云计算数据的处理和存储都在云平台上进行,计算资源的拥有者与使用者相分离已成为云计算模式的固有特点,由此而产生的用户对自己数据的安全存储和隐私性的担忧是不可避免的。
具体来说,用户数据甚至包括涉及隐私的内容在远程计算、存储、通信过程中都有被故意或非故意泄露的可能,亦存在由断电或宕机等故障引发的数据丢失问题,甚至对于不可靠的云基础设施和服务提供商,还可能通过对用户行为的分析推测,获知用户的隐私信息。这些问题将直接引发用户与云提供者间的矛盾和摩擦,降低用户对云计算环境的信任度,并影响云计算应用的进一步推广。
信息安全的主要目标之一是保护用户数据和信息安全。当向云计算过渡时,传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。
1.1 数据安全管理与挑战
在云计算数据生命周期安全的关键挑战如下。
(1)数据安全:保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。
(2)数据存放位置:必须保证所有的数据包括所有副本和备份,存储在合同、服务水平协议和法规允许的地理位置。例如,使用由欧盟的“法规遵从存储条例”管理的电子健康记录,可能对数据拥有者和云服务提供商都是一种挑战。
(3)数据删除或持久性:数据必须彻底有效地去除才被视为销毁。因此,必须具备一种可用的技术,能保证全面和有效地定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
(4)不同客户数据的混合:数据尤其是保密/敏感数据,不能在使用、储存或传输过程中,在没有任何补偿控制的情况下与其他客户数据混合。数据的混合将在数据安全和地缘位置等方面增加安全挑战。
(5)数据备份和恢复重建(Recovery and Restoration)计划:必须保证数据可用,云数据备份和云恢复计划必须到位和有效,以防止数据丢失、意外的数据覆盖和破坏。不要随便假定云模式的数据肯定有备份并可恢复。
(6)数据发现(discovery):由于法律系统持续关注电子证据发现,云服务提供商和数据拥有者将需要把重点放在发现数据并确保法律和监管部门要求的所有数据可被找回。这些问题在云环境中是极难回答的,将需要管理、技术和必要的法律控制互相配合。
(7)数据聚合和推理:数据在云端时,会有新增的数据汇总和推理方面的担心,可能会导致违反敏感和机密资料的保密性。因此,在实际操作中,要保证数据拥有者和数据的利益相关者的利益,在数据混合和汇总的时候,避免数据遭到任何哪怕是轻微的泄露(例如,带有姓名和医疗信息的医疗数据与其他匿名数据混合,两边存在交叉对照字段)。
如表1-1所示,结合信息生命周期管理的每个阶段,安全控制要求与云服务模式相关(SaaS、PaaS或IaaS),此外,根据数据的保密级别,对不同级别的信息定义分等级的控制要求。
表11 数据安全控制要求
#生命周期安全控制要求1创建识别可用的数据标签和分类。
企业数字权限管理(DRM)可能是一种选择。
数据的用户标记在Web 2.0环境中应用已经非常普遍,可能对分类数据会有较大帮助
2使用活动监控,可以通过日志文件和基于代理的工具实现。
应用逻辑。
基于数据库管理系统解决方案的对象级控制
3存储识别文件系统、数据库管理系统DBMS和文档管理系统等环境中的访问控制。
加密解决方案,涵盖如电子邮件、网络传输、数据库、文件和文件系统。
在某些需要控制的环节上,内容发现工具(如DLP数据丢失防护)会有助于识别和审计
4共享活动监控,可以通过日志文件和基于代理的工具实现。
应用逻辑。
基于数据库管理系统解决方案的对象级控制。
识别文件系统、数据库管理系统和文档管理系统等环境中的访问控制。
加密解决方案,涵盖如电子邮件、网络传输、数据库、文件和文件系统。
通过DLP实现基于内容的数据保护
5归档活动监控,可以通过日志文件和基于代理的工具实现。
应用逻辑。
基于数据库管理系统解决方案的对象级控制。
识别文件系统、数据库管理系统和文档管理系统等环境中的访问控制。
加密解决方案,涵盖如电子邮件、网络传输、数据库、文件和文件系统。
通过DLP实现基于内容的数据保护
6销毁加密和粉碎:所有加密数据相关的关键介质的销毁。
通过磁盘“擦拭”和相关技术实现安全删除。
物理销毁,如物理介质消磁。
通过内容发现以确认销毁过程
1.2 数据与信息安全防护
云计算用户的数据传输、处理、存储等均与云计算系统有关,在多租户、瘦终端接入等典型应用环境下,用户数据面临的安全威胁更为突出。针对云计算环境下的信息安全防护要求,需要通过采用数据隔离、访问控制、加密传输、安全存储、剩余信息保护等技术手段,为云计算用户提供端对端的信息安全与隐私保护,从而保障用户信息的可用性、保密性和完整性。
数据与信息安全的具体防护可分为以下几个方面。
1.数据安全隔离
为实现不同用户间数据信息的隔离,可根据应用具体需求,采用物理隔离、虚拟化和Multi-tenancy等方案实现不同租户之间数据和配置信息的安全隔离,以保护每个租户数据的安全与隐私。
2.数据访问控制
在数据的访问控制方面,可通过采用基于身份认证的权限控制方式,进行实时的身份监控、权限认证和证书检查,防止用户间的非法越权访问。如可采用默认“deny all”的访问控制策略,仅在有数据访问需求时才显性打开对应的端口或开启相关访问策略。在虚拟应用环境下,可设置虚拟环境下的逻辑边界安全访问控制策略,如通过加载虚拟防火墙等方式实现虚拟机间、虚拟机组内部精细化的数据访问控制策略。
3.数据加密存储
对数据进行加密是实现数据保护的一个重要方法,即使该数据被人非法窃取,对他们来说也只是一堆乱码,而无法知道具体的信息内容。在加密算法选择方面,应选择加密性能较高的对称加密算法,如AES、3DES等国际通用算法,或我国国有商密算法SCB2等。在加密密钥管理方面,应采用集中化的用户密钥管理与分发机制,实现对用户信息存储的高效安全管理与维护。对云存储类服务,云计算系统应支持提供加密服务,对数据进行加密存储,防止数据被他人非法窥探;对于虚拟机等服务,则建议用户对重要的用户数据在上传、存储前自行进行加密。
4.数据加密传输
在云计算应用环境下,数据的网络传输不可避免,因此保障数据传输的安全性也很重要。数据传输加密可以选择在链路层、网络层、传输层等层面实现,采用网络传输加密技术保证网络传输数据信息的机密性、完整性、可用性。对于管理信息加密传输,可采用SSH、SSL等方式为云计算系统内部的维护管理提供数据加密通道,保障维护管理信息安全。对于用户数据加密传输,可采用IPSec VPN、SSL等VPN技术提高用户数据的网络传输安全性。
5.数据备份与恢复
不论数据存放在何处,用户都应该慎重考虑数据丢失风险,为应对突发的云计算平台的系统性故障或灾难事件,对数据进行备份及进行快速恢复十分重要。如在虚拟化环境下,应能支持基于磁盘的备份与恢复,实现快速的虚拟机恢复,应支持文件级完整与增量备份,保存增量更改以提高备份效率。
6.剩余信息保护
由于用户数据在云计算平台中是共享存储的,今天分配给某一用户的存储空间,明天可能分配给另外一个用户,因此需要做好剩余信息的保护措施。所以要求云计算系统在将存储资源重分配给新的用户之前,必须进行完整的数据擦除,在对存储的用户文件/对象删除后,对对应的存储区进行完整的数据擦除或标识为只写(只能被新的数据覆写),防止被非法恶意恢复。