2.1　云存儲(chǔ)安全體系

本節(jié)介紹云存儲(chǔ)安全體系。首先闡述云存儲(chǔ)系統(tǒng)的層次模型；然后在對(duì)應(yīng)層次模型下，介紹云存儲(chǔ)系統(tǒng)安全體系結(jié)構(gòu)。

2.1.1　云存儲(chǔ)系統(tǒng)層次模型

與傳統(tǒng)的存儲(chǔ)系統(tǒng)相比，云存儲(chǔ)系統(tǒng)不僅包括硬件，還包括由存儲(chǔ)設(shè)備、計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用軟件、公共訪問(wèn)接口和客戶端程序等多個(gè)部分組成的復(fù)雜系統(tǒng)。各部分以存儲(chǔ)設(shè)備為核心，通過(guò)應(yīng)用軟件來(lái)對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問(wèn)功能。云存儲(chǔ)系統(tǒng)的體系結(jié)構(gòu)可分為物理資源層、虛擬化層、基礎(chǔ)管理層、應(yīng)用接口層和訪問(wèn)層，如圖2-1所示。

（1）物理資源層：作為云存儲(chǔ)最基礎(chǔ)的部分，存儲(chǔ)設(shè)備可以是FC光纖通道存儲(chǔ)設(shè)備、NAS和SAN等IP存儲(chǔ)設(shè)備，也可以是SCSI或SAS等DAS存儲(chǔ)設(shè)備。數(shù)量龐大的云存儲(chǔ)設(shè)備分布在不同地域，彼此之間通過(guò)廣域網(wǎng)、互聯(lián)網(wǎng)或者FC光纖通道網(wǎng)絡(luò)連接。所有物理資源構(gòu)成一個(gè)集存儲(chǔ)、計(jì)算與網(wǎng)絡(luò)設(shè)備以及數(shù)據(jù)庫(kù)等于一體的物理資源倉(cāng)庫(kù)。

（2）虛擬化層：對(duì)存儲(chǔ)、計(jì)算與網(wǎng)絡(luò)設(shè)備進(jìn)行邏輯虛擬化，將各類資源劃分為統(tǒng)一規(guī)格的存儲(chǔ)、計(jì)算與網(wǎng)絡(luò)單元，構(gòu)成存儲(chǔ)、計(jì)算、網(wǎng)絡(luò)以及數(shù)據(jù)等資源池，以分配給用戶。

（3）基礎(chǔ)管理層：基礎(chǔ)管理層是云存儲(chǔ)最核心的部分，通過(guò)集群系統(tǒng)、分布式文件系統(tǒng)和網(wǎng)格計(jì)算等技術(shù)，實(shí)現(xiàn)云存儲(chǔ)中多個(gè)存儲(chǔ)設(shè)備之間的協(xié)同工作，對(duì)外提供良好的數(shù)據(jù)訪問(wèn)性能。

（4）應(yīng)用接口層：包括公用API接口、應(yīng)用軟件以及網(wǎng)絡(luò)接入等。不同的云存儲(chǔ)運(yùn)營(yíng)單位可以根據(jù)實(shí)際業(yè)務(wù)類型，開(kāi)發(fā)不同的應(yīng)用服務(wù)接口，提供不同的應(yīng)用服務(wù)。任何一個(gè)授權(quán)用戶通過(guò)網(wǎng)絡(luò)接入、用戶認(rèn)證和權(quán)限管理接口等方式登錄云存儲(chǔ)系統(tǒng)，都可以享受云存儲(chǔ)服務(wù)。

（5）訪問(wèn)層：利用云存儲(chǔ)服務(wù)提供商訪問(wèn)層所提供的不同訪問(wèn)類型和訪問(wèn)方式，用戶可享受諸如個(gè)人空間服務(wù)、運(yùn)營(yíng)商空間租賃、企事業(yè)單位或SMB的數(shù)據(jù)災(zāi)備與遠(yuǎn)程共享，以及視頻監(jiān)控、IPTV和視頻點(diǎn)播等各種應(yīng)用服務(wù)。

2.1.2　云存儲(chǔ)系統(tǒng)安全體系結(jié)構(gòu)

通常，云存儲(chǔ)系統(tǒng)的體系結(jié)構(gòu)如圖2-2所示，數(shù)據(jù)擁有者將數(shù)據(jù)存放到云服務(wù)提供者的存儲(chǔ)云上，然后通過(guò)各類輕量型設(shè)備訪問(wèn)云上的數(shù)據(jù)；也可以通過(guò)一些訪問(wèn)控制方式，將數(shù)據(jù)與其他用戶共享。

在數(shù)據(jù)擁有者或用戶與云存儲(chǔ)服務(wù)器交互的過(guò)程中，存在以下安全風(fēng)險(xiǎn)。

（1）數(shù)據(jù)擁有者將數(shù)據(jù)傳輸?shù)皆拼鎯?chǔ)服務(wù)器的過(guò)程中，外部攻擊者可以通過(guò)網(wǎng)絡(luò)竊聽(tīng)的方式盜取數(shù)據(jù)。

（2）數(shù)據(jù)存儲(chǔ)到云服務(wù)器上以后，外部攻擊者可以通過(guò)釣魚(yú)軟件、木馬和無(wú)授權(quán)的訪問(wèn)等方式來(lái)破壞服務(wù)提供者對(duì)用戶數(shù)據(jù)和程序的保護(hù)，從而實(shí)現(xiàn)非法訪問(wèn)。

（3）由于數(shù)據(jù)擁有者的數(shù)據(jù)存放在服務(wù)提供者的存儲(chǔ)介質(zhì)上，失去了對(duì)數(shù)據(jù)的物理控制權(quán)，云服務(wù)提供者的內(nèi)部人員可能濫用權(quán)限，對(duì)數(shù)據(jù)安全造成威脅。

（4）數(shù)據(jù)擁有者向用戶授權(quán)數(shù)據(jù)訪問(wèn)時(shí)，面臨如何防范惡意用戶以及保障交互過(guò)程安全的問(wèn)題。

（5）外部攻擊者可以通過(guò)觀察用戶發(fā)出的請(qǐng)求，獲得用戶的習(xí)慣、目的等隱私信息。因此，從數(shù)據(jù)的發(fā)送、存儲(chǔ)到訪問(wèn)的整個(gè)過(guò)程中，都存在內(nèi)外部的安全風(fēng)險(xiǎn)。

另外，在云存儲(chǔ)系統(tǒng)的層次模型中，各個(gè)層次都存在安全威脅。在物理資源層，云服務(wù)提供商的物理設(shè)施可靠嗎？當(dāng)災(zāi)難（停電、地震、水災(zāi)、火災(zāi)等）發(fā)生造成物理設(shè)備損壞時(shí)，用戶的數(shù)據(jù)是否可用？是否存在對(duì)設(shè)備的攻擊？在虛擬化層，虛擬化的環(huán)境與平臺(tái)安全嗎？對(duì)于虛擬化的多租戶及平臺(tái)共享，是否有對(duì)應(yīng)的安全措施？在基礎(chǔ)管理層，系統(tǒng)安全能不能得到保障？有安全性評(píng)價(jià)標(biāo)準(zhǔn)嗎？在應(yīng)用接口層，云提供的應(yīng)用可信嗎？在數(shù)據(jù)訪問(wèn)層，數(shù)據(jù)的安全有保證嗎？云服務(wù)提供商會(huì)不會(huì)濫用用戶的數(shù)據(jù)？用戶應(yīng)該使用何種安全保障強(qiáng)度的云服務(wù)？

只有將物理環(huán)境、硬件設(shè)備、硬件技術(shù)、軟件技術(shù)等綜合起來(lái)，才能實(shí)現(xiàn)完整的安全性。因此，自底層到頂層，存在物理安全、虛擬化安全、數(shù)據(jù)安全以及應(yīng)用安全。從信息安全的角度來(lái)看，在傳統(tǒng)三要素（CIA三元組）——機(jī)密性（Confidentiality）、完整性（Integrality）、可用性（Availability）的基礎(chǔ)上，作者認(rèn)為有必要加入訪問(wèn)控制（Access Control），將其延伸到CIAA。這4個(gè)方面被認(rèn)為是保障云存儲(chǔ)安全的核心技術(shù)。

具體到目前對(duì)云存儲(chǔ)安全的研究，云存儲(chǔ)系統(tǒng)安全體系結(jié)構(gòu)如圖2-3所示。

在物理資源層，一方面要保障物理環(huán)境安全，將云中心建立在一個(gè)適宜的環(huán)境中；另一方面也要保障物理設(shè)備安全，有電磁防護(hù)、門禁系統(tǒng)、機(jī)房監(jiān)控系統(tǒng)等。

在虛擬化層，因?yàn)樘摂M化使原有信息系統(tǒng)的邊界不復(fù)存在，因此虛擬機(jī)安全便成為云存儲(chǔ)安全的關(guān)鍵。為實(shí)現(xiàn)虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移、虛擬機(jī)安全隔離以及虛擬機(jī)安全鏡像等，需要適當(dāng)?shù)南到y(tǒng)隔離技術(shù)保障多租戶的數(shù)據(jù)與應(yīng)用安全，需要安全的遠(yuǎn)程管理技術(shù)，需要對(duì)系統(tǒng)進(jìn)行狀態(tài)監(jiān)控并及時(shí)維護(hù)升級(jí)。

基礎(chǔ)管理層是云存儲(chǔ)最為核心的部分，也是最復(fù)雜的部分。基礎(chǔ)管理層大量采用了集群管理技術(shù)和分布式存儲(chǔ)系統(tǒng)的成熟方法，在實(shí)現(xiàn)良好的可擴(kuò)展性的同時(shí)，也滿足了可用性及性能的需求，可提供數(shù)據(jù)分塊存儲(chǔ)、建立數(shù)據(jù)索引、數(shù)據(jù)加密、密鑰管理、密文搜索和完整性證明。此外，它還負(fù)責(zé)重復(fù)數(shù)據(jù)刪除、容災(zāi)備份等任務(wù)。容災(zāi)備份技術(shù)指的是在磁盤故障或者天災(zāi)等意外和災(zāi)難發(fā)生的時(shí)候，能夠通過(guò)自身的一些特殊的機(jī)制，進(jìn)行故障的檢測(cè)與恢復(fù)，最小化災(zāi)難和意外帶來(lái)的影響，使用戶能夠不受影響地照常使用數(shù)據(jù)服務(wù)，保證云存儲(chǔ)數(shù)據(jù)自身的安全和穩(wěn)定。

云存儲(chǔ)應(yīng)用安全建立在身份認(rèn)證和對(duì)資源的權(quán)限控制基礎(chǔ)上。在應(yīng)用接口層，要防止攻擊者以非法手段竊取用戶口令和身份信息，要對(duì)來(lái)訪者有適當(dāng)?shù)臋?quán)限訪問(wèn)控制與管理機(jī)制。比如，在Web服務(wù)中，要重點(diǎn)關(guān)注數(shù)據(jù)傳輸安全、身份認(rèn)證與鑒別、訪問(wèn)控制以及抵抗拒絕服務(wù)攻擊等方面。

為了保障數(shù)據(jù)擁有者對(duì)數(shù)據(jù)的控制權(quán)，用戶可以在數(shù)據(jù)訪問(wèn)層自主加密數(shù)據(jù)，然后通過(guò)應(yīng)用接口層的服務(wù)接口將加密數(shù)據(jù)存儲(chǔ)到云服務(wù)器。同時(shí)，需要采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)保障傳統(tǒng)邊界安全，包括防火墻與病毒防護(hù)技術(shù)等。因?yàn)閭鹘y(tǒng)防火墻技術(shù)無(wú)法有效對(duì)抗更隱蔽的攻擊行為，如欺騙攻擊和木馬攻擊，而且傳統(tǒng)病毒防護(hù)軟件無(wú)法對(duì)木馬、郵件類病毒、蠕蟲(chóng)進(jìn)行全網(wǎng)整體的防護(hù)。在云存儲(chǔ)的多租戶共享環(huán)境下，將有大量的終端用戶接入，如何防范不安全的接入是云存儲(chǔ)中安全接入的重要任務(wù)。

而更加籠統(tǒng)地劃分，云存儲(chǔ)的安全威脅主要包括內(nèi)部威脅和外部威脅兩個(gè)方面。其中以內(nèi)部威脅更難防范，主要包括遠(yuǎn)程管理風(fēng)險(xiǎn)、惡意的內(nèi)部員工、操作失誤、云基礎(chǔ)框架中的軟硬件錯(cuò)誤等。外部威脅是指通過(guò)云服務(wù)器與用戶之間的交互接口，利用軟硬件以及管理上的漏洞對(duì)系統(tǒng)進(jìn)行入侵與攻擊。