隨著云計算的全新概念在互聯(lián)網(wǎng)中引發(fā)軒然大波，互聯(lián)網(wǎng)安全領(lǐng)域中通過云計算技術(shù)也開始了全新的變革。相對于傳統(tǒng)的數(shù)據(jù)安全技術(shù)，云計算下的數(shù)據(jù)安全仿佛更加先進但同時也更具爭議。那么究竟傳統(tǒng)數(shù)據(jù)安全和云計算下的數(shù)據(jù)安全誰利誰弊？云計算下的數(shù)據(jù)安全保護是否能夠全面替代傳統(tǒng)技術(shù)呢？

傳統(tǒng)數(shù)據(jù)安全

1.傳統(tǒng)數(shù)據(jù)分類

一般情況下，我們依據(jù)“動”和“靜”將數(shù)據(jù)分為存儲的數(shù)據(jù)和傳輸中的數(shù)據(jù)。

所謂“靜”即數(shù)據(jù)在存儲，為了保護數(shù)據(jù)的安全，可以將數(shù)據(jù)依據(jù)安全需求的等級進行不同的存儲保護;

所謂“動”即數(shù)據(jù)在傳輸?shù)倪^程中，此時需要關(guān)注的不僅是需要保護的數(shù)據(jù)，還有數(shù)據(jù)流通的傳輸鏈路。

2.數(shù)據(jù)的安全

對于存儲中的數(shù)據(jù)，需要依據(jù)數(shù)據(jù)的重要性和機密性級別，設計數(shù)據(jù)存儲的方式，并且針對數(shù)據(jù)級別設計數(shù)據(jù)的備份及恢復策略，當然，還會對數(shù)據(jù)存儲的數(shù)據(jù)庫和服務器進行良好的訪問控制，對服務器存儲機房進行物理訪問控制，這樣才能真正保護存儲數(shù)據(jù)的安全。

對于傳輸中的數(shù)據(jù)，我們會依據(jù)數(shù)據(jù)的重要性不同，進行不同級別的保護。如傳輸用戶名密碼等重要信息時，會采用加密的技術(shù)，而在采用加密技術(shù)時，也會依據(jù)不同的需求采取不同的加密措施;在路由信息等都需要進行保護時，會采用鏈路加密技術(shù)，在只需要保護凈荷值時，可以采用端到端加密技術(shù)等;在傳輸大量采集信息時，可能會設計編碼格式，使傳輸高效且安全。

云計算中的數(shù)據(jù)安全

無論使用IaaS、PaaS還是SaaS這三種模型中的任何一種，數(shù)據(jù)安全都較以往而言更為重要。

因此，我們需要對云中的數(shù)據(jù)安全進行淺析;雖然云計算是新興的事物，但是對于其中的數(shù)據(jù)安全，我們可以試著用傳統(tǒng)的C.I.A(即：Confidentiality機密性、Integrity完整性及Availability可用性)三性進行剖析，來看看云計算中的數(shù)據(jù)安全。

1.傳輸數(shù)據(jù)

對于傳輸數(shù)據(jù)，在使用公共云時，無論使用IaaS、PaaS還是SaaS，都需要考慮對數(shù)據(jù)的傳輸是不是已經(jīng)部署了恰當?shù)募用芊绞健?/p>

對于傳輸數(shù)據(jù)，首先需要確保的是機密性，即使用一定的加密程序，比如vanilla，或直接使用FTP協(xié)議和HTTP協(xié)議等情況;當然，對傳輸數(shù)據(jù)，尤其在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)，要確保的不只是機密性，還需要考慮完整性，比如是否使用SSL上的FTP協(xié)議(即FTPS);是否使用HTTPS協(xié)議;是否使用安全拷貝程序(SCP)等。

2.存儲數(shù)據(jù)

依照以往的思維，我們會認為對于存儲數(shù)據(jù)進行加密是很必要的，但是其實在云中，事實并非如此。

如果你使用IaaS云服務做一些簡單存儲的服務，那么無論使用的是公共云還是私有云都可以進行加密;但是如果使用PaaS或者SaaS，使用其基于云的應用，那么加密就不一定可行了，因為加密會導致索引和檢索的不便，導致上層部署機制的不可行，影響可用性，因此，此時存儲的數(shù)據(jù)并不應該加密。

一般來說，使用基于云的應用存儲數(shù)據(jù)時會將數(shù)據(jù)與其他數(shù)據(jù)進行混合，比如Google BigTable(下文會稍作介紹)，而且應用也會設計一些數(shù)據(jù)安全特征，比如數(shù)據(jù)標簽等來防止未授權(quán)的訪問，但是通過攻擊應用的弱點等方法仍然可以達到未授權(quán)訪問。

另外，在云中進行的數(shù)據(jù)處理過程，數(shù)據(jù)也是同樣不能加密的。

3.數(shù)據(jù)舉例

前文提到的Google BigTable：分布式結(jié)構(gòu)化數(shù)據(jù)表

BigTable是Google開發(fā)的基于GFS和Chubby的分布式存儲系統(tǒng)，Google的很多數(shù)據(jù)，包括Web索引、衛(wèi)星圖像數(shù)據(jù)等在內(nèi)的海量結(jié)構(gòu)化和半結(jié)構(gòu)化的數(shù)據(jù)，都是存儲在BigTable中的。

BigTable是一個分布式多維映射表，表中數(shù)據(jù)通過一個行關(guān)鍵字(Row Key)、一個列關(guān)鍵字(Column Key)一級一個時間戳(Time Stamp)進行索引的。BigTable的存儲邏輯可以表示為：

(row:string, column:string, time:int64) -> string

很明顯，對于BigTable進行索引時不能使用因為數(shù)據(jù)加密等原因而造成索引的失效。

4.數(shù)據(jù)加密新技術(shù)

由于云中存儲數(shù)據(jù)為海量數(shù)據(jù)，因此加密過程會一定程度上影響處理的效率，對此各不同的云服務提供商均依據(jù)自己的情況對數(shù)據(jù)安全部署了不同的控制措施，比如，分析加密點部署的位置，是在終端原點還是在存儲服務器，另外，還需要考慮使用加密算法的速度是否能趕上磁盤I/O的速度等等。

由于加密和解密數(shù)據(jù)或文件十分消耗資源，因此現(xiàn)在有新的技術(shù)應蘊而生。

比如數(shù)據(jù)著色(data coloring)技術(shù)和云水印(cloud watermarking)，都是針對云計算而發(fā)明的數(shù)據(jù)加密技術(shù)。通過對數(shù)據(jù)進行不同的著色，對云打上水印，從而達到數(shù)據(jù)加密的效果，而又不會很耗費資源。

5.C.I.A分析

從傳輸數(shù)據(jù)和存儲數(shù)據(jù)的方向分析了數(shù)據(jù)的機密性、可用性和完整性后，現(xiàn)在直接對C.I.A三性進行下分析。

ü Confidentiality機密性

在公共云中，機密性需要從兩方面進行考慮。

一是通過認證和授權(quán)的訪問控制來保護數(shù)據(jù);但是對于云來說，控制的粒度較粗，而且一般云服務提供商也會使用較弱的認證機制。對于訪問控制的問題將在后續(xù)的學習中詳細描述，本文略。

二是存儲的數(shù)據(jù)如何真正的進行保存，當然包括數(shù)據(jù)如何加密。用戶可能希望知道，他們的數(shù)據(jù)在云中是怎么加密的呢？用的什么加密算法？密鑰有多長？其實這些不是他們能夠決定的，主要還是取決于云服務提供商。比如，EMC的MozyEnterprise使用加密技術(shù)加密用戶數(shù)據(jù)，但是AWS的S3卻并不對任何用戶數(shù)據(jù)進行加密。

在選擇加密措施試圖保護數(shù)據(jù)安全時，必須考慮云服務提供商能夠提供的加密算法、能夠提供使用的密鑰長度，還有其對于密鑰的管理機制。

ü Integrity完整性

剛剛我們討論了云中數(shù)據(jù)的機密性保護，現(xiàn)在看看完整性如何保護。

首先，進行數(shù)據(jù)完整性的保護不能依賴加密算法了，而是使用加密認證碼(MAC)，最簡單的方法是對已加密的數(shù)據(jù)使用MAC值進行完整性校驗。

另外，數(shù)據(jù)完整性的重要點，尤其是在大容量存儲的IaaS中，是一旦用戶擁有幾個G甚至更多的數(shù)據(jù)在云中存儲時，用戶如何檢查數(shù)據(jù)完整性？IaaS傳輸開銷是與移動的數(shù)據(jù)相關(guān)的，一個用戶如果想驗證其存儲在云中的數(shù)據(jù)的完整性，如何不需要下載數(shù)據(jù)？這是云中數(shù)據(jù)安全的一個要點，由于云中的數(shù)據(jù)是動態(tài)的且經(jīng)常改變，因此也就是的傳統(tǒng)的完整性檢查技術(shù)無計可施。

目前，業(yè)界已經(jīng)開始提出對大容量數(shù)據(jù)的完整性校驗提出了對動態(tài)存儲數(shù)據(jù)校驗的新的思路。

ü Availability可用性

機密性和完整性討論過后，我們來看看數(shù)據(jù)可用性。

首先用戶要明確自己選擇的云服務提供商能夠提供什么樣的服務，尋找真正適合自己的服務。

當然數(shù)據(jù)的可用性肯定會受到來自互聯(lián)網(wǎng)絡的攻擊，需要云服務提供商進行一定的數(shù)據(jù)安全部署。

最后也是最重要的，真正的可用性其實是由云服務提供商的自身能力決定的，比如2008年7月，Amazon的S3遭受了長達8小時的資源耗盡導致的服務停止;2009年2月，Coghead公司突然倒閉，只給用戶90天時間來將數(shù)據(jù)遷移出。

因此可用性的考慮，最重要的是對云服務提供商的考慮。

【編輯推薦】

1. 殺毒軟件全面云安全 究竟誰才值得真正選
2. 云計算信息安全前景不明
3. 誰來保護在云中的信息安全
4. 云時代下的運營商安全防護
5. 云計算：信息安全開啟新篇章