目录
1、云安全在信息安全领域所处位置
2、云计算环境面临的威胁和挑战
2.1 云安全发展史
2.2 云计算安全与传统计算安全区别[5]
2.3 从顶层框架的角度看云安全研究目标
3、研究进展和解决方案
3.1 虚拟化、数据、应用安全[6]
3.2 系统安全、网络安全、数据安全[7]
3.3 从数据安全角度
4、云安全未来发展
1、云安全在信息安全领域所处位置
根据ISO(国际标准化组织)的定义为:信息安全为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
为了实现这个目标,信息安全领域的研究方向按照其要实现安全防护目标分为:
- 防恶意软件方向
- 漏洞发觉方向[1]
- 入侵检测方向[2]
- 防火墙方向
- 完整性监控方向
- 日志审查方向
- 访问控制方向
- 密码学方向
另外与大数据研究交叉的研究方向还有:
- 威胁情报方向
- 安全可视化方向[3][4]
以上这些研究方向,属于信息安全领域基础的通用性质的研究。
信息安全早期的研究范围,以单机或小规模局域网作为防护目标范围。随着互联网、云计算等技术的兴起和发展,如今的安全问题已经不仅局限于单个主机或小规模局域网内,而是发展为涉及成千上万台物理机甚至虚拟机的云计算环境。
因此,根据计算场景、规模等的不同,研究方向又可以分为:
- 内核安全方向
- 系统安全方向
- 云计算安全方向
- 雾计算安全方向
- 容器安全方向
- 物联网安全方向
2、云计算环境面临的威胁和挑战
要了解一个研究领域,首先需要了解这个领域的研究目标,即领域存在哪些问题,要解决这些问题面临哪些挑战。也要了解该研究领域发展历史。
云安全研究与云计算研究是属于相辅相成的伴生关系。云安全研究以云计算研究为载体,云计算研究又在云安全研究的保障之下发展。目前找到的较为可靠的观点[5],是以2009年云安全联盟 CSA(Cloud Security Alliance)成立以及2010年中美各国政府出台云计算行业支持相关政策,作为云计算、云安全大力发展的标志。
2.1 云安全发展史
- 2009年云安全联盟 CSA(Cloud Security Alliance)成立
- 2009 年底,国际标准化组织/国际电工委员会、 第一联合技术委员会(ISO/IEC,JTC1)正式通过成立分布应用
- 平台服务分技术委员会(SC38)的决议,并明确规定 SC38 下设云计算研究组
- 2010 年 3 月,参加欧洲议会讨论的欧洲各国网络法律专家和领导人呼吁制定一个关于数据保护的全球协议
- 2010 年 5 月,工信部副部长娄勤俭在第 2 届中国云计算大会上表示,我国应加强云计算信息安全研究,解决共性技术问题,保证云计算产业健康、可持续地发展
- 2010 年 5 月国际电信联盟 ITU-TSG17 研究组会议在瑞士的日内瓦召开,决定成立云计算专项工作组
- 2010 年 11 月,美国政府 CIO 委员会发布关于政府机构采用云计算的政府文件,阐述了云计算带来的挑战以及针对云计算的安全防护,要求政府及各机构评估云计算相关的安全风险并与自己的安全需求进行比对分析
2.2 云计算安全与传统计算安全区别[5]
1)云应用没有固定不变的基础设施,没有固定不变的安全边界,难以实现用户数据安全与隐私保护
对此的理解是,比如一个Paas服务用户,并不知道也不关心服务运行于什么系统及平台上,这意味着Paas服务提供商可以根据情况动态调整Paas服务的运行环境,比如ip地址等,这种变动可能引起防火墙的安全配置不生效。不同用户通过虚拟化技术分享云主机资源,如果虚拟化技术本生存在漏洞,没办法实现完全的隔离,那有可能导致数据泄露、资源非法访问等问题。
2)云服务所涉及的资源由多个管理者所有,存在利益冲突,无法统一规划部署安全防护措施。
对此的理解是,比如一个微服务系统,不同微服务部署在不同的虚拟机上,传统的安全软件都是基于单个主机(虚拟机)进行安全配置,因此缺少一种针对多个云服务统一配置的方案。(趋势 Deep Security中将多个虚拟机绑定同一个安全策略的方案解决多虚拟机统一安全配置的问题)
3)云平台中数据与计算高度集中,安全措施必须满足海量信息处理需求
对此的理解,云平台通过虚拟化技术,讲一份硬件虚拟为多份供多个用户使用,提供资源复用率的同时也提高平台运算的并发量,处理数据量,云安全防护软件都需要具备海量数据处理的能力。
2.3 从顶层框架的角度看云安全研究目标
先抛开具体的技术细节、研究细节,看看从2010年以来,从方法论的层面云安全研究到底试图建立怎样的安全框架[5]:
1) 建立以数据安全和隐私保护为主要目标的云安全技术框架
云安全技术框架的研究,回答在云计算环境中厂商和用户需要面临的安全问题,包括检测应对各种病毒、入侵、漏洞。其中有客户应用软件引起的、有三方开源软件引起的,甚至可能是虚拟化技术引起的。
2) 建立以安全目标验证、 安全服务等级测评为核心的云计算安全标准及其测评体系
正是因为安全问题层出不穷,引入的方式也是千奇百怪,那么到底怎么评价一个云计算环境是否安全,达到了怎么的安全级别?因此需要建立云安全评价标准。比如:美国信息等级保护制度、中国信息安全等级保护
3) 建立可控的云计算安全监管体系
1) 实现基于云计算的安全攻击的快速识别、预警与防护
2) 实现云计算内容监控
3) 识别并防止基于云计算的密码类犯罪活动
3、研究进展和解决方案
云计算环境是极复杂的系统,研究们通常按照一定划分方式,分别研究其中的安全问题
3.1 虚拟化、数据、应用安全[6]
本文首先是根据NIST(National Institute of Standards and Technology,NIST)美国国家标准与技术研究院2011年公布的报告[2],将云安全分为3个部分:
- 云虚拟化安全:主要研究对虚拟机、数据中心和云基础设施的非法入侵;
- 云数据安全:主要保护云存储数据的机密性、完整性与可搜索性;
- 云应用安全:主要包括外包计算、网络和终端设备的安全
论文解读参考:论文解读:云计算环境安全综述(2016)_木易杨的博客-CSDN博客
3.2 系统安全、网络安全、数据安全[7]
作者从操作系统、网络、身份验证和数据隐私三个层面描述云安全面临的问题
论文解读参考:论文解读:Critical Security Issues in Cloud Computing: A Survey (2018)_木易杨的博客-CSDN博客
3.3 从数据安全角度看云安全
作者认为云存储中数据安全是云计算安全中最重要的安全问题
为了解决云存储中数据防丢失、防泄露、防篡改、访问控制、攻击追溯等问题,区块链这种去中心化的存储方案能够更好的安全特性,并且进一步降低成本。
论文解读参考:论文解读:A Survey On Cloud Security Issues And Blockchain (2019)_木易杨的博客-CSDN博客
4、云安全未来发展
云安全交叉学术性领域[9]:
云安全主题下新兴主题检索如下[9]:
- 等级保护2.0/3.0
- 能源互联网
- 安全服务链
- 安全域
- 内生安全
- 雾计算
- 深度森林(进程检测)
- 数据加密
个人比较感兴趣的有:
- 云原生与容器安全
- 深度访问控制与零信任框架
参考:
[1]文伟平, 李经纬, 焦英楠, 李海林. 一种基于随机探测算法和信息聚合的漏洞检测方法[J]. 信息网络安全, 2019, 19(1): 1-7.
[2]张文安, 洪榛, 朱俊威,等. 工业控制系统网络入侵检测方法综述[J]. 控制与决策, 2019, v.34(11):8-19.
[3]张胜,赵珏,陈荣元. 网络安全日志可视化分析研究进展[J]. 计算机科学与探索, 2018, 12(5): 681-696.DOI:10.3778/j.issn.1673-9418.1707064.
[4]吕良福, 张加万, 孙济洲,等. 网络安全可视化研究综述[J]. 计算机应用, 2008.
[5]Dengguo F , Min Z , Yan Z , et al. Study on Cloud Computing Security云计算安全研究[J]. 软件学报, 2011, 22(1):71-83.
[6]张玉清, 王晓菲, 刘雪峰,等. 云计算环境安全综述[J]. 软件学报, 2016, 27(6):1328-1348.
[7]X. Sun, "Critical Security Issues in Cloud Computing: A Survey," 2018 IEEE 4th International Conference on Big Data Security on Cloud (BigDataSecurity), IEEE International Conference on High Performance and Smart Computing, (HPSC) and IEEE International Conference on Intelligent Data and Security (IDS), 2018, pp. 216-221, doi: 10.1109/BDS/HPSC/IDS18.2018.00053.
[8]Pavithra S , Ramya S , Prathibha S . A Survey On Cloud Security Issues And Blockchain[C]// 2019 3rd International Conference on Computing and Communications Technologies (ICCCT). IEEE, 2019.
[9]百度学术大数据分析平台
