1 云計算的類(lèi)型
3.1 拒絕服務(wù)攻擊
拒絕服務(wù)攻擊指攻擊者想辦法讓目標服務(wù)器停止提供服務(wù)甚至主機死機。如攻擊者頻繁地向服務(wù)器發(fā)起訪(fǎng)問(wèn)請求,造成網(wǎng)絡(luò )帶寬的消耗或者應用服務(wù)器的緩沖區滿(mǎn)溢:該攻擊使得服務(wù)器無(wú)法接收新的服務(wù)請求,其中包括了合法客戶(hù)端的訪(fǎng)問(wèn)請求。例如。一個(gè)黑客劫持了Web服務(wù)器,使其應用服務(wù)停止運行,導致服務(wù)器不能提供Web服務(wù)。在云計算中,黑客對服務(wù)器開(kāi)展拒絕服務(wù)攻擊時(shí),會(huì )發(fā)起成千上萬(wàn)次的訪(fǎng)問(wèn)請求到服務(wù)器,導致服務(wù)器無(wú)法正常工作。無(wú)法響應客戶(hù)端的合法訪(fǎng)問(wèn)請求。針對這種攻擊,可以采用的應對策略是減少連接到服務(wù)器的用戶(hù)的權限,這將有助于降低拒絕服務(wù)攻擊的影響。
