引言
云計算的商業(yè)前景巨大,許多與移動互聯(lián)網(wǎng)相關的企業(yè)都提供各種云計算服務。將云計算引進到移動互聯(lián)網(wǎng),將會導致移動互聯(lián)網(wǎng)體系結構的一系列變化和產(chǎn)生許多新的安全問題,如跨域數(shù)據(jù)安全和隱私保護、虛擬運行環(huán)境的安全性和跨域安全的監(jiān)控等。為了應對這些挑戰(zhàn),研究相關的安全風險和設計一個云計算的安全架構將變得非常有必要,它可以為云計算在移動互聯(lián)網(wǎng)上的成功應用奠定基礎。
在分析了當前云計算的安全風險和安全架構的基礎上,本文設計了一個移動互聯(lián)網(wǎng)上的具有多層次、彈性、跨平臺和統(tǒng)一用戶界面的云計算安全架構,它基于軟件即服務準則(SaaS)和移動互聯(lián)網(wǎng)的內(nèi)部特征:如多接入模式,不同的經(jīng)營企業(yè)和不同的用戶安全需求等。
1 相關工作
移動互聯(lián)網(wǎng)上的云計算服務是一項復雜的系統(tǒng)工程,面臨著各種安全威脅,迫切需要研究和設計特定的技術抵抗和防御這些威脅。云計算安全架構是一個關鍵點,許多研究者和企業(yè)都對此進行了分析和開發(fā)了各種相關系統(tǒng)的安全框架。
Windows Azure是微軟公司的以云計算為基礎的操作系統(tǒng),Windows Azure主要作用是給開發(fā)者提供開發(fā)平臺,以便輔助開發(fā)可在數(shù)據(jù)中心、云服務器、Web和PC上運行的應用程序。云計算開發(fā)者可以用微軟全球數(shù)據(jù)中心的計算能力、儲存和網(wǎng)絡基礎服務。Azure平臺主要包含了以下組件:Windows Azure;Microsof/.Net服務,Microsoft SQL的數(shù)據(jù)庫服務;用于儲存、分享和同步文件的Live服務;針對商業(yè)的MicrosoftSharePoint和Microsofi Dynamics CRM服務。
圖1 移動互聯(lián)網(wǎng)上的云計算安全架構
Amazon EC2(Elastic Compute Cloud)是一個讓用戶可以租用云電腦運行所需應用的系統(tǒng)。EC2借由提供web服務的方式讓用戶可以彈性地運行自己的Ama—zon機器鏡像文件,用戶將可以在這個虛擬機上運行任何自己想要的軟件或應用程序。
云安全聯(lián)盟CSA于2609年在RSA大會上成立。然后。CSA很快獲得了業(yè)界的一致認可。現(xiàn)在,CSA與ISACA、OWASP等組織都建立了合作關系,許多國際上的領袖公司都成為了其會員。2009年12月17日,CSA還發(fā)布新版的《云安全指南》v2.1,這標志著云計算業(yè)界對于云計算及和安全保護認識的又一次重要升級。
Jericho Forum首先提出了云立方體模型,它非常形象地描述了現(xiàn)有云產(chǎn)品的各種排列組合,他提出區(qū)分云從一種形態(tài)轉變成另一種形態(tài)的四種準則,維度。
上文所闡述的云安全架構考慮到了現(xiàn)有云計算平臺中所有層的安全威脅(主機系統(tǒng)層,網(wǎng)絡層和網(wǎng)絡應用層等),并制定一些總體性框架。
但他們不能滿足移動互聯(lián)網(wǎng)的特殊應用需求。如何構建移動互聯(lián)網(wǎng)的云計算安全體系結構仍然是一個開放的問題。
2 移動互聯(lián)網(wǎng)上的云計算安全架構
2.1設計目標
基于安全服務準則,本文的安全架構的設計目標如下:
·確保移動互聯(lián)網(wǎng)上不同用戶的數(shù)據(jù)安全和隱私保護。
·確保虛擬化云計算平臺運行環(huán)境的安全。
·根據(jù)不同要求,提供量身定制的安全服務。
·實現(xiàn)云計算運行平臺上的風險評估和安全監(jiān)控。
·確保云計算基礎設施的安全和構建可信任云服務。
·保障用戶私人數(shù)據(jù)的完整性和保密性的基礎。
2.2安全架構設計
在分析了當前云計算的安全風險和安全架構的基礎上、并考慮到移動互聯(lián)網(wǎng)的特征,本文所設計的多層次、彈性一、跨平臺和統(tǒng)一用戶界面的云計算安全架構如圖1所示。
第一,該架構包含了一組云安全應用服務資源郎:隱私數(shù)據(jù)保護,密文數(shù)據(jù)查詢,數(shù)據(jù)完整性驗證,安全事件預警,內(nèi)容安全服務。
第二,為云計算的虛擬化設計了一組云安全平臺服務資源,由被隔離的虛擬機,虛擬機安全監(jiān)測,虛擬機安全遷移和虛擬機安全鏡像所組成,并在不同平臺之間使用虛擬技術,如不同的操作系統(tǒng)。
第三,根據(jù)不同用戶的不同安全要求,安全架構提供不同安全級別的云基礎設施。
第四,一個統(tǒng)一的云安全管理平臺是為用戶管理、密鑰管理、授權、認證、防火墻、防病毒、安全記錄、預警和審計等而設計,它通過所有的層來發(fā)揮效果(云安全應用、云安全平臺和云安全基礎設施),并實現(xiàn)整個系統(tǒng)的跨安全域的運行和維護的集中管理:包括不同的安全域和多個安全級別。
第五,考慮到接入模式的多樣性(2G/3G/4G, WiFi和WiMAX等),該安全架構提供統(tǒng)一的云安全應用服務接口,如手機多媒體服務、手機電子郵件、手機支付、網(wǎng)絡瀏覽器和移動搜索等,結合定制的安全服務即隱私數(shù)據(jù)保護、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預警和內(nèi)容安全服務等。
第六,本文所建議的架構包括與云安全標準一致的符合性檢查和受信第三方所提供評估法規(guī)。在云服務提供商的應用軟件部署之前,必須由第三方可信任評估機構對此進行測試和評估,以便評估在移動互聯(lián)網(wǎng)環(huán)境中的安全風險和確定信任級別,這樣云用戶才可避免不必要的損失。云服務安全級別的測試和評估可應用于市場準人,這就迫使云服務提供商提高服務質量和安全意識。
2.3關鍵技術
對于云用戶來說,存在遠程集中管理多用戶私人資源和開放的計算環(huán)境之間的尖銳矛盾。最基本的一點是,用戶資源的隱私性和信心要求應用程序是相對固定和穩(wěn)定的,但是計算環(huán)境的開放使得隱私數(shù)據(jù)面臨著多方安全威脅。可以說,云服務提供商和客戶之間的信任是云計算可否被推廣的關鍵點,而且,數(shù)據(jù)安全和隱私保護是在云計算安全中非常重要。處理這些問題的主要技術與密文存儲和查詢、數(shù)據(jù)集成驗證和在多用戶環(huán)境中的隱私保護機制等方面相關。
云計算平臺必須統(tǒng)一安排和部署計算資源,以實現(xiàn)硬件和虛擬資源的安全管理和訪問控制。因此,它是云計算安全的關鍵項目,可以確保虛擬化的運行環(huán)境的安全,它包含安全監(jiān)控虛擬機、虛擬機遷移、虛擬機隔離和鏡像等。
各種不同的服務模式,所有的VM由種族隔離造成的安全隱患,例如,內(nèi)存越界訪問、在不同安全域的虛擬機控制管理和虛擬機之間的協(xié)同訪問控制等。
某些類型的安全風險和運行在虛擬機上的程序是否符合用戶的需求有關,例如,運行環(huán)境的安全級別是否符合要求,運行流是否正常。預警和安全檢查功能包括:安全策略管理,系統(tǒng)日志管理和審計策略管理等。
移動互聯(lián)網(wǎng)中的云計算是一種多源異構服務,并存的運行環(huán)境,同時實現(xiàn)安全的服務定制和安全自適應,以滿足多用戶的不同安全需求。
為了支持在移動互聯(lián)網(wǎng)環(huán)境中云計算的安全訪問,云計算安全架構也需要云計算平臺運行時的風險評估和安全測試,并支持第三方的安全審計等。移動互聯(lián)網(wǎng)上的云計算安全監(jiān)督體系負責安全監(jiān)控移動互聯(lián)網(wǎng)的內(nèi)容、在云計算基礎上的早期預警和防御攻擊,此外,負責保障措施的審計和實現(xiàn)云服務安全。
3 總結和展望
本文設計了一個移動互聯(lián)網(wǎng)上的具有多層次、彈性、跨平臺和統(tǒng)一用戶界面的云計算安全架構。該架構為客戶提供的云服務安全級別可以適應各種用戶的不同需求。該架構可以依據(jù)實際需求而靈活得搭建和實施,它幾乎可以無縫地整合不同的操作系統(tǒng)和異構網(wǎng)絡,并為媒體終端用戶提供統(tǒng)一的操作模式。今后的工作是在細節(jié)上研究安全架構每一組成部分,詳細分析和設計相關的不同層次和模塊之間的接口,最終為驗證理論和積累實際經(jīng)驗而設一個原型系統(tǒng)。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標題:移動互聯(lián)網(wǎng)中的云計算安全架構
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/1083977006.html
相關文章
