基于云数据的应用访问安全控制

云计算基础设施之一是提供可靠、安全的数据存储中心，因此，存储安全是云计算领域的安全话题之一。云存储应用中的存储安全包括数据加密存储、安全策略管理、安全日志和审计。安全日志和审计为监控系统和活动用户提供必要的审计信息。特别是对数据的访问进行安全控制尤为重要，在为用户提供安全和方便分享的权衡中，对数据的访问控制机制是一个需要研究的课题。

　　　　Amazon S3的S3、EMC Atmos Online等都提供云存储服务，他们都是通过访问控制列表ACLs来控制数据的访问权限，只有授权的用户或者应用才能访问，但是对数据的共享会受到ACLs最大数量的限制。Hassan Takabi等提出了基于属性加密的访问控制策略。在为用户提供实时、离线、友好、安全、方便的云计算服务的情况下，参考Danny Harnik等人的数据安全访问机制，提出了本文的数据访问控制机制。

　　1.方案设计

　　应用对用户数据如下的两种授权访问方式：应用访问用户空间下特定目录;应用访问用户空间下非特定目录或文件。

　　1.1 应用访问特定目录

　　应用访问特定目录，这个特定目录是专供某些应用访问，这个特定目录访问权限的生命周期是从用户选择使用该应用到用户取消使用该应用的一段时间。这种授权访问机制主要用于用户非在线情况下使用应用。

　　图1 应用访问特定目录流程

　　当用户选择使用这个应用后，就会在用户的空间中有一个对应的应用使用目录，这个目录可以是新创建的，也可以是与应用公用目录。相当于用户授权应用使用这个目录，这样应用可以很方便的访问该目录。

　　(1)用户在选择订购应用后，会将应用与访问目录的对应关系在安全/策略管理中保存下来，即访问控制列表(ACL)。

　　(2)用户在应用中发起使用请求后，用户既可以退出应用或者离线。

　　(3)应用会向安全/策略管理系统发起获取访问目录的权限信息，安全/策略管理系统对访问信息等属性通过AES-256进行对称加密，对其中的一些属性通过HMACSHA1算法进行签名，加密完成后返回给应用。

　　(4)应用向存储数据系统发起访问请求，并将加密的属性信息和签名传送到存储数据系统，系统对其中的属性信息通过HMAC-SHA1算法进行签名后与传递过来的签名进行比对，看是否符合要求。

　　(5)校验成功后，应用就可以操作对象数据。

　　1.2 应用访问非特定目录或文件

　　应用访问用户存储空间下的所有文件或者目录，这个文件或者目录访问权限的生命周期很短，从用户授权到发起数据请求大概在几分钟或者几十秒内。这种授权访问机制主要用于户用在线的情况下使用某种应用。授权访问机制不需要预先在ACL中有该应用的使用权限，当用户临时需要应用对某个文件进行处理时而发起的临时授权，只会保存这种发起访问授权的日志记录。

　　图2 应用访问非特定目录或者文件流程

　　(1)用户发起使用应用对某个文件进行处理，需要将用户的访问信息等发送到安全管理系统。

　　(2)安全管理系统对接收到的访问信息等属性通过AES-256进行对称加密，对其中的一些属性通过HMACSHA1算法进行签名，加密完成后返回给客户端。安全管理系统记录下这次授权的日志信息。

　　(3)客户端通过重定向或者再次调用应用的接口方式将加密后的访问信息、签名等发送给应用。

　　(4)应用将访问信息、签名等发送到云存储数据系统，系统对其中的属性信息通过HMAC-SHA1算法进行签名后与传递过来的签名进行比对，看是否符合要求。

　　(5)校验成功后应用就可以操作数据。

　　2.结束与展望

　　本文提出的数据访问控制机制能够在保证安全性的条件下，使用户能够快速方便的使用应用实时处理存储空间中的数据。数据访问安全控制还存在很多问题，在保证数据安全又方便其他应用来使用数据将会在后续工作中继续研究。

二、基于云数据的应用访问安全控制 之：
当企业不断加快云技术的落地步伐，采用基础设施即服务(IaaS)或软件即服务(SaaS)等新技术时，它们寻找解决方案在云架构当中实现安全访问和可靠操作的需求也日益凸显。目前看来，由于企业数据保存在不同的设备当中，这些设备是由不同的提供商或合作伙伴提供，因此企业必须监控和保护全新的“安全边界”。同样，仔细权衡如何保护基于云计算的数据也应该作为企业整体安全策略的一部分纳入到企业的考虑范围。而保护应用免受分布式拒绝服务(DDoS)攻击的影响则是最值得关注的事。

　　在不久前发生的针对源代码托管供应商Code Spaces的真实攻击案例中，攻击者利用组合工具入侵了Code Spaces基于亚马逊Web服务(AWS)的整体架构。该威胁始于攻击者尝试勒索Code Spaces，并以此作为停止对其发起的多载体DDoS攻击的交换条件。最后，攻击者控制了Code Spaces AWS控制台，几乎删除了所有存储在云中的数据。由此产生的因数据丢失和为SLA补救措施而付出的代价将使Code Spaces公司无法再运营下去。

　　这样的结果虽不太常见，但是说明了一个重要问题：如果企业计划迁移至云中，其中一步要做的就是制订严密的计划来应对DDoS攻击的泛滥及其不断增加的威胁。多数企业都不相信自己会成为DDoS攻击的受害者，因此在制定IT预算时，部署适当的防御措施总是被放在预算优先表项的末尾。事实上，多数企业都缺乏检测工具，因而不清楚有多少攻击已经成功入侵了自己的数字资产。IaaS和SaaS提供商应该可以创建坚固的安全防御机制，以帮助企业应对DDoS攻击。

　　客户在主动采取相应防御措施的同时还应该对云提供商DDoS缓解能力的进行评估。Radware云服务总监Bill Lowry长期以来都致力于云计算的研究，他在其发表的文章中指出了在基于云的解决方案中应用DDoS缓解策略时会遇到的问题，也阐述了云计算的五大亟待解决的安全问题。

　　防护新的企业边界

　　过去，企业只需将安全重心放在保护数据中心的出口上。采用云技术就意味着企业数据和应用会分发到多个数据中心，这就为企业创建了新的安全边界，企业要在更多的地方实施防护。那么企业该如何在所有保存企业数据的地方防御攻击呢?

　　技术实现方式：许多云服务提供商测试或部署了可以检测分布式拒绝服务攻击的技术，但是多数技术都是基于网络采样数据实现的。内联部署可以检测所有的入站和出站流量，提供最全面的检测和DDoS攻击缓解措施。用户在评估云服务提供商时，还要了解他们使用何种工具进行DDoS检测。

　　维护可用性

　　就定义来看，云技术是一种远程访问技术。如果企业的云服务提供商遭遇了严重的DDoS攻击，对服务的网络访问遭到禁止，这等同于企业应用被“宕机”了。企业的云服务提供商又要采取什么措施来防止这种情况发生在企业身上呢?

　　技术实现方式：云服务提供商应该部署云端和本地DDoS组合缓解工具。这种混合方法可以提供最佳的可用防护：本地部署的硬件可以检测并缓解攻击，同时还能自动将攻击流量转移至云端清洗中心。清洗中心必须可以处理几百Gb大小的攻击，从而改善云服务提供商保护企业资源和业务运行的能力。

　　租户之间实现隔离保护

　　攻击人员可以跟普通用户一样购买云服务。那么又如何在云环境内部保护企业数据远离威胁?