| 云计算是一个IT资源服务平台,承载着多种应用系统,存储了大量的数据资源,其安全性至关重要。云安全不仅关系企事业单位的正常运行,同时也涉及国家安全以及社会影响,保障云计算系统的安全成为相关企事业单位开展云计算服务业务的基础。网络安全问题成为云计算服务发展的重要因素。
|
|
|
| 下面按照“端-管-云”的安全威胁分析方法,对云计算的安全威胁进行分析。这里“端”是指使用云计算服务的终端设备或用户端,“管”是指连接用户端和云计算平台的网络,“云”就是云计算服务平台。
|
|
|
|
|
| 云终端是用户使用云计算服务的终端设备,云终端的安全性直接影响云服务的安全体验。云终端用户在使用云计算服务的过程中,云用户设置弱的口令,导致云用户的账号被劫,或者黑客攻击终端平台,假冒云用户。云终端设备存在安全漏洞,导致黑客入侵终端。云用户使用云终端时,暴露用户的个人隐私信息,如用户所在的地理位置、用户的行为特征等。
|
|
|
|
|
| 网络是云计算平台连接云用户的管道,云计算平台通过网络把云服务传递到云用户。然而,在网络通信过程中,网络可能面临的安全威胁有网络监听、网络数据泄露、中间人攻击、拒绝服务等,从而导致云计算平台出现安全问题。例如,攻击者通过入侵控制云计算平台的域名服务、入口网站,以劫持云平台的网络入口,从而让云计算平台无法有效提供云服务。攻击者利用云服务的通信协议明文传递信息的安全隐患,获取云用户的秘密信息。恶意的云用户把网卡设置为混杂模式,窃听其他云用户的网络通信内容。攻击者利用TCP/IP协议漏洞,实施同步风暴、ICMP风暴、UDP风暴等拒绝服务攻击。
|
|
|
|
|
| 云计算平台汇聚大量的应用系统及数据资源,已成为国家关键信息基础设施。云计算平台面临的网络安全威胁日益频繁和复杂,其主要网络安全威胁如下。
|
|
|
|
|
| 云计算促进了各种资源的集中化,极易形成物理环境单点安全高风险。云计算平台一旦遭受物理安全威胁,后果可能是灾难性的。国外Amazon的数据中心曾被雷电击中,导致云服务器停止运行。交换机、服务器等硬件失效导致云数据不能被访问。美国云存储供应商Swissdisk遭受硬件失效,拒绝用户访问他们自己的数据。国外云安全事件调查表明,硬件失效的安全事件数占到云安全事件的10%。
|
|
|
|
|
| 云计算平台提供的服务对用户来说是透明的,但云用户无法掌握技术细节、基础设施的配置情况、系统管理方式等具体情况。云计算平台服务的安全性依赖于云服务商的安全管理及维护。云计算平台常常面临的网络安全威胁是云服务安全漏洞,导致云客户信息泄露、虚拟机安全不可信任、虚拟机逃逸、非安全的云服务API接口、侧信道攻击等。2005年1月,研究者发现了Gmail邮件服务安全漏洞,使得用户名和密码很容易被盗窃,导致外来者可以窥探用户的电子邮件。云计算平台安全管理不善和安全防护措施不到位,导致虚拟镜像操作系统存在漏洞。例如Guest OS本身存在安全漏洞,就会形成Guest OS镜像污染,安全危害将从单个虚拟主机扩散到计算池、存储池,甚至整个云数据中心,如下图所示。
|
|
|
|
|
|
|
| 目前云计算平台的操作系统(Hyervisor)XEN、KVM、OpenStack、VMware等存在未知漏洞,攻击者有可能通过虚拟机漏洞攻击而获取云平台的管理员权限,如下图所示。
|
|
|
|
|
|
|
| 2012年ACM CCS国际网络安全会议上,研究人员发表的一篇论文Cross-VM Side Channels and Their Use to Extract Private Keys中提出如何使用虚拟机构筑侧信道提取在同一服务器上的其他虚拟机的私钥。
|
|
|
|
|
| 公共云计算平台为恶意人员提供了便利的沟通、协同和分析云服务的途径,使其成为网络犯罪的资源池。攻击者利用云服务平台的虚拟主机漏洞,非法入侵云平台的虚拟主机,构造僵尸网络,发动拒绝服务攻击,如下图所示。针对云平台存储服务安全管理缺陷,利用云存储保存网络犯罪信息。
|
|
|
|
|
|
|
|
|
| 云提供商的内部工作人员违反安全规定或误操作,导致数据丢失和泄露、云计算平台服务非正常关闭等安全事件时有发生。调查表明,数据丢失和泄露是云计算服务的前三大安全威胁之一。与云提供者出现合作争议或非盈利性云服务可能造成云服务终止,造成数据丢失和业务中断。
|
|
|
|
|
| 云租户的大量数据存放在云计算平台上的存储空间中,如果存储空间回收后剩余信息没有完全清除,存储空间再分配给其他云租户使用容易造成数据泄露。当云租户退出云服务时,由于云服务方没有完全删除云租户的数据,包括备份数据等,带来数据安全风险。
|
|
|
|
|
| 由于缺乏统一的标准和接口,不同云计算平台上的云租户数据和应用系统难以相互迁移,同样也难以从云计算平台迁移回云租户的数据中心。另外,云服务方出于自身利益考虑,往往不愿意为云租户的数据和应用系统提供可移植能力。这种对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而受到影响,也可能导致数据和应用系统迁移到其他云服务方的代价过高。
|
|
|
|
|
| 由于云服务是多租户共享,如果云租户之间的隔离措施失效,一个云租户有可能侵入另一个云租户的环境,或者干扰其他云租户应用系统的运行。而且,很有可能出现专门从事攻击活动的人员绕过隔离措施,干扰、破坏其他云租户应用系统的正常运行。
|
|
|
|
|
| 面向公众提供的云服务可向任何人提供计算资源,如果管控不严格,不考虑使用者的目的,很可能被攻击者利用,如通过租用计算资源发动拒绝服务攻击。
|
|
|
|
|
| 云服务基于网络提供服务,当云租户把应用系统迁移到云计算平台后,一旦与云计算平台的网络连接中断或者云计算平台出现故障,造成服务中断,将影响云租户应用系统的正常运行。
|
|
|
|
|
| 攻击者利用非法获取的接口访问密钥,将能够直接访问用户数据,导致敏感数据泄露;通过接口实施注入攻击,进行篡改或者破坏用户数据;通过接口的漏洞,攻击者可绕过虚拟机监视器的安全控制机制,获取系统管理权限,将给云租户带来无法估计的损失。
|
|
|
|
|
| 在云计算环境下,数据的实际存储位置可能在境外,易造成数据泄露。云计算系统聚集了大量云租户的应用系统和数据资源,容易成为被攻击的目标。一旦遭受攻击,会导致严重的数据丢失、篡改或泄露。
|
|
|
