1.3　云存儲安全

因為云存儲的安全性、可靠性及服務水平等還存在眾多問題亟待解決，所以云存儲安全技術也得到了廣泛關注。下文將分析云存儲服務中為什么存在安全問題，然后詳細介紹存在的安全威脅；為了應對這些威脅，需要解決哪些問題；如果解決了這些問題，仍然面臨怎樣的挑戰。

1.3.1　為什么有安全問題

與傳統存儲相比，云存儲，特別是公共云存儲為什么會有更多的安全問題？總結起來，認為主要有如下幾個原因^[12]。

1. 云存儲的租用商業模式

在傳統存儲系統中，數據用戶擁有存儲系統的完全控制權，而且存儲資源完全由用戶支配，不需要與其他用戶共享。這種情況下，保障安全的重點是防范外部的攻擊者。

而在公共云存儲中，數據所有權和管理權分離，用戶一旦將數據遷移到云上，就失去了對數據的直接控制權。存儲資源由服務提供者控制，并且會通過虛擬化的方式將存儲資源同時租給多個用戶使用。此時不僅要防范外部的攻擊者，內部威脅更為嚴重，比如惡意的云管理員、可利用的安全漏洞、不當的訪問接口等。用戶的隱私數據不僅可能暴露給云服務提供商，而且還可能暴露給包括競爭對手在內的其他用戶。另外，在PaaS和SaaS中，因為對加密數據的處理技術還不成熟，一般以明文形式處理，從而導致其中的敏感數據直接暴露給云服務提供商和同一機器上的其他租戶。

2. 虛擬化技術的采用

虛擬化技術是云計算與云存儲的關鍵支撐技術。通過虛擬化，一方面可以將一些零散的資源整合到一個資源池，比如早期Google將成千上萬臺PC通過集群系統整合到一起，作為他們的后臺服務器；另一方面，可以將強大的資源分解成一個個小單元，為不同用戶提供服務，比如目前的公共云存儲服務，就是將大量的存儲資源通過虛擬化分解成一個個邏輯的存儲服務器提供給不同用戶使用。

虛擬化技術相當于云計算與云存儲平臺的操作系統，是資源能夠動態伸縮并得到充分利用的關鍵。通過對CPU、內存、硬盤等硬件資源的虛擬化，同一臺物理機上可以同時運行多臺虛擬機。盡管這些共享著相同硬件資源的虛擬機在虛擬機監控器（Virtual Machine Monitor，VMM）或Hypervisor（虛擬機管理程序）的管理下彼此隔離，但攻擊者仍然可以通過旁路偵聽、虛擬機逃逸、流量分析等攻擊手段從一臺虛擬機上獲取其他虛擬機上的數據。

作為虛擬化的核心技術，Hypervisor運行在比操作系統特權還高的最高優先級上。它可以捕獲CPU指令，為指令訪問硬件控制器和外設充當中介，協調所有CPU資源分配。一旦Hypervisor被攻擊破解，在Hypervisor上的所有虛擬機將無任何安全保障。

虛擬機動態地被創建、被遷移，其安全措施必須相應地自動創建、自動遷移。因為虛擬機可以在兩層網絡中任意遷移，在遷移的過程中其安全防護更加困難。虛擬機的安全措施如果沒有自動創建，會導致虛擬機的管理密鑰被盜而使相應的服務遭受攻擊。因此，虛擬化技術帶來了極大的安全威脅。因為其權限太大，還沒有很好的防護手段。

3. 多租戶共享

多租戶共享同一云服務提供商的IT資源，也是導致云架構不安全的一大隱患。特別是在SaaS云模型中，如Google Docs中同一個應用進程可以同時為多個租戶所用。這些租戶的數據一般存放在同一張數據表中，采用標簽進行區分。雖然可利用訪問控制技術來確保每個租戶只能訪問自己的數據，但惡意租戶利用系統漏洞或旁路攻擊等方法仍然可以獲得其他用戶的數據^[13]。另外，在SaaS服務模式中，數據以明文形式處理，云服務器可以讀取內存中租戶的數據。

4. 云計算的安全悖論

很多中小企業缺乏信息安全管理技術與基礎設施，迫切需要尋求一種安全的數據處理與存儲平臺，那么公共云計算與云存儲服務便是一個最佳的選擇。因為強大的云計算服務提供商可以利用最先進的安全技術來保障其IT基礎設施，包括硬件、系統、軟件與網絡等的安全，同時為用戶數據提供更完備的安全保障。但如上所述，公共云計算與云存儲反而帶來了更多的安全問題，即有很好的安全卻又反而不安全。

同時，惡意的用戶也可以利用強大的云計算資源發起攻擊，而且還將自己隱蔽在合法的用戶中。正如隨著互聯網和攝像頭的普及，一方面讓犯罪分子無處遁形，另一方面也讓用戶的個人隱私暴露無遺。

以上總結了云存儲存在安全問題的幾個原因，下文將對主要的云存儲安全威脅進行介紹。

1.3.2　云存儲安全威脅

2010年9月，發現Google員工利用職權查看了多個用戶的隱私數據；2011年3月，Google郵箱再曝大規模用戶數據泄露；2011年4月，Amazon的EC2云計算服務被黑客租用，對Sony PlayStation網站進行了攻擊，造成大規模用戶數據的泄露；2012年8月，蘋果公司的iCloud云服務受到黑客攻擊，黑客暴力破解用戶密碼后，刪除了部分用戶資料，而云平臺并未備份用戶數據，從而導致用戶數據的丟失，并致使用戶Gmail和Twitter賬號被盜；2014年8月，美國版“艷照門”iCloud數據外泄；2014年9月，黑客利用蘋果iCloud云端系統的漏洞將其數據外泄；2014年10月，美國資產規模最大的銀行——摩根大通由于計算機系統遭到網絡攻擊，7600萬家庭和700萬小企業的相關信息被泄露；2015年4月，上海、重慶等超30個省市約5000萬用戶社保信息被泄露；2015年6月，工商銀行快捷支付被曝存在嚴重漏洞，發生許多工行儲戶存款被盜事件；2015年9月，亞馬遜AWS云服務發生宕機事件，給其數家互聯網公司客戶帶來了巨大的影響；2015年10月，網易郵箱過億用戶信息被泄露；2016年4月，土耳其方面爆發重大數據泄露事件，直接導致近5000萬土耳其公民的個人信息遭到威脅；2017年2月，知名云安全服務商Cloudflare被曝泄露用戶HTTPS網絡會話中的加密數據長達數月……此類事件不勝枚舉。

隨著金融支付等業務的廣泛應用，云存儲系統承載了大量的用戶金融支付和私人文件等非常敏感的數據。因此，云存儲的安全性成為制約其未來發展的關鍵因素。

如前所述，云存儲是一個以數據存儲和管理為核心的云計算系統，所以云計算的安全威脅一樣適用于云存儲。

為了讓企業了解云計算的安全問題，以便采取適合的安全策略，云計算安全聯盟（Cloud Security Alliance，CSA）發布了“2016年云計算安全的12大威脅”^[14]。以下是云安全聯盟列出的12個最重要的云安全問題（按照調查結果的嚴重程度排列）。

1. 數據泄露

數據作為企業的重要資產，很容易成為黑客攻擊的目標。它可能涉及任何不適合公開發布的信息，包括個人身份信息、個人健康信息、財務信息、商業機密和知識產權等。一旦發生數據泄露，企業有可能會收到巨額罰款或面臨法律訴訟，甚至是刑事指控，也會造成品牌形象下跌和業務流失，會對企業造成持續的不良影響甚至破產。數據泄露風險并不是云計算獨有的，但它始終是云計算用戶的首要考慮因素。

2. 身份、憑證和訪問控制不善

數據泄露和一些攻擊通常都是因為身份驗證、弱口令和管理松散等問題引起的。云計算安全聯盟表示，網絡犯罪分子偽裝成合法用戶、運營人員或開發人員，可以讀取、修改和刪除數據，獲得管理權限，在用戶傳輸數據過程中盜取數據，甚至發布惡意軟件。

美國第二大醫療保險公司Anthem數據泄露事件中，超過8千萬客戶記錄被盜，就是用戶憑證被盜的結果。Anthem沒有采用多因子身份驗證，因此一旦攻擊者獲得了憑證，進出系統如入無人之境。

3. 不安全的訪問接口和應用程序接口（API）

云計算提供商提供了一組客戶使用的軟件用戶界面（User Interface，UI）和應用程序接口（Application Programming Interface，API）來方便用戶與云服務器的交互。訪問接口和API通常都可以從公網訪問，因此成為系統的對外接口，也最容易成為被攻擊的目標。

不安全的訪問接口和有漏洞的API將使企業面臨很多安全問題，機密性、完整性、可用性和可靠性都會受到考驗。云計算安全聯盟稱，從身份驗證和訪問控制，到數據加密和行為監測，都依賴這些訪問接口和API，因此這些訪問接口和API的安全性至關重要。

4. 系統漏洞

系統漏洞是指攻擊者可以用來入侵系統，竊取數據、控制系統或破壞服務操作的程序漏洞。因為云存儲的多租戶特性，不同用戶使用相同的存儲基礎設施，并且允許訪問共享內存和資源，導致存在安全風險。

云計算安全聯盟表示，操作系統組件中的漏洞使得所有服務和數據面臨的安全風險最大。雖然修復系統漏洞的開支比其他IT支出要多一些，但在部署基礎設施的過程中修復漏洞的開支，會比因為漏洞而遭受攻擊的損失少得多。

5. 賬戶劫持

劫持賬戶是一種常見的攻擊方法，比如利用網絡釣魚、詐騙、軟件漏洞等劫持合法賬戶，然后進行一系列的非法操作。比如竊聽用戶行為，當進行支付動作時，將用戶重定向到非法網站。而且，有些云服務還共享訪問憑證，從而出現一個服務的賬戶被劫持，會導致其他的服務也不安全。

另外，在云存儲環境下，合法賬戶被劫持后，攻擊者可以訪問云存儲服務的關鍵區域。它的目標可能并不是被劫持的用戶，而是與之相鄰的其他用戶，從而危及其他用戶數據的機密性、完整性與可用性。

6. 內部威脅^[15]

計算機安全應急響應組（Computer Emergency Response Team，CERT）是專門處理計算機網絡安全問題的組織。早在2000年，該組織即已開展內部威脅檢測項目。根據CERT的定義，內部威脅是指一個或多個現在或以前的公司員工、外包商或合作伙伴，具有對網絡、系統或數據的訪問權限，故意濫用或誤用自己的權限損害公司信息或信息系統的機密性、完整性與可用性^[16]。

內部威脅是云計算安全面臨的最嚴重的挑戰之一。2013年“斯諾登事件”即由內部人員公開內部數據，從而引起媒體廣泛關注，而這只是內部威脅的冰山一角。SailPoint安全公司曾做過一個安全調查，受訪者中20%的人表示只要價錢合適便會出賣自己的工作賬號和密碼。美國計算機安全協會（CSI）和聯邦調查局（FBI）在2008年的報告中指出，內部安全事件所造成的損失明顯高于外部安全事件。2015年普華永道的調查指出，中國內地與香港特別行政區的企業信息安全事件中50%以上是由內部人員造成的。

云計算安全聯盟表示，雖然有些威脅的嚴重程度是有爭議的，但在某一點上是有共識的，即內部威脅是一個真正的威脅。懷有惡意的內部人員（如系統管理員）可以訪問潛在的敏感信息，可以更多地訪問更重要的系統，并最終訪問數據。僅依靠云服務提供商提供安全措施的系統將面臨更大的風險。

7. 高級持續性威脅

高級持續性威脅（Advanced Persistent Threats，APT）攻擊，也稱針對性攻擊，是一種寄生的網絡攻擊方式，它滲透到目標公司IT基礎設施中，建立自己的立足點，從中竊取數據。常見的滲透方式包括網絡釣魚、U盤預載惡意軟件、通過被黑的第三方網絡等。APT混入正常網絡流量，因此很難被偵測到。對此，除了云服務提供商要應用高級安全策略阻止APT滲透進他們的基礎設施，云用戶也要經常檢測自己的賬戶是否存在APT行為。

8. 數據丟失

當出現火災或地震等自然災害、遭受攻擊和服務器損壞等各種意外情況時，都可能導致客戶數據的永久丟失。相應的法律法規通常會規定公司必須保留審計記錄和其他文件的時限，若此類數據丟失，就會造成嚴重的監管后果。

隨著云服務技術的成熟，由服務提供商失誤導致的永久數據丟失已經比較少見了，倒是惡意黑客會利用刪除云端數據的方式來危害公司。對于云服務提供商來說，多地分布式部署其云服務平臺，建立好的數據備份與恢復機制，遵循業務持續性和災難恢復最佳實踐，都是最基本的防止永久數據丟失的方法。

9. 對擬采用的服務調研不足

企業在沒有完全理解云環境及其相關風險的情況下，就購置云服務，會存在很多商業、金融、技術、法律和合規風險。企業是否需要將其數據和應用遷移到云環境，怎樣選擇服務提供商，都要進行充分的調研，尤其要仔細審查服務提供商的資質和合同中的責任條款。

云計算安全聯盟表示，企業管理層在制定戰略時，要對云計算技術和服務提供商進行評估和考量，而且應制定一個良好的考量策略，明確他們要承擔的風險。

10. 濫用云服務

云服務可以幫助企業減少初始投資和管理成本，但同時，它也可能被攻擊者用來開展違法活動，比如利用云計算資源破解密鑰、利用云計算資源來定位用戶、發起分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊、發送垃圾郵件和釣魚郵件、托管惡意內容等。

服務提供商要能夠識別各種類型的云服務濫用情況，比如通過檢測流量識別DDoS攻擊，企業也要確保服務提供商擁有服務濫用的報告機制和預防機制。

11. 拒絕服務

這種威脅也屬于濫用云服務的一種，惡意用戶占用大量的云計算資源，如CPU、內存、磁盤空間或網絡帶寬，導致合法用戶不能正常訪問其數據或應用。

針對拒絕服務（Denial of Service，DoS）攻擊，需要云服務提供商有較好的攻擊檢測與預防機制，當出現攻擊時，有辦法抵御攻擊并能快速恢復正常服務。

12. 共享架構中的技術漏洞

云計算服務提供商通過共享基礎架構、平臺和應用程序來實現多租戶共享資源，在節省大量成本的同時，也帶來了客戶的數據安全風險。在對各類資源進行隔離中可能存在的各類技術漏洞，可能在所有交付模式中被攻擊者利用。

2016年4月，歐洲議會投票通過了商討4年之久的《一般數據保護條例》（General Data Protection Regulation，GDPR）。該法規包括91個條文，共計204頁。該條例將于2年后，即2018年5月25日正式生效。新條例的通過意味著歐盟對個人信息保護及其監管達到了前所未有的高度，可稱為史上最嚴格的數據保護條例。非歐盟成員國的公司（包括免費服務）只要滿足下列兩個條件之一：①為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。②為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息。這些公司就受到GDPR的管轄。這個條例將對中國企業的數據管理和信息安全，以及數據收集、處理和交易產生重大影響。

對于一般性的違法，罰款上限是1000萬歐元或企業上一年度全球營業收入的2%（兩者中取數額大者）；對于嚴重的違法，罰款上限是2000萬歐元或企業上一年度全球營業收入的4%（兩者中取數額大者）。

我國于2017年6月1日起施行《中華人民共和國網絡安全法》和最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，以加強網絡安全和個人隱私保護。其中規定，非法獲取、出售或者提供公民個人信息5000條以上、違法所得5000元以上可入罪。

針對信息安全領域的法律法規建設是應對云存儲安全威脅的一項有力舉措。

1.3.3　需要解決的幾個問題

綜上所述，根據云存儲中安全問題的根源和云計算的12大安全威脅，總結出要保障云存儲安全需要解決的幾個問題。

1. 云存儲安全體系結構

安全是一項系統工程，需要系統化的方法和機制來保障全面的安全。云存儲提供的是可伸縮的數據服務，無法清晰地定義安全邊界及保護設備，這給制定并實施云存儲的安全保護措施增加了難度。因此，對云存儲安全體系結構要有明確的定義和界限劃分，使其能夠清晰地描述安全體系結構的層次、各層之間的接口、各層需要采取的安全機制，以及可以保障哪些方面的安全，從而形成一套保障安全的系統化的體系結構。

2. 云存儲虛擬化安全

如上所述，虛擬化是安全問題的根源之一。因其權限大，管轄范圍廣，在云存儲安全風險中占據了很大比重。對不同的云用戶來說，云存儲系統是一個相同的物理系統，而不再像傳統網絡一樣有物理的隔離和防護邊界，由此虛擬系統被越界訪問等無法保證數據隔離性的問題也就難以避免。因此，云存儲虛擬化安全就是要保障數據的安全隔離，防范各類系統漏洞和側信道攻擊。

3. 云存儲系統訪問控制

云存儲服務面臨的威脅，首先來自于身份認證和訪問控制問題。作為云存儲服務的訪問入口，它們一旦被攻破，就猶如城門失守，入侵者必將長驅直入，直接威脅到云存儲的安全。因此，云存儲系統的訪問控制，包括系統的認證與授權，需要根據云存儲系統的應用需求，有較完備的安全策略和實施方法。

4. 云存儲數據機密性保障

在信息安全的三要素中，數據機密性是排在第一位，其重要性不言而喻。在云存儲服務中，因為數據存儲在云服務器上，用戶失去了對數據的完全控制權，那么要保障數據的機密性，通常就是在數據上傳到云服務器之前，對數據進行加密處理。云環境下有著海量的數據，因此需要輕量級的快速加密算法；數據加密后，傳統的信息檢索機制不再適用，需要相應的密文搜索算法；同時也需要支持密文處理的加密算法，因為存在一些諸如密文數據的共享、密文數據挖掘、密文數據去重等問題需要解決。

5. 云存儲數據完整性保障

數據上傳到云服務器后，怎樣保障數據不被篡改或刪除？怎樣檢測到這些不法行為？因此，需要一些數據完整性保障機制，可以實現數據持有性驗證，檢測到數據是否被篡改；如果篡改，又怎樣進行恢復。

6. 云存儲數據備份與恢復

云存儲系統也要考慮極端情況下的數據安全，比如地震、洪水、火災等可能的天災人禍帶來的數據安全風險。在災難發生時如何避免數據服務中斷及數據丟失等問題，通常是通過各種備份技術來保障系統的可靠性和數據的恢復。

7. 云存儲入侵檢測

云存儲系統作為一個公共數據中心，具有多客戶連接、高交互性、數據安全保障要求高等特點，對入侵、攻擊、病毒和惡意軟件十分敏感，有必要對云存儲中的數據流進行實時、主動的檢測和防御。

8. 云存儲應用最佳安全實踐

要保障云存儲應用安全，通常有一些安全規則，它們需要從日常實踐中進行歸納與總結，還包括制定云存儲服務安全標準，從而實現云存儲服務安全、健康地發展。

針對這些需要解決的問題，本書將逐一進行討論，結合已有的技術和最新的研究成果，提出以上問題的一般解決方案。不過，除了上述需要解決的問題，在云存儲服務中仍然面臨一些目前還無較好解決辦法的挑戰。

1.3.4　面臨的挑戰

上一小節提出的幾個問題可以通過各種技術手段來解決，但對于云存儲，仍然存在一些目前還沒有較好技術手段可以解決的問題。這些人們面臨的挑戰列舉如下（非僅限于此）。

1. 數據的可信刪除

云存儲服務的用戶可能某天不需要這個服務了，怎樣保障她／他的數據被完全徹底地刪除？對于傳統存儲，因為用戶擁有IT基礎設施的完全控制權，可以利用技術手段，將服務器上的數據徹底刪除。但在云存儲服務中，當某個用戶離開該云服務后，她／他使用過的磁盤會租賃給其他用戶。如上所述，通常數據刪除只是在文件系統中將相應的文件索引刪除，而沒有進行物理上的數據刪除。即當用戶刪除硬盤上的數據時，并沒有將數據真正從計算機的硬盤上刪除，只是刪除了相應文件的索引。即使對磁盤進行格式化，也只是為操作系統創建一個新的索引，將磁盤的扇區標記為未使用，其之前的數據記錄并沒有被刪除，因此仍然可以恢復磁盤上之前存放的數據。

在云存儲環境下，還沒有很好的技術手段可以保證云服務提供商會徹底刪除離開該服務的用戶的數據。

2. 數據外包模式下的內部威脅

當數據外包存儲在云上，云服務器的管理員客觀上就具備了偷窺和泄露用戶數據的能力，如何保證云存儲服務的內部管理人員不偷窺、不泄露、不破壞用戶的數據，成為一個極具挑戰性的問題，也成為近年來學術界和工業界共同關注的熱點。

3. 數據遷移風險

經濟時代，行業市場瞬息萬變，一些云服務提供商可能因為各類原因停止提供云存儲服務，或者用戶對當前的云服務提供商的服務或用戶條款產生不滿，希望換一家云服務提供商，這時用戶就需要將其數據遷移，那么原來存儲在云服務器上的數據便會成為一個極大的安全隱患。

4. 加密數據的處理

在傳統的存儲系統中，一般采用加密方式來確保存儲數據的安全性和隱私性。在IaaS云服務模式中，如果用戶只是用來存放數據，那么加密數據是沒有問題的；但在PaaS和SaaS云模式中，用戶需要在云端對數據進行處理，如果數據被加密，各種處理操作將變得困難。這也是云存儲面臨的一個安全悖論：加密數據可以保障數據的安全性和隱私性，但卻讓數據不能在云端進行各類處理操作。