一位IaaS提供商自述：我怎樣保障你在云中數(shù)據(jù)的安全

作者：編譯/周雪峰 2010-12-14 10:07:21

讓你在云中的數(shù)據(jù)更加安全是至關(guān)重要的。我們將會(huì)為您講述作為一個(gè)云提供商你應(yīng)該怎樣保護(hù)你的數(shù)據(jù)。

到目前為止，我們已經(jīng)看過(guò)了《Security in a Public IaaS Cloud Part 1: Networking》（關(guān)于這篇文章，具體可以參考：http://www.cloudsigma.com/en/blog/2010/09/13/10-security-in-a-public-iaas-cloud-networking）和《Security in a Public IaaS Cloud Part 2: Access to Cloud Servers》（關(guān)于這篇文章，具體可以參考：http://www.cloudsigma.com/en/blog/2010/09/19/11-security-in-the-cloud-access-to-cloud-servers）這兩篇文章了。在第三部分中，我們將會(huì)看到如何確保你的數(shù)據(jù)存儲(chǔ)是健壯的，安全的，以及如何在IaaS(Infrastructure as a Service)云中確保數(shù)據(jù)的隱私性。

數(shù)據(jù)的隱私性和安全性是許多想要遷移到公有云的人的主要顧慮。對(duì)于隔離真正的危險(xiǎn)，和如何讓他們擺脫在違反內(nèi)部規(guī)定遷移數(shù)據(jù)過(guò)程中的自然的心理反應(yīng)來(lái)說(shuō)，這一點(diǎn)很重要。

我們發(fā)現(xiàn)，在云中的數(shù)據(jù)存儲(chǔ)可以劃分成三個(gè)不同的領(lǐng)域：保持?jǐn)?shù)據(jù)的隱私性/安全性，提供商透明度，以及數(shù)據(jù)的可移植性。

為了搞清楚和云中的數(shù)據(jù)有關(guān)的問(wèn)題，每個(gè)領(lǐng)域都是至關(guān)重要的。這三個(gè)方面必須都得到使用云的客戶的認(rèn)可才可以，這樣才能形成有意義的數(shù)據(jù)處理策略來(lái)適應(yīng)每個(gè)云用戶的特殊需要。

在云中的數(shù)據(jù)泄露：真正的危險(xiǎn)

從根本上來(lái)說(shuō)，當(dāng)遷移到公有云的時(shí)候，對(duì)于客戶和他們的數(shù)據(jù)來(lái)說(shuō)，有兩大改變。首先，相對(duì)于客戶的地理位置來(lái)說(shuō)，數(shù)據(jù)會(huì)被遠(yuǎn)程存儲(chǔ)；這可能會(huì)引起法律方面的問(wèn)題（稍后，我們會(huì)進(jìn)一步說(shuō)明這方面的問(wèn)題）。其次，數(shù)據(jù)通常是從單租戶環(huán)境遷移到多租戶環(huán)境的，這就是數(shù)據(jù)泄露問(wèn)題發(fā)生的源頭。

數(shù)據(jù)泄露只不過(guò)是一個(gè)客戶到另一個(gè)客戶的數(shù)據(jù)遷移而已。實(shí)際上在云中的每個(gè)客戶都應(yīng)該只能訪問(wèn)他們自己的數(shù)據(jù)，而不能訪問(wèn)其他客戶的數(shù)據(jù)。在《Security in a Public IaaS Cloud Part 1: Networking》（關(guān)于這篇文章，具體可以參考：http://www.cloudsigma.com/en/blog/2010/09/13/10-security-in-a-public-iaas-cloud-networking）這篇文章中，我們已經(jīng)看到這是如何通過(guò)流量隔離，和讓客戶控制他們需要使用的網(wǎng)絡(luò)策略來(lái)安全地實(shí)現(xiàn)的。對(duì)于存儲(chǔ)來(lái)說(shuō)，客戶的數(shù)據(jù)存儲(chǔ)在虛擬設(shè)備中。實(shí)際上虛擬驅(qū)動(dòng)器位于更大的存儲(chǔ)陣列上（更多信息可以參考《The Future of Cloud Storage (and what is wrong with the present)》：http://www.cloudsigma.com/en/blog/2010/11/21/13-the-future-of-cloud-storage）。那些數(shù)據(jù)是通過(guò)每個(gè)云服務(wù)器的CPU/RAM來(lái)訪問(wèn)的。

當(dāng)一個(gè)客戶刪除了他們的驅(qū)動(dòng)器，然后一個(gè)新的客戶創(chuàng)建了一個(gè)新的驅(qū)動(dòng)器的時(shí)候，數(shù)據(jù)泄露問(wèn)題可能就會(huì)發(fā)生了。在物理磁盤(pán)中，舊的驅(qū)動(dòng)器和新的驅(qū)動(dòng)器使用的那個(gè)區(qū)域可能會(huì)發(fā)生重疊。因此，完全有可能那個(gè)新的客戶會(huì)試圖映射出其他的客戶過(guò)去寫(xiě)在這個(gè)區(qū)域上的數(shù)據(jù)。簡(jiǎn)而言之，這是一個(gè)問(wèn)題，現(xiàn)在許多Iaas(Infrastructure as a Service)云都暴露出了這個(gè)問(wèn)題。對(duì)于使用那些平臺(tái)的大多數(shù)客戶來(lái)說(shuō)，他們還沒(méi)有真正地意識(shí)到這種危險(xiǎn)。對(duì)于我們來(lái)說(shuō)，這有點(diǎn)恐怖，這就是在產(chǎn)品發(fā)布以前，我們大費(fèi)周章地讓客戶認(rèn)識(shí)到這個(gè)問(wèn)題，并且給他們提供一些防止數(shù)據(jù)泄露的工具的原因。

#p#

解決IaaS(Infrastructure as a Service)的數(shù)據(jù)泄露問(wèn)題

這個(gè)問(wèn)題主要有兩種方法可以解決。第一種方法是設(shè)法確保任何機(jī)密的數(shù)據(jù)都是加密保存在操作系統(tǒng)中的，或者是設(shè)法確保整個(gè)操作系統(tǒng)/文件結(jié)構(gòu)都是完全加密的。在大多數(shù)Linux發(fā)行版中，這個(gè)工作可以使用LVM（Logical Volume Manager，具體可以參考維基百科中的說(shuō)明：http://en.wikipedia.org/wiki/Logical_Volume_Manager_%28Linux%29）來(lái)完成。對(duì)于Windows環(huán)境來(lái)說(shuō)，這個(gè)工作可以使用像Truecrypt（具體可以參考：http://www.truecrypt.org/）那樣的產(chǎn)品來(lái)完成。一個(gè)好消息是這種方法可以發(fā)揮作用。加密不能避免數(shù)據(jù)泄露的問(wèn)題，它只可以確保那些泄露的數(shù)據(jù)對(duì)于其他人來(lái)說(shuō)是完全沒(méi)有意義的，同時(shí)，也是完全不可用的。

用這種方法在云服務(wù)器中進(jìn)行加密主要有兩個(gè)弊端。首先，要進(jìn)行加密，需要依靠客戶的努力，在一個(gè)由多個(gè)服務(wù)器組成的動(dòng)態(tài)的云環(huán)境中，頻繁地進(jìn)行加密和解密是行不通的。其次，如果一個(gè)使用這種方法加密的服務(wù)器崩潰了，重啟它需要客戶的人工干預(yù)才能輸入必要的密碼，訪問(wèn)加密的數(shù)據(jù)。在現(xiàn)實(shí)中，對(duì)于大多數(shù)用戶來(lái)說(shuō)，這樣一種方法并不太可行，這會(huì)對(duì)計(jì)算造成嚴(yán)重的干擾。

解決這個(gè)問(wèn)題的第二種方法是在提供商層面解決這個(gè)問(wèn)題。保存一個(gè)經(jīng)過(guò)完全加密的虛擬設(shè)備（例如：虛擬的硬盤(pán)驅(qū)動(dòng)器）是完全有可能的；這可以在云服務(wù)器層面上實(shí)現(xiàn)。這樣的話，可以把經(jīng)過(guò)完全的隱式加密的驅(qū)動(dòng)器保存在操作系統(tǒng)中，當(dāng)需要訪問(wèn)那些經(jīng)過(guò)加密的數(shù)據(jù)的時(shí)候，那些數(shù)據(jù)會(huì)被解密，然后發(fā)送到客戶正在訪問(wèn)的云服務(wù)器上。這種方法不需要人工干預(yù)，也不需要客戶進(jìn)行設(shè)置，對(duì)于服務(wù)器崩潰，重啟等情況，這種方法也十分“健壯”。

這就是CloudSigma幫助客戶避免數(shù)據(jù)泄露的方式。當(dāng)一個(gè)客戶創(chuàng)建一個(gè)新的驅(qū)動(dòng)器的時(shí)候（通過(guò)我們的API（具體可以參考：http://www.cloudsigma.com/en/platform-details/the-api）或Web控制臺(tái)（具體可以參考：http://www.cloudsigma.com/en/platform-details/intuitive-web-interface）），他們可以選擇是否加密保存這些數(shù)據(jù)。我們使用“256bit AES triple encryption cascade”（具體可以參考維基百科：http://en.wikipedia.org/wiki/Advanced_Encryption_Standard）來(lái)加密客戶標(biāo)記的所有驅(qū)動(dòng)器映像。在大多數(shù)情況下，性能方面的影響被限制在10%到15%之間。

從使用的角度來(lái)看，對(duì)于那個(gè)已經(jīng)解決了數(shù)據(jù)泄露問(wèn)題的云服務(wù)器來(lái)說(shuō)，它是透明的；那個(gè)云服務(wù)器會(huì)把那個(gè)驅(qū)動(dòng)器當(dāng)成是沒(méi)有經(jīng)過(guò)加密的，所以客戶不需要對(duì)那個(gè)服務(wù)器進(jìn)行修改。我們通常會(huì)建議客戶把想要保密的數(shù)據(jù)存儲(chǔ)到一個(gè)經(jīng)過(guò)加密的驅(qū)動(dòng)器上。你也可以使用我們的云服務(wù)器上的多個(gè)驅(qū)動(dòng)器，這就是說(shuō)，你可以創(chuàng)建一個(gè)系統(tǒng)驅(qū)動(dòng)器和一個(gè)數(shù)據(jù)驅(qū)動(dòng)器，然后只加密數(shù)據(jù)驅(qū)動(dòng)器。這意味著你可以很容易地對(duì)你的機(jī)密數(shù)據(jù)進(jìn)行控制，確保這些數(shù)據(jù)會(huì)被加密地存儲(chǔ)，以免發(fā)生數(shù)據(jù)泄露的問(wèn)題。我們認(rèn)為這種加密方式是公有云的基本需求，所有相關(guān)的服務(wù)的費(fèi)用都已經(jīng)包含在我們的定價(jià)里了。打算使用公有云服務(wù)的任何一個(gè)人都應(yīng)該搞清楚那個(gè)提供商是如何處理數(shù)據(jù)泄露問(wèn)題，保護(hù)你的機(jī)密數(shù)據(jù)的。

#p#

嗨，我的數(shù)據(jù)在哪里？

把數(shù)據(jù)遷移到云中會(huì)造成透明度的缺失——那些數(shù)據(jù)存儲(chǔ)在哪里，更重要的是誰(shuí)可以訪問(wèn)這些數(shù)據(jù)。和一些全球性的SaaS(Software as a service)產(chǎn)品（它們會(huì)被分發(fā)到不同的地方和行政區(qū)）比起來(lái)，IaaS(Infrastructure as a Service)云在這方面的問(wèn)題會(huì)更少一些。

作為一個(gè)IaaS(Infrastructure as a Service)云的客戶，搞清楚這些問(wèn)題是十分重要的：

這個(gè)云位于什么地方，隸屬于哪個(gè)行政區(qū)？

哪個(gè)公司在管理和控制云中的數(shù)據(jù)？

這個(gè)公司是在哪里成立的，它的管理和控制機(jī)構(gòu)在哪里？

曾經(jīng)把數(shù)據(jù)從云所在的地方傳輸?shù)狡渌胤絾?？如果有的話，是在什么情況下這樣做的？

在某種程度上，這些問(wèn)題的答案可以用來(lái)判斷把你的數(shù)據(jù)遷移到那個(gè)云提供商的提供的云中是否存在法律方面的問(wèn)題。對(duì)于我們自己來(lái)說(shuō)：

我們的云位于瑞士的蘇黎世，隸屬于瑞士司法系統(tǒng)的獨(dú)立行政區(qū)。

這個(gè)云是由CLOUDSIGMA公司管理的，注冊(cè)號(hào)碼是CH-020.3.034.422-0。

CLOUDSIGMA公司是一家瑞士的公司，是在蘇黎世州成立的。它的總部和管理機(jī)構(gòu)都在我們的主辦公樓里，這個(gè)辦公樓位于瑞士，蘇黎世州的Glattbrugg。

我們從來(lái)沒(méi)有把數(shù)據(jù)傳輸?shù)皆频耐饷?，不久，我們?huì)添加一些新的地點(diǎn)，但是，如果客戶不特意地把數(shù)據(jù)傳輸?shù)酵饷娴脑?，所有?shù)據(jù)還是會(huì)保存在每個(gè)云原來(lái)所在的地方。

#p#

避免數(shù)據(jù)鎖定

你可能會(huì)認(rèn)為這和安全性沒(méi)有太大的關(guān)系，但是這種讓你的數(shù)據(jù)自由進(jìn)出云的能力會(huì)對(duì)數(shù)據(jù)的管理和控制造成直接的影響。把數(shù)據(jù)放到一個(gè)公有云中以前，首先要明確的是有什么合適的流程可以讓你把數(shù)據(jù)遷移出去。需要關(guān)注的主要特性是：

一個(gè)定義清晰，明確的數(shù)據(jù)遷移流程

低成本或零成本的遷移

為了馬上可以重用，數(shù)據(jù)可以用有意義的，可用的格式提取出來(lái)。

在做出投資決策，要遷移到我們的云中以前，要搞清楚再次遷出那些數(shù)據(jù)所必需的投資！

對(duì)于CloudSigma來(lái)說(shuō)，這些問(wèn)題已經(jīng)解決了，我們的主要遷移路徑是通過(guò)我們的驅(qū)動(dòng)器映像FTP，經(jīng)由SSL網(wǎng)關(guān)來(lái)遷移數(shù)據(jù)。這可以讓我們的客戶直接連接到他們?cè)谠浦兴接械尿?qū)動(dòng)器映像庫(kù)，用RAW ISO格式上傳或下載驅(qū)動(dòng)器映像。這還可以讓客戶使用一個(gè)標(biāo)準(zhǔn)的，成熟的協(xié)議（不會(huì)修改數(shù)據(jù)的結(jié)構(gòu)），從我們的云中提取他們的全部數(shù)據(jù)。開(kāi)源或私有的解決方案都可以使用RAW ISO格式的驅(qū)動(dòng)器映像，實(shí)際上，你甚至可以把它燒錄到物理硬件上。我們按照統(tǒng)一的標(biāo)準(zhǔn)來(lái)收費(fèi)，輸出每GB數(shù)據(jù)的費(fèi)用是CHF0.065/ US$0.0585 /EUR0.0455。例如，一個(gè)非常大的1TB的驅(qū)動(dòng)器映像可以免費(fèi)上傳到我們的云中，遷移的成本是59.90美金。它的最大優(yōu)勢(shì)是，客戶可以通過(guò)FTP，快速地把驅(qū)動(dòng)器映像從我們的云遷移到另外一個(gè)主機(jī)提供商或云中。

總結(jié)

客戶教育和提供商的開(kāi)放性都是不可或缺的，這可以讓和云環(huán)境中的數(shù)據(jù)存儲(chǔ)有關(guān)的討論變得更加透明。雖然存在一些問(wèn)題，但是有一些解決方案可以解決它們，在云中實(shí)現(xiàn)真正意義上的數(shù)據(jù)安全。關(guān)于數(shù)據(jù)處理/存儲(chǔ)，客戶應(yīng)該問(wèn)一些明智的，合理的問(wèn)題，同時(shí)，提供商應(yīng)該給出完整的，誠(chéng)實(shí)的答案。

原文名：Securing your data in the cloud: an insider's perspective from an IaaS vendor 作者：cloudsigma

【本文乃51CTO精選譯文，轉(zhuǎn)載請(qǐng)注明出處！】

【編輯推薦】