23.1 概念与威胁分析

1）概念

在传统计算环境下，用户构建一个新的应用系统，需要做大量繁杂的工作，如采购硬件设备、安装软件包、编写软件，同时计算资源与业务发展难以灵活匹配，信息系统项目建设周期长。随着网络信息科技的发展，人们实际上希望一种简捷、灵活多变的计算环境，如同电力服务的计算资源平台。云计算就是在这样的需求驱动下而产生的一种计算模式。云计算通过虚拟化及网络通信技术，提供一种按需服务、弹性化的IT资源池服务平台。

云计算的特征：

• IT 资源以服务的形式提供
• 多租户共享 IT 资源
• IT 资源按需定制与按用付费
• IT 资源可伸缩性部署

部署模式：私有云，社区云，公有云和混合云

其中，私有云是指云计算设施为某个特定组织单独运营云服务，可能由组织自身或委托第二方进行管理;公有云指云计算设施被某一组织拥有并进行云服务商业化，对社会公众、组织提供服务:社区云是指云计算设施由多个组织共享，用于支持某个特定的社区团体，可能山组织自身或委托第三方进行管理混合云是指云计算设施山两个或多个云实体(公有云、私有云、社区云)构成，经标准化或合适的技术绑定在一起，该技术使数据和应用程序具备可移植性

2）分析

下面按照“端-管-云”的安全威胁分析方法，对云计算的安全威胁进行分析。这里“端”是指使用云计算服务的终端设备或用户端，“管”是指连接用户端和云计算平台的网络，“云"就是云计算服务平台。

云端安全威胁

云终端是用户使用云计算服务的终端设备，云终端的安全性直接影响云服务的安全体验。云终端用户在使用云计算服务的过程中，云用户设置弱的口令，导致云用户的账号被劫，或者黑客攻击终端平台，假冒云用户。云终端设备存在安全漏洞，导致黑客入侵终端。云用户使用云终端时，暴露用户的个人隐私信息，如用户所在的地理位置、用户的行为特征等。

云 '管' 安全威胁

网络是云计算平台连接云用户的管道,云计算平台通过网络把云服务传递到云用户。然而，在网络通信过程中，网络可能面临的安全威胁有网络监听、网络数据泄露、中间人攻击、拒绝服务等，从而导致云计算平台出现安全问题。

云计算平台安全威胁

• 云计算平台物理安全威胁
• 云计算平台服务安全威胁
  • 云计算平台提供的服务对用户来说是透明的，但云用户无法掌握技术细节、基础设施的配置情况、系统管理方式等具体情况。云计算平台服务的安全性依赖于云服务商的安全管理及维护。云计算平台常常面临的网络安全威胁是云服务安全漏洞，导致云客户信息泄露、虚拟机安全不可信任、虚拟机逃逸、非安全的云服务 APT接口、侧信道攻击等。
• 云平台资源滥用安全威胁
  • 公共云计算平台为恶意人员提供了便利的沟通、协同和分析云服务的途径，使其成为网络犯罪的资源池。攻击者利用云服务平台的虚拟主机漏洞，非法入侵云平台的虚拟主机，构造僵尸网络，发动拒绝服务攻击，
• 云计算平台运维及内部安全威胁
  • 云提供商的内部工作人员违反安全规定或误操作，导致数据丢失和泄露、云计算平台服务非正常关闭等安全事件时有发生。调查表明，数据丢失和泄露是云计算服务的前三大安全威胁之一与云提供者出现合作争议或非盈利性云服务可能造成云服务终止，造成数据丢失和业务中断。
• 数据残留
  • 云租户的大量数据存放在云计算平台上的存储空间中，如果存储空间回收后剩余信息没有完全清除，存储空间再分配给其他云租户使用容易造成数据泄露。当云租户退出云服务时，由于云服务方没有完全删除云租户的数据，包括备份数据等，带来数据安全风险。
• 过度依赖
  • 由于缺乏统一的标准和接口，不同云计算平台上的云租户数据和应用系统难以相互迁移，同样也难以从云计算平台迁移回云租户的数据中心。另外，云服务方出于自身利益考虑，往往不愿意为云租户的数据和应用系统提供可移植能力。这种对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而受到影响，也可能导致数据和应用系统迁移到其他云服务方的代价过高。
• 利用共享技术漏洞进行的攻击
  • 由于云服务是多租户共享，如果云租户之间的隔离措施失效，一个云租户有可能侵入另一个云租户的环境，或者干扰其他云租户应用系统的运行。而且，很有可能出现专门从事攻击活动的人员绕过隔离措施，干扰、破坏其他云租户应用系统的正常运行。
• 滥用云服务
  • 面向公众提供的云服务可向任何人提供计算资源，如果管控不严格,不考虑使用者的目的，很可能被攻击者利用，如通过租用计算资源发动拒绝服务攻击。
• 云服务中断
  • 云服务基于网络提供服务，当云租户把应用系统迁移到云计算平台后，一旦与云计算平台的网络连接中断或者云计算平台出现故障,造成服务中断,将影响云租户应用系统的正常运行。
• 利用不安全接口的攻击
  • 攻击者利用非法获取的接口访问密钥，将能够直接访问用户数据，导致敏感数据泄露;通过接口实施注入攻击，进行篡改或者破坏用户数据;通过接口的漏洞，攻击者可绕过虚拟机监视器的安全控制机制，获取系统管理权限，将给云租户带来无法估计的损失。
• 数据丢失、篡改或泄漏
  • 在云计算环境下，数据的实际存储位置可能在境外，易造成数据泄露。云计算系统聚集了大量云租户的应用系统和数据资源，容易成为被攻击的目标。一旦遭受攻击，会导致严重的数据丢失、篡改或泄露。

3）要求

传统计算平台的安全主要包括物理和环境安全、网络和通信安全、设备和计算安全、数据安全和应用安全。在云计算环境中，除了传统的安全需求外，新增的安全需求主要是多租户安全隔离、虚拟资源安全、云服务安全合规、数据可信托管、安全运维及业务连续性保障、隐私保护等。同时，由于云计算系统承载着不同用户的应用和数据，相比于传统计算平台的安全，其安全运维要求更高，两者对比如下表所示。

23.2 需求

安全需求">1）技术安全需求

云端安全需求分析

云端的安全目标是确保云用户能够获取可信云服务。云端的安全需求主要涉及云用户的身份标识和鉴别、云用户资源访问控制、云用户数据安全存储以及云端设备及服务软件安全。

网络安全通信安全需求分析

网络安全通信的安全目标是确保云用户及时访问云服务以及网上数据及信息的安全性。实现网络安全通信的技术包括身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务等。

云计算平台安全需求分析

云计算平台的安全目标是确保云服务的安全可信性和业务连续性。云计算平台的安全需求主要有物理环境安全、主机服务器安全、操作系统、数据库安全、应用及数据安全、云操作系统安全、虚拟机安全和多租户安全隔离等。

2）合规需求

3）隐私保护需求

数据采集

数据传输

数据存储

数据使用

数据维护

数据安全事件处置

23.3 机制与技术方案

1）等级保护框架

一中心，三重防护

一个中心是指安全管理中心；三重防护包括安全计算环境、安全区域边界和安全通信网络。

安全防护">2）安全防护

身份鉴别认证机制

数据完整性机制

访问控制机制

入侵防范机制

安全审计机制

云操作系统安全增强机制

安全管理">3）安全管理

安全运维">4）安全运维

• 云计算安全风险评估机制
• 云技术内部安全防护机制
• 云计算网络安全监测机制
• 云计算应急响应机制
• 云计算容灾备份机制

23.4 案例分析

1）阿里云

2）腾讯云

3）华为云

4）微软 Azure

云计算隐私保护">5）云计算隐私保护

1. 云计算服务提供方的个人隐私保护措施
   1. 个人信息备份保管
   2. 建立严格的管理制度和流程以保障个人信息安全
   3. 建立信息安全合规机制与开展安全认证
   4. 强化身份验证和访问控制
   5. 限制个人信息存储地理位置‘个人信息留存管理
2. 用户个人隐私保护措施
   1. 加强用户自我保护意识
   2. 个人信息收集符合性监督
   3. 个人信息更正
   4. 个性化服务选择
3. 个人信息安全事件应急响应措施
   1. 针对个人信息安全事件，制定应急响应预案