這(zhè)幾年(nián)，雲計(jì)算"✘φ(suàn)在IT技(jì)術(shù)領域大(dà)放(fàng)異彩，÷÷€成為(wèi)引領技(jì)術(shù)潮流的(de)新技(jì)術(sh♣☆>™ù)。不(bù)過雲計(jì)算(suàn)的(de)發展并不( £→&bù)是(shì)一(yī)帆風(fēng)順，也(yě)面​®σ¥臨著(zhe)不(bù)少(shǎo)嚴峻問(wèn)題，尤其是€β(shì)安全問(wèn)題，安全問(wè•≥↑​n)題已經嚴重影(yǐng)響到(dào)'♥了(le)雲計(jì)算(suàn)的(de)普及，不(bù)®φ少(shǎo)人(rén)對(duì)雲計(jì≤")算(suàn)持懷疑态度，不(bù)願将隐私數(shù)據信±↔•®息交由雲計(jì)算(suàn)來(lái)處理(lǐ)。的(de)确，雲計(→γjì)算(suàn)的(de)到(dàoΩ )來(lái)，給IT系統尤其是(shì)數(shù)據中心帶來(lái)了(β©le)極大(dà)挑戰，在不(bù)同層面都(dōu)要(yào)面臨≈¥φ新的(de)安全問(wèn)題。那(nà↑±)麽，雲計(jì)算(suàn)面臨著(zhe)哪些(x±★≈φiē)安全威脅呢(ne)?本文(wén)就(jiù)來(lá≤‍₩↕i)詳細說(shuō)一(yī)說(shu×↓$ō)，隻有(yǒu)正視(shì)這(zhè™₹™♣)些(xiē)問(wèn)題，才能(néng∑♦)解決這(zhè)些(xiē)問(wèn)題，讓雲計(jì)算♥₩(suàn)不(bù)再是(shì)襁褓中的(de)嬰↔∞±兒(ér)，變得(de)強壯起來(lái)。雲≥​‌≈計(jì)算(suàn)技(jì)術(shù)面臨著(zh$₩α♠e)四個(gè)方面層次的(de)安全威≤✘$≈脅

認證層次

雲計(jì)算(suàn)支持海(hǎi)量用(yòng)戶認證與接入，λ☆對(duì)用(yòng)戶的(de)身(shēn)份認證和(hé)接入×∞✘<管理(lǐ)必須完全自(zì)動化(huà)，&<÷為(wèi)提高(gāo)認證接入管理(lǐ)的(de)體ασ✔(tǐ)驗，需要(yào)雲簡化(huà)用(yòng)戶的(dλβe)認證過程，比如(rú)提供雲內(nèi)所有(yǒu)業(yè)務統一≤≥(yī)的(de)單點登錄與權限管理(lǐ)。支持移動性和'<→(hé)分(fēn)布式網絡計(jì)算(suànΩ>←)也(yě)是(shì)雲計(jì)算(suàn)的(d>♠e)重要(yào)特征，這(zhè)增加了(le)用(yòng)戶認證管理(l €ǐ)的(de)難度，為(wèi)了(le)實現(xiàn)用(yòng)戶随 <時(shí)随地(dì)都(dōu)可(kě)以訪↕•↑問(wèn)雲計(jì)算(suàn)資源，就(jiù)要(yào""λ)接受來(lái)自(zì)不(bù)同位置，不(bù)同©£♣™客戶端的(de)登錄訪問(wèn)，如(rú)果認證入口被入侵者攻破，₩→×&如(rú)同攻打一(yī)座城(chéng)池時(φα™shí)，攻破了(le)大(dà)門(mén)一(yī)樣，∞®≠必将長(cháng)驅直入，拿(ná)下(xià) ÷¥這(zhè)座城(chéng)池了(le)。入侵者一(y♠$♥ī)旦進入內(nèi)部雲計(jì)算(suàn)系統，必然可Ω®φ(kě)以掌握內(nèi)部資源，做(zuò)一(yī)些(xi™∞ ē)破壞或者竊取的(de)壞事(shì)，給雲計(jì)算(su∑​€àn)用(yòng)戶帶來(lái)嚴重損失。☆∑<入侵者通(tōng)常利用(yòng)租用(yòng)的(de↔♥↓)虛拟機(jī)發起攻擊，或者攻擊虛拟化(huà)管理(lǐ)平台≠ε，利用(yòng)操作(zuò)系統或網頁漏洞，非法÷‌截獲用(yòng)戶數(shù)據，非法獲取用(yòng)→↓β戶密碼，非法獲取敏感信息。所以把好(hǎo)雲計(jì)算(suàn)的(¶¥♦de)大(dà)門(mén)非常重要(yào)，不(bù)然所有(yǒu)↓φ♥§的(de)數(shù)據都(dōu)呈現(xiγ£àn)給了(le)非法入侵者，要(yào)做(zu>♥✔ò)好(hǎo)身(shēn)份驗證，甄别正常用(yòng≠Ω)戶，對(duì)于一(yī)切不(bù)合法用(yò™•ng)戶說(shuō)不(bù)。

數(shù)據層次

雲計(jì)算(suàn)要(yào)處理(lǐ)海(hǎi)量數(sh≥→>>ù)據，而且這(zhè)些(xiē)數(shù)據還(hái)采用(yòn≤εg)的(de)分(fēn)布式計(jì)算(σ§¥←suàn)，即很(hěn)多(duō)數(shù)©♦©據計(jì)算(suàn)是(shì)由處于各處的(deε​α)計(jì)算(suàn)資源共同完成的♦ε(de)，這(zhè)樣有(yǒu)大(dà)量的(de)中間(jiā€δ¶±n)數(shù)據需要(yào)通(tōng)過網絡傳遞，這(z↕€±hè)個(gè)過程是(shì)沒有(yǒu δ≠)保護的(de)，存在極大(dà)的(de)安全隐患≈δ♣。不(bù)僅是(shì)處理(lǐ)中的(de)數(shù)據，存儲€♦在數(shù)據中心裡(lǐ)的(de)數(shù)據δ£也(yě)存在安全威脅，這(zhè)些(xiē)數(s≥ hù)據可(kě)以加密保存，用(yòng)戶可(kě)以通(tōng÷↔)過客戶端加密數(shù)據，然後将數(s★♣π↓hù)據存儲到(dào)雲中，用(yòng)戶的(de)數(shù)據♣✘×加密密鑰保存在客戶端，雲端無法獲取密鑰并¥↕σ 對(duì)數(shù)據進行(xíng)解密。還(hái)有(yǒu)∑♦δε當用(yòng)戶從(cóng)雲中推出後，該用(yò'€€✘ng)戶的(de)數(shù)據空(kōng)間(jiān)可(kě)以直•‍σ​接釋放(fàng)給其它用(yòng)戶使用(yòng맙)，這(zhè)些(xiē)數(shù)據如(rú)>≈←γ果不(bù)及時(shí)清空(kōng)，其它用(yòng)€β♦♠戶就(jiù)可(kě)獲取到(dào)↕$ ≥原來(lái)用(yòng)戶的(de)私€±↔"密信息，數(shù)據存在洩露可(kě)能(γ♣néng)。雲計(jì)算(suàn)缺乏 ÷對(duì)數(shù)據內(nèi)容的(de)辨識能(néng  β​)力，拿(ná)到(dào)數(shù)據後往往直接計(jì)算(su≠€àn)，缺少(shǎo)檢查和(hé)校★σ(xiào)驗機(jī)制(zhì)，這(z§♠•hè)往往會(huì)使一(yī)些(xi±π☆®ē)無效數(shù)據或者僞造數(shù)據混在其中，一(yī)方面可(kě)$&↑能(néng)影(yǐng)響計(jì)算(suàn)的(de)結果，另一(≠≥yī)個(gè)方面也(yě)占用(yòng)大(↓÷dà)量計(jì)算(suàn)資源，影(yǐng)響雲計(jγ♠ ♦ì)算(suàn)效果。

虛拟層次

雲計(jì)算(suàn)将虛拟化(huà)技™€(jì)術(shù)運用(yòng)得(de)淋漓盡緻，可(kě)以說(™•shuō)沒有(yǒu)虛拟化(huà)技(jì)術(shù)，雲計(>$jì)算(suàn)就(jiù)失去(qù✘÷§φ)了(le)存在的(de)意義。然而，虛拟化(huà)技α£∞♣(jì)術(shù)本地(dì)放(fàng)大(dà)了(le)安¥ $ε全威脅，将系統暴露于外(wài)界。虛拟機(j≈↑σ"ī)動态地(dì)被創建、被遷移，虛拟機(jīσε✘‌)的(de)安全措施必須相(xiàng)應地(dì)自(zì)動創建、§¥自(zì)動遷移，可(kě)虛拟機(jī)本身(shē>‍π₹n)就(jiù)是(shì)可(kě)以在二層網絡中任意遷移，λπε安全防護很(hěn)難針對(duì)虛拟機(j§λ✘ī)做(zuò)防護，尤其在遷移的(de)過程中。虛拟機(jī)在沒有(y> σ÷ǒu)安全措施或安全措施沒有(yǒu)自(zì)動創建時(shí)，容易導緻‍÷<↓接入和(hé)管理(lǐ)虛拟機(jī)的∏≈σ(de)密鑰被盜、相(xiàng)應的(de)服務遭受≈ 攻擊、弱密碼或者無密碼的(de)賬号被盜π "φ用(yòng)，虛拟化(huà)增大(d<'à)了(le)安全威脅，且沒有(yǒu)很(hěn)好(hǎo)的&±λ♦(de)手段去(qù)防護。衆所周知(zhī)，Hypervisor為(wè★☆ i)虛拟化(huà)的(de)核心技(jì)術(shù)，可(kě)以捕獲 C£★PU指令，為(wèi)指令訪問(wèn)硬件(jià ​¥n)控制(zhì)器(qì)和(hé)外(wà‌↔σ<i)設充當中介，協調所有(yǒu)CPU資源分(δ→★∞fēn)配，運行(xíng)在比操作(zuò)系統€↕'特權還(hái)高(gāo)的(de)最高(gāo)優先級上(shàng)。一≤★✔₹(yī)旦 Hypervisor被攻擊破解，在Hypervis>↑or上(shàng)的(de)所有(yǒu)虛拟機(jīβ÷π)将無任何安全保障，直接暴露在攻擊之下(✘σ↔€xià)，這(zhè)将給系統帶來(lái)極大(dà)隐患。

網絡層次

雲計(jì)算(suàn)依仗網絡來(lái)完成分(fēn)布式計(ε‌&↓jì)算(suàn)，雲計(jì)算(suàn)本質就(jiù)是(< ​₽shì)利用(yòng)網絡，将處于不(bù)同位置的(±€≠γde)計(jì)算(suàn)資源集中起來(lái)，然後通(tō₩π↓<ng)過協同軟件(jiàn)，讓所有(yǒu)≈∏的(de)計(jì)算(suàn)資源一(yī)起工(gōn<γ£g)作(zuò)完成某些(xiē)計(j&©©∞ì)算(suàn)功能(néng)。這(zhè)樣在雲↕₩計(jì)算(suàn)的(de)運行(xí"£‌ng)過程中，需要(yào)大(dà)量的(de¥♠↕)數(shù)據通(tōng)過網絡傳輸，在傳輸過程中數(shù)據私密♣ γ性與完整性存在很(hěn)大(dà)威脅，而§¶±≤傳統計(jì)算(suàn)就(jiù)不(b>₽&ù)會(huì)涉及，傳統計(jì)算(suàn)直接将₹•數(shù)據放(fàng)到(dào)某個(gèα₩≥)特定服務器(qì)上(shàng)來(lái)完成計(jì)γ 算(suàn)，隻要(yào)這(zhè)個(gè)¶'"≥服務器(qì)有(yǒu)安全防護，基本可(kě)以保證計(jì)δ£♣↔算(suàn)過程不(bù)受幹擾。在雲計(jì ✘)算(suàn)過程中，則要(yào)考慮網絡安全因素，目前有(yǒu)人(&♣‌πrén)提出量子(zǐ)通(tōng)信，就(jiùδ₹¥↓)是(shì)為(wèi)了(le)解決網絡數(shù)據傳輸•>§♠過程中的(de)安全問(wèn)題，若能(néng)在雲計(jì)算(s¥®×uàn)計(jì)算(suàn)過程中，數(shù)據傳遞過 ↕✔±程中數(shù)據進行(xíng)量子(zǐ)加密，将極大(€×dà)提升安全防護能(néng)力，減小(xiǎo)安全威脅→©λ。雲計(jì)算(suàn)必須基于随時(shí)可(kě)以接入的(de)→ €網絡，便于用(yòng)戶通(tōng)過網絡接入，方便地(dì)♦ 使用(yòng)雲計(jì)算(suàn☆≤)資源，這(zhè)使得(de)雲計(jì)算(sε≥uàn)資源需要(yào)分(fēn)布式部署路(lù)由、域名配置複雜≤ '(zá)，更容易遭受網絡攻擊。對(duì)于≤ ‌IaaS，DDoS攻擊不(bù)僅來(l>®ái)自(zì)外(wài)部網絡，也(yě)容易來(lái£<​✔)自(zì)內(nèi)部網絡。包括隔離(lε$δ♦í)措施不(bù)當造成的(de)用(yòng)戶數(shù)據≤♦π&洩漏，用(yòng)戶遭受相(xiàng)同物(wù)理(lǐ)環π™∑∑境下(xià)其他(tā)惡意用(yòng)戶攻擊等等，傳統網絡面臨的(§↕'de)攻擊，在雲計(jì)算(suàn)環境中都(dōλ•u)存在，并将威脅放(fàng)大(dà)，所以需要(yào)針對(duì)♣§​雲計(jì)算(suàn)所在的(de)網₹&β 絡環境制(zhì)定安全防護方案。

雲計(jì)算(suàn)可(kě)能(nλ& éng)遭受的(de)威脅絕大(dà)多(duō)數(shù≤")來(lái)自(zì)以上(shàng)介紹的(₹λ•de)四種威脅，不(bù)同層次的(de)威脅，其相(xiàng)應的(÷β₩§de)安全保障措施也(yě)不(bù)同。很(hěn)多(duō)安全技(jìβ<∞Ω)術(shù)專家(jiā)針對(duì)不(bù)同層次的λ←π₽(de)威脅，也(yě)展開(kāi)了(le)相(xε♥iàng)關技(jì)術(shù)研究。就(jiù)當σ✔•​前雲計(jì)算(suàn)環境的(de)安 ∏¥全威脅，依然拿(ná)不(bù)出令人(r•☆én)信服的(de)安全防護手段，這(zhè)使得"÷(de)人(rén)們對(duì)雲計(jì)算(δ×₩♥suàn)的(de)安全問(wèn)題很×≈&♦(hěn)是(shì)擔憂。雲計(jì)算(suàn)若不(bù)Ω£λ能(néng)很(hěn)好(hǎo)地(dì)解決掉新技(jì)術(sh♥ααù)所帶來(lái)的(de)安全威脅，就♣≈×β(jiù)無法真正獲得(de)廣泛的(de)用(yòng)戶支持≈'$↓，難以推廣普及。