引言
云計(jì)算的商業(yè)前景巨大,許多與移動(dòng)互聯(lián)網(wǎng)相關(guān)的企業(yè)都提供各種云計(jì)算服務(wù)。將云計(jì)算引進(jìn)到移動(dòng)互聯(lián)網(wǎng),將會(huì)導(dǎo)致移動(dòng)互聯(lián)網(wǎng)體系結(jié)構(gòu)的一系列變化和產(chǎn)生許多新的安全問題,如跨域數(shù)據(jù)安全和隱私保護(hù)、虛擬運(yùn)行環(huán)境的安全性和跨域安全的監(jiān)控等。為了應(yīng)對(duì)這些挑戰(zhàn),研究相關(guān)的安全風(fēng)險(xiǎn)和設(shè)計(jì)一個(gè)云計(jì)算的安全架構(gòu)將變得非常有必要,它可以為云計(jì)算在移動(dòng)互聯(lián)網(wǎng)上的成功應(yīng)用奠定基礎(chǔ)。
在分析了當(dāng)前云計(jì)算的安全風(fēng)險(xiǎn)和安全架構(gòu)的基礎(chǔ)上,本文設(shè)計(jì)了一個(gè)移動(dòng)互聯(lián)網(wǎng)上的具有多層次、彈性、跨平臺(tái)和統(tǒng)一用戶界面的云計(jì)算安全架構(gòu),它基于軟件即服務(wù)準(zhǔn)則(SaaS)和移動(dòng)互聯(lián)網(wǎng)的內(nèi)部特征:如多接入模式,不同的經(jīng)營企業(yè)和不同的用戶安全需求等。
1 相關(guān)工作
移動(dòng)互聯(lián)網(wǎng)上的云計(jì)算服務(wù)是一項(xiàng)復(fù)雜的系統(tǒng)工程,面臨著各種安全威脅,迫切需要研究和設(shè)計(jì)特定的技術(shù)抵抗和防御這些威脅。云計(jì)算安全架構(gòu)是一個(gè)關(guān)鍵點(diǎn),許多研究者和企業(yè)都對(duì)此進(jìn)行了分析和開發(fā)了各種相關(guān)系統(tǒng)的安全框架。
Windows Azure是微軟公司的以云計(jì)算為基礎(chǔ)的操作系統(tǒng),Windows Azure主要作用是給開發(fā)者提供開發(fā)平臺(tái),以便輔助開發(fā)可在數(shù)據(jù)中心、云服務(wù)器、Web和PC上運(yùn)行的應(yīng)用程序。云計(jì)算開發(fā)者可以用微軟全球數(shù)據(jù)中心的計(jì)算能力、儲(chǔ)存和網(wǎng)絡(luò)基礎(chǔ)服務(wù)。Azure平臺(tái)主要包含了以下組件:Windows Azure;Microsof/.Net服務(wù),Microsoft SQL的數(shù)據(jù)庫服務(wù);用于儲(chǔ)存、分享和同步文件的Live服務(wù);針對(duì)商業(yè)的MicrosoftSharePoint和Microsofi Dynamics CRM服務(wù)。
圖1 移動(dòng)互聯(lián)網(wǎng)上的云計(jì)算安全架構(gòu)
Amazon EC2(Elastic Compute Cloud)是一個(gè)讓用戶可以租用云電腦運(yùn)行所需應(yīng)用的系統(tǒng)。EC2借由提供web服務(wù)的方式讓用戶可以彈性地運(yùn)行自己的Ama—zon機(jī)器鏡像文件,用戶將可以在這個(gè)虛擬機(jī)上運(yùn)行任何自己想要的軟件或應(yīng)用程序。
云安全聯(lián)盟CSA于2609年在RSA大會(huì)上成立。然后。CSA很快獲得了業(yè)界的一致認(rèn)可,F(xiàn)在,CSA與ISACA、OWASP等組織都建立了合作關(guān)系,許多國際上的領(lǐng)袖公司都成為了其會(huì)員。2009年12月17日,CSA還發(fā)布新版的《云安全指南》v2.1,這標(biāo)志著云計(jì)算業(yè)界對(duì)于云計(jì)算及和安全保護(hù)認(rèn)識(shí)的又一次重要升級(jí)。
Jericho Forum首先提出了云立方體模型,它非常形象地描述了現(xiàn)有云產(chǎn)品的各種排列組合,他提出區(qū)分云從一種形態(tài)轉(zhuǎn)變成另一種形態(tài)的四種準(zhǔn)則,維度。
上文所闡述的云安全架構(gòu)考慮到了現(xiàn)有云計(jì)算平臺(tái)中所有層的安全威脅(主機(jī)系統(tǒng)層,網(wǎng)絡(luò)層和網(wǎng)絡(luò)應(yīng)用層等),并制定一些總體性框架。
但他們不能滿足移動(dòng)互聯(lián)網(wǎng)的特殊應(yīng)用需求。如何構(gòu)建移動(dòng)互聯(lián)網(wǎng)的云計(jì)算安全體系結(jié)構(gòu)仍然是一個(gè)開放的問題。
2 移動(dòng)互聯(lián)網(wǎng)上的云計(jì)算安全架構(gòu)
2.1設(shè)計(jì)目標(biāo)
基于安全服務(wù)準(zhǔn)則,本文的安全架構(gòu)的設(shè)計(jì)目標(biāo)如下:
·確保移動(dòng)互聯(lián)網(wǎng)上不同用戶的數(shù)據(jù)安全和隱私保護(hù)。
·確保虛擬化云計(jì)算平臺(tái)運(yùn)行環(huán)境的安全。
·根據(jù)不同要求,提供量身定制的安全服務(wù)。
·實(shí)現(xiàn)云計(jì)算運(yùn)行平臺(tái)上的風(fēng)險(xiǎn)評(píng)估和安全監(jiān)控。
·確保云計(jì)算基礎(chǔ)設(shè)施的安全和構(gòu)建可信任云服務(wù)。
·保障用戶私人數(shù)據(jù)的完整性和保密性的基礎(chǔ)。
2.2安全架構(gòu)設(shè)計(jì)
在分析了當(dāng)前云計(jì)算的安全風(fēng)險(xiǎn)和安全架構(gòu)的基礎(chǔ)上、并考慮到移動(dòng)互聯(lián)網(wǎng)的特征,本文所設(shè)計(jì)的多層次、彈性一、跨平臺(tái)和統(tǒng)一用戶界面的云計(jì)算安全架構(gòu)如圖1所示。
第一,該架構(gòu)包含了一組云安全應(yīng)用服務(wù)資源郎:隱私數(shù)據(jù)保護(hù),密文數(shù)據(jù)查詢,數(shù)據(jù)完整性驗(yàn)證,安全事件預(yù)警,內(nèi)容安全服務(wù)。
第二,為云計(jì)算的虛擬化設(shè)計(jì)了一組云安全平臺(tái)服務(wù)資源,由被隔離的虛擬機(jī),虛擬機(jī)安全監(jiān)測(cè),虛擬機(jī)安全遷移和虛擬機(jī)安全鏡像所組成,并在不同平臺(tái)之間使用虛擬技術(shù),如不同的操作系統(tǒng)。
第三,根據(jù)不同用戶的不同安全要求,安全架構(gòu)提供不同安全級(jí)別的云基礎(chǔ)設(shè)施。
第四,一個(gè)統(tǒng)一的云安全管理平臺(tái)是為用戶管理、密鑰管理、授權(quán)、認(rèn)證、防火墻、防病毒、安全記錄、預(yù)警和審計(jì)等而設(shè)計(jì),它通過所有的層來發(fā)揮效果(云安全應(yīng)用、云安全平臺(tái)和云安全基礎(chǔ)設(shè)施),并實(shí)現(xiàn)整個(gè)系統(tǒng)的跨安全域的運(yùn)行和維護(hù)的集中管理:包括不同的安全域和多個(gè)安全級(jí)別。
第五,考慮到接入模式的多樣性(2G/3G/4G, WiFi和WiMAX等),該安全架構(gòu)提供統(tǒng)一的云安全應(yīng)用服務(wù)接口,如手機(jī)多媒體服務(wù)、手機(jī)電子郵件、手機(jī)支付、網(wǎng)絡(luò)瀏覽器和移動(dòng)搜索等,結(jié)合定制的安全服務(wù)即隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全服務(wù)等。
第六,本文所建議的架構(gòu)包括與云安全標(biāo)準(zhǔn)一致的符合性檢查和受信第三方所提供評(píng)估法規(guī)。在云服務(wù)提供商的應(yīng)用軟件部署之前,必須由第三方可信任評(píng)估機(jī)構(gòu)對(duì)此進(jìn)行測(cè)試和評(píng)估,以便評(píng)估在移動(dòng)互聯(lián)網(wǎng)環(huán)境中的安全風(fēng)險(xiǎn)和確定信任級(jí)別,這樣云用戶才可避免不必要的損失。云服務(wù)安全級(jí)別的測(cè)試和評(píng)估可應(yīng)用于市場(chǎng)準(zhǔn)人,這就迫使云服務(wù)提供商提高服務(wù)質(zhì)量和安全意識(shí)。
2.3關(guān)鍵技術(shù)
對(duì)于云用戶來說,存在遠(yuǎn)程集中管理多用戶私人資源和開放的計(jì)算環(huán)境之間的尖銳矛盾。最基本的一點(diǎn)是,用戶資源的隱私性和信心要求應(yīng)用程序是相對(duì)固定和穩(wěn)定的,但是計(jì)算環(huán)境的開放使得隱私數(shù)據(jù)面臨著多方安全威脅。可以說,云服務(wù)提供商和客戶之間的信任是云計(jì)算可否被推廣的關(guān)鍵點(diǎn),而且,數(shù)據(jù)安全和隱私保護(hù)是在云計(jì)算安全中非常重要。處理這些問題的主要技術(shù)與密文存儲(chǔ)和查詢、數(shù)據(jù)集成驗(yàn)證和在多用戶環(huán)境中的隱私保護(hù)機(jī)制等方面相關(guān)。
云計(jì)算平臺(tái)必須統(tǒng)一安排和部署計(jì)算資源,以實(shí)現(xiàn)硬件和虛擬資源的安全管理和訪問控制。因此,它是云計(jì)算安全的關(guān)鍵項(xiàng)目,可以確保虛擬化的運(yùn)行環(huán)境的安全,它包含安全監(jiān)控虛擬機(jī)、虛擬機(jī)遷移、虛擬機(jī)隔離和鏡像等。
各種不同的服務(wù)模式,所有的VM由種族隔離造成的安全隱患,例如,內(nèi)存越界訪問、在不同安全域的虛擬機(jī)控制管理和虛擬機(jī)之間的協(xié)同訪問控制等。
某些類型的安全風(fēng)險(xiǎn)和運(yùn)行在虛擬機(jī)上的程序是否符合用戶的需求有關(guān),例如,運(yùn)行環(huán)境的安全級(jí)別是否符合要求,運(yùn)行流是否正常。預(yù)警和安全檢查功能包括:安全策略管理,系統(tǒng)日志管理和審計(jì)策略管理等。
移動(dòng)互聯(lián)網(wǎng)中的云計(jì)算是一種多源異構(gòu)服務(wù),并存的運(yùn)行環(huán)境,同時(shí)實(shí)現(xiàn)安全的服務(wù)定制和安全自適應(yīng),以滿足多用戶的不同安全需求。
為了支持在移動(dòng)互聯(lián)網(wǎng)環(huán)境中云計(jì)算的安全訪問,云計(jì)算安全架構(gòu)也需要云計(jì)算平臺(tái)運(yùn)行時(shí)的風(fēng)險(xiǎn)評(píng)估和安全測(cè)試,并支持第三方的安全審計(jì)等。移動(dòng)互聯(lián)網(wǎng)上的云計(jì)算安全監(jiān)督體系負(fù)責(zé)安全監(jiān)控移動(dòng)互聯(lián)網(wǎng)的內(nèi)容、在云計(jì)算基礎(chǔ)上的早期預(yù)警和防御攻擊,此外,負(fù)責(zé)保障措施的審計(jì)和實(shí)現(xiàn)云服務(wù)安全。
3 總結(jié)和展望
本文設(shè)計(jì)了一個(gè)移動(dòng)互聯(lián)網(wǎng)上的具有多層次、彈性、跨平臺(tái)和統(tǒng)一用戶界面的云計(jì)算安全架構(gòu)。該架構(gòu)為客戶提供的云服務(wù)安全級(jí)別可以適應(yīng)各種用戶的不同需求。該架構(gòu)可以依據(jù)實(shí)際需求而靈活得搭建和實(shí)施,它幾乎可以無縫地整合不同的操作系統(tǒng)和異構(gòu)網(wǎng)絡(luò),并為媒體終端用戶提供統(tǒng)一的操作模式。今后的工作是在細(xì)節(jié)上研究安全架構(gòu)每一組成部分,詳細(xì)分析和設(shè)計(jì)相關(guān)的不同層次和模塊之間的接口,最終為驗(yàn)證理論和積累實(shí)際經(jīng)驗(yàn)而設(shè)一個(gè)原型系統(tǒng)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:移動(dòng)互聯(lián)網(wǎng)中的云計(jì)算安全架構(gòu)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083977006.html