云計算:愿景、趨勢和挑戰
背 景
隨著云計算規模的不斷擴大,云的安全問題也越來越受到人們的關注,云是一個開放平臺,使得它容易受到不斷演變的惡意攻擊。其中存儲數據的安全性、訪問管理、數據利用率管理和信任是云計算的主要安全方面。
傳統的分布式體系結構通過實施安全策略來維護信任。然而,在云部署模型中,數據和應用程序控制是通過委托進行的,因此對傳統的策略實施方式帶來了許多挑戰。
提高云計算安全性的一個特別有效的方法是使用加密方法。由于計算效率和相關約束的限制,傳統密碼技術尚未在基于云的環境中被廣泛使用。
在云計算中,數據確認和用戶身份驗證是相互關聯的,保護用戶帳戶不被濫用是控制對基于云的資源(如對象、內存、設備和軟件)訪問的一個重要抓手。
云計算提供了組織形式的加密方案,該方案可提供高水平安全性,但它們需要高效的實用程序,需要冗長的計算;因此,需要通過提供軟件安全解決方案以開展更高效和可擴展的業務。
加密身份驗證解決方案有助于促進安全的資源利用。然而,根據云部署模型的不同,密鑰管理(分配、分發和撤銷)必須高效且可大規模管理。
挑戰和問題
應用程序在云中存儲和處理數據,用戶訪問數據的目的多種多樣,如簡單存儲或分析(見圖1)。由于云計算操作的可靠性取決于安全策略(訪問控制、數據加密等)的實施,因此必須解決安全弱點和缺陷。
安全和保護隱私的云計算帶來了技術、法律和管理方面的挑戰。我們這里的重點是技術問題。安全性、確認性、完整性和可用性的主要方面必須在客戶端連接和服務器端解決。這三者都在共享環境中運行,并且都是共享環境的一部分,因此必須將它們的安全性和隱私要求結合起來。云安全的重要性已經得到了廣泛的認可,如云安全聯盟(https://cloudsecurityalliance.org)。
云服務有三種基本模型:軟件即服務(SaaS)、平臺即服務(PaaS)和基礎設施即服務(IaaS)。盡管這些模型有很大的不同,但它們有許多與安全和隱私相關的問題。
圖1 保護云以進行數據利用率管理
1、公共和私有云
云計算通過互聯網訪問資源。公共云由專門的服務提供商運營,并且在大多數情況下實現多租戶環境。私有云由組織運行,服務不共享,它們作為單租戶環境運行。在某些情況下,私有云由公共云服務擴展,從而創建混合云。
遠程訪問資源是云計算的一個基本部分,可以完全通過公共網絡或(可能是虛擬的)私有網絡進行連接。因為遠程訪問技術已經存在了一段時間,所以有許多解決方案可以保護傳輸中的數據。傳輸層安全(TLS)可以說是最流行的協議,它通過加密保護數據機密性,通過證書提供服務器端和客戶端身份驗證。TLS是從安全套接字層(SSL)協議發展而來,仍然提供向后兼容性,然而SSL版本已不被認為是完全安全的。
2、服務器可用性
由于技術的發展,主機已經提供了高可用性,網絡已經成為瓶頸。繁忙網絡中的數據交換可能很慢,而對網絡的攻擊(如拒絕服務(DoS)攻擊)可能會阻止對重要資源的訪問。在使用Web時,協議的無狀態特性需要新的解決方案來保持所需的可用性級別。
3、多租戶服務
與任何共享服務一樣,租戶之間并不是完全孤立的。許多云服務提供商提供不同級別的服務,并使用虛擬化來分離客戶端,包括共享虛擬機或將虛擬機分配給單個用戶。不過,一個用戶的工作模式可能會影響同一服務的其他用戶。例如過度使用或鎖定資源是影響服務可用性并可能導致DoS攻擊的常見問題。
云服務的最終用戶在異構環境中工作,云服務提供商對其設置幾乎沒有影響。用戶可以在幾乎沒有保護的網吧中使用這項服務,也可以在防火墻保護良好的環境中使用臺式計算機。但是,一個用戶的環境可能會影響服務器和其他用戶。惡意軟件可以通過服務器傳播、感染應用程序,并轉移到其他客戶端。虛擬環境在虛擬機之間提供的保護比在機器內部提供的保護更多,但它們仍然不能確保完全隔離。
4、數據存儲
用戶的主要擔憂之一是他們無法控制數據的位置或存儲方式。用戶所依賴的服務對他們來說是不透明的,關于服務器操作的任何信息都不會泄露。雖然這可以通過隱蔽性提高安全性,但也會破壞用戶信任。
數據保留也是用戶關心的問題。云服務提供商可能會將刪除的數據保留在備份中,或者出于某些未發布的原因。例如,Facebook保留刪除的數據,但將其從視圖中刪除。當服務終止時,同樣的問題也適用。
5、訪問控制
大多數云系統包括基本的訪問控制。幾乎每個系統都有特權用戶,例如對用戶數據具有無限制訪問權限的系統管理員。當數據或流程通過云外包時,可能會將敏感數據或流程移交安全保管。在本地環境中,用戶知道他們信任誰,但在云環境中,用戶很少知道云服務器的位置、服務器端管理它的人員以及通常誰可以訪問它。
內部威脅尤其令人擔憂,因為此類攻擊可能導致巨大的損失。惡意員工可能造成重大傷害,但即使是疏忽也可能通過允許外部攻擊者獲得內部特權而造成損害。云服務是犯罪分子極具吸引力的攻擊目標,因為成功的攻擊可以產生大量信息。攻擊可以從不適當地訪問信息到泄露或更改個人數據。隱私泄露本身可能造成損害,但發布或偽造個人信息可能造成更嚴重的損害。
6、身份保護
互聯網傳播的數據提供了關于人的有價值的信息。搜索關鍵詞、銀行卡使用情況和移動模式等等,可以用來從假定匿名的數據中識別和跟蹤個人的信息;攻擊者還可以利用此信息進行攻擊。云服務提供商幾乎可以不受限制地獲得相同的數據。例如,一些云服務提供商的商業模式包括基于監控賬戶流量或存儲在用戶賬戶上的數據的定向廣告。
通過分析用戶,可以更容易地確定客戶的興趣,這有助于有針對性的推送廣告和營銷。數據挖掘通常是在客戶明確同意或不同意的情況下,對云中存儲的數據執行的。雖然如果執行得當,這可能不會侵犯客戶的隱私,但這肯定是客戶需要注意的一個方面。
解決辦法與趨勢
1、使用同態加密保護云
同態加密允許對加密數據(也稱為密文)執行計算,從而生成加密結果,當解密時,加密結果與對原始數據(明文)執行的相同操作的結果相匹配。這對于將加密數據外包給云的應用程序來說是一個主要優勢。
同態加密在許多應用中都很有吸引力,但它有一個嚴重的局限性:同態屬性通常僅限于一個操作,通常是加法或乘法。同時具有加法和乘法同態特性的方法使我們更接近實際應用。Ronald Rivest和他的同事在1978年5以隱私同態的名義引入了完全同態加密的概念,但直到2009年Craig Gentry才提出了完全同態加密(FHE)方案。Gentry的方案允許對加密數據進行任意數量的加法和乘法運算,同時確保結果正確反映在解密數據中。
2、保護隱私的數據挖掘作為云服務
近十年來,人們對數據挖掘服務越來越感興趣。缺乏數據存儲、計算資源和專業知識的公司(數據所有者)將其數據存儲在云中,并將挖掘任務外包給云服務提供商(服務器)。毫無疑問,數據挖掘為滿足商業需求提供了寶貴的服務。然而,它也帶來了嚴重的隱私問題,因為服務器可以訪問公司數據,并可以從中了解商業秘密。
為了保護公司的數據隱私,同時使服務器能夠對云中的數據進行關聯規則挖掘,一個天真的解決方案是,數據所有者通過用唯一的數字替換項目(相同的項目被相同的數字替換,不同的項目被不同的數字替換),來隱藏其事務數據庫中項目的含義。這種一對一的替代方法不會隱藏項目的頻率。如果服務器有一些背景知識(例如,關于某些項目頻率的信息),它可以重新識別它們,特別是最頻繁的項目。
為了防止基于背景知識的攻擊,WaiKit Wong和他的同事提出了一種一對n項映射,它可以不確定地轉換事務,其基本思想是在事務數據庫添加假項目。然而,虛假數據的制造降低了數據分析的準確性,并且所提出的方法有兩個可以利用的弱點。首先,每個假冒商品被添加到每個交易中的概率相同,因此當交易數量較大時,假冒商品出現的頻率相似。第二,偽造物品被添加到交易中,與已經存在的物品無關,因此,每個假冒商品都獨立于所有其他商品。Ian Molloy及其同事對Wong及其同事的算法提出了一種基于頻率分析的攻擊,通過檢測項目之間的低相關性,攻擊可以刪除獨立添加的假項目,并且成功地重新識別了一些最頻繁的項目。
3、分布式訪問控制
分散管理是云部署模型的一個顯著特征。訪問控制執行的權力下放是可取的,在集中式解決方案中,對多個云域上的大量用戶的訪問控制必須處理維護大量復雜的授權規則。
4、可靠的憑證管理
健壯的身份驗證在訪問控制中至關重要:授權被授予經過身份驗證的用戶。其中一個重要方面是身份憑證的管理,聯邦身份管理被認為是開放系統(如基于云的協作系統)的有效解決方案,其可靠的身份管理對于確保可靠的數據利用率管理至關重要。
總結與展望
大量數據托管在云中,云提供商必須向所有用戶保證其真實性和完整性。驗證多源數據的原點是一項挑戰。當數據以高速承載(例如來自數百萬傳感器的數據)時,當大量用戶需要更具可擴展性的解決方案時,隨著時間的推移保持完整性將面臨更大的挑戰。對于這個問題,需要研究基于來源的解決方案和基于圖形的大數據完整性驗證模型。
最近,加密解決方案作為安全數據存儲和訪問控制的可行解決方案越來越受歡迎。一些加密技術在安全性、效率和可伸縮性方面具有吸引力,高級加密方案(如同態加密)以沉重的計算開銷為代價確保了強大的安全性。未來,在云部署模型和應用于特定程序的需求方面,我們還需要就提高效率和可伸縮性開展更多的研究工作。
參考文獻
Z. Tari, X. Yi, U. S. Premarathne, P. Bertok and I. Khalil, "Security and Privacy in Cloud Computing: Vision, Trends, and Challenges," in IEEE Cloud Computing, vol. 2, no. 2, pp. 30-38, Mar.-Apr. 2015, doi: 10.1109/MCC.2015.45.
