1.引言
2007年10月,Google和IBM在美國大學校園開始嘗試推廣云計算計劃,學生可以透過網(wǎng)絡開發(fā)各項以大規(guī)模計算為基礎(chǔ)的研究計劃;隨后,更多的IT巨頭也開始往這方面發(fā)展。從此,云計算技術(shù)開始取代其他計算機技術(shù)成為IT業(yè)界的流行術(shù)語。所謂云計算,指的是一種模式,一個利用互聯(lián)網(wǎng)和遠程服務器來維護數(shù)據(jù)和應用程序的新概念。通過互聯(lián)網(wǎng),云計算能提供動態(tài)的虛擬化資源、帶寬資源和定制軟件給用戶,并承諾在應用中為用戶產(chǎn)生可觀的經(jīng)濟效益。云計算可以幫助用戶減少對硬件資源、軟件許可及系統(tǒng)維護的投入成本:通過互聯(lián)網(wǎng),用戶可以方便地使用云平臺上的各類應用服務。此外,通過云計算用戶可以節(jié)約投資成本并可靈活地實現(xiàn)按需定制服務,云平臺的按需定制服務可以快速地響應用戶需求,并方便地將用戶資源接人寬帶網(wǎng)絡。
本文針對云計算的類型和網(wǎng)絡安全威脅問題進行了細致探討。在網(wǎng)絡風險方面,云計算主要面臨著以下的威脅攻擊:拒絕服務攻擊、中間人攻擊、網(wǎng)絡嗅探、端口掃描、SQL注入和跨站腳本攻擊;在安全風險方面,云計算面I臨的威脅主要是:XML簽名包裝、瀏覽器安全性、云惡意軟件注入、洪流攻擊、數(shù)據(jù)保護、數(shù)據(jù)刪除不徹底和技術(shù)鎖定。
2.云計算的相關(guān)概念
許多公司,機構(gòu)經(jīng)常需要對海量數(shù)據(jù)進行存儲和檢索,而云計算可以有效地以最小的成本、最短的時間和最大的靈活性來實施完成該項任務。利用云計算獲取便利的同時,用戶也要面臨云計算中各種不同的安全風險問題,如必須要將云平臺上不同用戶的數(shù)據(jù)相隔離,要保證不同云用戶數(shù)據(jù)的私密性、可靠性和完整性。此外,云服務提供商對云上的基礎(chǔ)服務設(shè)施必須制定一套完善的風險管理控制方案,像服務提供商操縱或竊取程序代碼的安全風險是時有出現(xiàn)的。
經(jīng)常使用的互聯(lián)網(wǎng),通常也可以被看作一朵巨大的云。通過互聯(lián)網(wǎng),云計算被看作一個應用和服務呈現(xiàn)給用戶。它的出現(xiàn)迅速將舊的計算機技術(shù)整合。然后轉(zhuǎn)變?yōu)橐豁椥录夹g(shù)。目前互聯(lián)網(wǎng)提供了不同的服務給不同的用戶群體,提供這些服務并不需要什么特殊的設(shè)備或軟件。因此,云計算最起碼包含幾個特性:“云是一個大型資源池,可以輕松地獲取虛擬化資源(如硬件、開發(fā)平臺或服務)。這些資源可以動態(tài)地重新配置和靈活整合,達到一個最佳的資源利用率。云服務提供商通過定制服務水平協(xié)議,提供基礎(chǔ)設(shè)施服務并按付費的模式來管理維護這種資源池。”云計算不是一個單一產(chǎn)品。它提供了不同的服務模式,主要包括以下3種:軟件即服務(SaaS)、平臺即服務(PaaS)和基礎(chǔ)設(shè)施即服務(IaaS)。
SaaS是一種通過互聯(lián)網(wǎng)來提供軟件的服務模式,用戶無需購買軟件。而是向云服務提供商租用基于Web的軟件來管理企業(yè)經(jīng)營活動。
Paas是把計算環(huán)境、開發(fā)環(huán)境等平臺作為一種服務提供的商業(yè)模式。云計算服務提供商可以將操作系統(tǒng)、應用開發(fā)環(huán)境等平臺級產(chǎn)品通Web以服務的方式提供給用戶。通過PaaS,軟件開發(fā)人員可以在不購買服務器的情況下開發(fā)新的應用程序。
IaaS是把數(shù)據(jù)中心、基礎(chǔ)設(shè)施硬件資源(如存儲、硬件、服務器、網(wǎng)絡)通過Web分配給用戶使用的商業(yè)模式。這些資源由云服務提供商進行操作、維護和管理。根據(jù)美國國家標準技術(shù)研究院(NIST)的定義,云計算有4種部署模式,分別是:公共云、私有云、混合云和社區(qū)云,如圖l所示。
公共云:它面向大眾提供資源、Web應用和其他服務等,任何用戶都可以通過互聯(lián)網(wǎng)從云服務商處獲取這些服務。公共云上的基礎(chǔ)設(shè)施由公用的企業(yè)機構(gòu)進行建設(shè)及管理。
私有云:這種云基礎(chǔ)設(shè)施專門為一個企業(yè)服務,該企業(yè)內(nèi)的任何用戶都可以從云設(shè)施處獲取數(shù)據(jù)、服務和Web應用,但企業(yè)外部的用戶則不能訪問云。私有云上的基礎(chǔ)設(shè)施完全由企業(yè)自身管理,并維護公共數(shù)據(jù);旌显疲夯旌显剖莾煞N或兩種以上的云計算模式的混合體,如公有云和私有云混合。它們相互獨立,但在云的內(nèi)部又相互結(jié)合,可以發(fā)揮出所混合的多種云計算模型各自的優(yōu)勢。
社區(qū)云:這種模式是建立在一個特定的小組里多個目標相似的公司之間的,其共享一套基礎(chǔ)設(shè)施,所產(chǎn)生的成本共同承擔。因此,其所能實現(xiàn)的成本節(jié)約效果也并不很明顯。社區(qū)云的成員都可以登人云中獲取信息和使用應用程序。
3.云計算的網(wǎng)絡問題
云計算環(huán)境中存著在多種網(wǎng)絡安全威脅問題,現(xiàn)將其中一些主要的網(wǎng)絡問題進行探討分析。
圖1 云計算的類型
3.1 拒絕服務攻擊
拒絕服務攻擊指攻擊者想辦法讓目標服務器停止提供服務甚至主機死機。如攻擊者頻繁地向服務器發(fā)起訪問請求,造成網(wǎng)絡帶寬的消耗或者應用服務器的緩沖區(qū)滿溢:該攻擊使得服務器無法接收新的服務請求,其中包括了合法客戶端的訪問請求。例如。一個黑客劫持了Web服務器,使其應用服務停止運行,導致服務器不能提供Web服務。在云計算中,黑客對服務器開展拒絕服務攻擊時,會發(fā)起成千上萬次的訪問請求到服務器,導致服務器無法正常工作。無法響應客戶端的合法訪問請求。針對這種攻擊,可以采用的應對策略是減少連接到服務器的用戶的權(quán)限,這將有助于降低拒絕服務攻擊的影響。