2.1 云存储安全体系
本节介绍云存储安全体系。首先阐述云存储系统的层次模型;然后在对应层次模型下,介绍云存储系统安全体系结构。
2.1.1 云存储系统层次模型
与传统的存储系统相比,云存储系统不仅包括硬件,还包括由存储设备、计算设备、网络设备、服务器、应用软件、公共访问接口和客户端程序等多个部分组成的复杂系统。各部分以存储设备为核心,通过应用软件来对外提供数据存储和业务访问功能。云存储系统的体系结构可分为物理资源层、虚拟化层、基础管理层、应用接口层和访问层,如图2-1所示。
(1)物理资源层:作为云存储最基础的部分,存储设备可以是FC光纤通道存储设备、NAS和SAN等IP存储设备,也可以是SCSI或SAS等DAS存储设备。数量庞大的云存储设备分布在不同地域,彼此之间通过广域网、互联网或者FC光纤通道网络连接。所有物理资源构成一个集存储、计算与网络设备以及数据库等于一体的物理资源仓库。
(2)虚拟化层:对存储、计算与网络设备进行逻辑虚拟化,将各类资源划分为统一规格的存储、计算与网络单元,构成存储、计算、网络以及数据等资源池,以分配给用户。
(3)基础管理层:基础管理层是云存储最核心的部分,通过集群系统、分布式文件系统和网格计算等技术,实现云存储中多个存储设备之间的协同工作,对外提供良好的数据访问性能。
(4)应用接口层:包括公用API接口、应用软件以及网络接入等。不同的云存储运营单位可以根据实际业务类型,开发不同的应用服务接口,提供不同的应用服务。任何一个授权用户通过网络接入、用户认证和权限管理接口等方式登录云存储系统,都可以享受云存储服务。
图2-1 云存储系统的体系结构组成
(5)访问层:利用云存储服务提供商访问层所提供的不同访问类型和访问方式,用户可享受诸如个人空间服务、运营商空间租赁、企事业单位或SMB的数据灾备与远程共享,以及视频监控、IPTV和视频点播等各种应用服务。
2.1.2 云存储系统安全体系结构
通常,云存储系统的体系结构如图2-2所示,数据拥有者将数据存放到云服务提供者的存储云上,然后通过各类轻量型设备访问云上的数据;也可以通过一些访问控制方式,将数据与其他用户共享。
图2-2 云存储系统的体系结构
在数据拥有者或用户与云存储服务器交互的过程中,存在以下安全风险。
(1)数据拥有者将数据传输到云存储服务器的过程中,外部攻击者可以通过网络窃听的方式盗取数据。
(2)数据存储到云服务器上以后,外部攻击者可以通过钓鱼软件、木马和无授权的访问等方式来破坏服务提供者对用户数据和程序的保护,从而实现非法访问。
(3)由于数据拥有者的数据存放在服务提供者的存储介质上,失去了对数据的物理控制权,云服务提供者的内部人员可能滥用权限,对数据安全造成威胁。
(4)数据拥有者向用户授权数据访问时,面临如何防范恶意用户以及保障交互过程安全的问题。
(5)外部攻击者可以通过观察用户发出的请求,获得用户的习惯、目的等隐私信息。因此,从数据的发送、存储到访问的整个过程中,都存在内外部的安全风险。
另外,在云存储系统的层次模型中,各个层次都存在安全威胁。在物理资源层,云服务提供商的物理设施可靠吗?当灾难(停电、地震、水灾、火灾等)发生造成物理设备损坏时,用户的数据是否可用?是否存在对设备的攻击?在虚拟化层,虚拟化的环境与平台安全吗?对于虚拟化的多租户及平台共享,是否有对应的安全措施?在基础管理层,系统安全能不能得到保障?有安全性评价标准吗?在应用接口层,云提供的应用可信吗?在数据访问层,数据的安全有保证吗?云服务提供商会不会滥用用户的数据?用户应该使用何种安全保障强度的云服务?
只有将物理环境、硬件设备、硬件技术、软件技术等综合起来,才能实现完整的安全性。因此,自底层到顶层,存在物理安全、虚拟化安全、数据安全以及应用安全。从信息安全的角度来看,在传统三要素(CIA三元组)——机密性(Confidentiality)、完整性(Integrality)、可用性(Availability)的基础上,作者认为有必要加入访问控制(Access Control),将其延伸到CIAA。这4个方面被认为是保障云存储安全的核心技术。
具体到目前对云存储安全的研究,云存储系统安全体系结构如图2-3所示。
在物理资源层,一方面要保障物理环境安全,将云中心建立在一个适宜的环境中;另一方面也要保障物理设备安全,有电磁防护、门禁系统、机房监控系统等。
在虚拟化层,因为虚拟化使原有信息系统的边界不复存在,因此虚拟机安全便成为云存储安全的关键。为实现虚拟机安全监控、虚拟机安全迁移、虚拟机安全隔离以及虚拟机安全镜像等,需要适当的系统隔离技术保障多租户的数据与应用安全,需要安全的远程管理技术,需要对系统进行状态监控并及时维护升级。
基础管理层是云存储最为核心的部分,也是最复杂的部分。基础管理层大量采用了集群管理技术和分布式存储系统的成熟方法,在实现良好的可扩展性的同时,也满足了可用性及性能的需求,可提供数据分块存储、建立数据索引、数据加密、密钥管理、密文搜索和完整性证明。此外,它还负责重复数据删除、容灾备份等任务。容灾备份技术指的是在磁盘故障或者天灾等意外和灾难发生的时候,能够通过自身的一些特殊的机制,进行故障的检测与恢复,最小化灾难和意外带来的影响,使用户能够不受影响地照常使用数据服务,保证云存储数据自身的安全和稳定。
图2-3 云存储系统安全体系结构
云存储应用安全建立在身份认证和对资源的权限控制基础上。在应用接口层,要防止攻击者以非法手段窃取用户口令和身份信息,要对来访者有适当的权限访问控制与管理机制。比如,在Web服务中,要重点关注数据传输安全、身份认证与鉴别、访问控制以及抵抗拒绝服务攻击等方面。
为了保障数据拥有者对数据的控制权,用户可以在数据访问层自主加密数据,然后通过应用接口层的服务接口将加密数据存储到云服务器。同时,需要采用传统的网络安全技术保障传统边界安全,包括防火墙与病毒防护技术等。因为传统防火墙技术无法有效对抗更隐蔽的攻击行为,如欺骗攻击和木马攻击,而且传统病毒防护软件无法对木马、邮件类病毒、蠕虫进行全网整体的防护。在云存储的多租户共享环境下,将有大量的终端用户接入,如何防范不安全的接入是云存储中安全接入的重要任务。
而更加笼统地划分,云存储的安全威胁主要包括内部威胁和外部威胁两个方面。其中以内部威胁更难防范,主要包括远程管理风险、恶意的内部员工、操作失误、云基础框架中的软硬件错误等。外部威胁是指通过云服务器与用户之间的交互接口,利用软硬件以及管理上的漏洞对系统进行入侵与攻击。