云计算安全问题及对策

一、 安全问题成为云计算发展中的首要问题

云计算是新一代信息技术产业的重要组成部分,是继个人计算机、互联网之后的第三次信息技术浪潮，将引发信息产业商业模式的根本性改变。据Gartner预计2012年全球云计算市场规模约达到1072亿美元，2014年将达到1768亿美元。虽然各界都一致认为云计算有着巨大的增长空间，但在推广中依然面临着用户认可度不高、运营经验不足、产业链不完善等诸多问题。在诸多不利因素中，云计算的安全性问题一直排在首位，云安全逐渐成为制约云计算发展的瓶颈。

从现有的技术资料和已经曝光的安全事件来看，互联网时代中传统的安全威胁在云计算服务中同样存在，而且伴随着云计算特有的巨大规模和前所未有的开放性与复杂性，还出现了一些新的安全挑战。2012年6月，亚马逊北维吉尼亚的数据中心遭遇停电，由此导致亚马逊网络服务AWS中断约6个小时，影响波及亚马逊弹性计算EC2、亚马逊关系数据库服务以及亚马逊弹性魔豆AWS Elastic Beanstalk，宕机事故带来的不仅仅是用户数据的丢失，更重要的是造成了用户信心的流失。2012年8月，苹果公司的iCloud服务被黑客攻击，因云平台未备份用户数据，黑客暴力破解了用户密码，导致部分用户资料被删除，由于用户数据的丢失，致使用户Gmail和Twitter账号也因此被盗。这些安全事件进一步加剧了用户、尤其是重要企业客户对云计算安全风险的担忧。

二、 云计算中主要安全问题分析

由于在云计算应用场景中，传统的网络安全威胁，如网络病毒、漏洞入侵、内部泄漏、网络攻击等依旧存在，因此仍需要使用防病毒软件、入侵检测、抗分布式拒绝服务攻击（DDoS）等技术或者安全设备去实现对云的保护。与此同时，云计算的服务模式下，信息的发布和传播具有不同于以往的特点，公共云平台容易成为有害和垃圾信息的传播渠道，给国家安全带来了新的挑战。

（1）虚拟机安全问题

虚拟机逃逸被认为是对虚拟机安全最严重的威胁。虚拟机逃逸是指攻击者突破虚拟机管理器Hypervisor ，获得宿主机操作系统管理权限，并控制宿主机上运行的其他虚拟机。产生此问题原因一是Hypervisor本身存在漏洞，二是服务商很难辨别虚拟机申请者的真实身份。由此，攻击者既可以攻击同一宿主机上的其他虚拟机，也可控制所有虚拟机对外发起攻击。

同时，虚拟机之间的嗅探对传统安全设备提出了新挑战。由于同一物理服务器上的虚拟机之间可以不需要经过防火墙与交换机设备相互访问，使得攻击者可以利用简单的数据包探测器，很轻松地读取虚拟机网络上所有的明文传输信息。目前，传统安全设备尚未提供基于虚拟机的安全防护手段。

（2）数据安全问题

数据安全问题包括存储数据安全、剩余数据安全、传输数据安全等三方面。

存储数据安全问题的根源在于，用户的数据存在服务商的设备上，同时不同用户的数据共享存储资源。分析表明，存储数据面临的风险包括：服务商优先访问，即来自云服务商内部人员对用户数据的非授权访问和泄漏；其他恶意租户或黑客的非授权访问导致数据丢失和泄漏；由于数据的跨境流动，个人和企业的隐私等敏感信息易被泄漏；软硬件故障、电力中断、自然灾害等造成的数据丢失等。虽然分布式存储使得数据丢失的可能性大大降低，但黑客仍可通过分析数据分片规律达到重新复原被分割的数据的目的。

剩余数据安全问题是指，用户在使用完云存储服务后退租时，如果只是对退租用户磁盘中文件做简单的删除，而下一次将磁盘空间（逻辑卷）重新分配给其他租户时，就可能会被恶意租户使用数据恢复软件读出磁盘数据，而导致先前租户的数据泄漏。