*云服务数据隔离技术杨勇1，王强2(1海军驻成都地区通信军事代表室，四川成都610041；2中国电子科技集团公司第三十研究所，四川成都610041)[摘要]目前云计算服务商已经可以提供相当可靠稳定以及维护方便的主机服务，网络和数据资源开始往少数的云计算服务商集中，但数据与资源的集中会带来诸如和其他租户共享基础设施等问题，数据的安全和可靠性完全依赖于云服务商提供的基础设施，这些问题使得用户对采用以云为基础的各种服务有很大的担忧。要解决这个问题，云计算服务商必须提供足够有效的资源和数据隔离措施。通过分析上述问题，文中提出一个名为OmniSep的解决方案，方案包含了一系列针对云计算多租户环境增强数据隔离的技术。[关键词]云计算；OmniSep；数据隔离；多租户[]TP309[文献标识码]A[]1009-8054(2012)02-057-03OmniSep:DataIsolationforCloudServicesYANGYong1，WANGQiang2(1MilitaryRepresentativeOfficeofNavyCommunicationinChengduDistrict，ChengduSichuan610041，China；2No.30InstituteofChinaElectronicTechnologyCorporation，ChengduSichuan610041，China)[Abstract]Nowadays，thecloudcomputingserviceprovideroffersopportunitiesforimprovingtheadministration，reliability，andmaintenanceofhostedservices，andnetworkresourcesanddatabegintheirconcentrationontoinasmallnumberofcloudserviceproviders.However，theconcentrationofdataandresourceswouldusuallyleadtovariousassociatedrisks，includingthesharingofunderlyinginfrastructurewithunknown(anduntrusted)tenants，andtheirsecuritycompletelyrelyontheunderlyinginfrastructureprovidedbytheserviceprovider.Thesesecurityrisksbringmuchworrytotheusersabouttheadoptionofcloud-basedservices.Fortacklingtheserisks，thecloudhostinginfrastructureshouldprovidestrongguaranteesforresourcesanddataisolation.Thispaper，basedonanalysisoftheaboveproblems，proposesasolution-OmniSep，acollectionoftechniquestoimprovedataisolationinmulti-tenantcloudcomputingenvironment.[Keywords]cloudcomputing；OmniSep；dataisolation；multi-tenant将不正确的数据和网络隔离(ImproperDataandNetworkIsolation)[2]列为云计算的首要安全威胁之一。恶意用户可以相对比较容易地攻击其他使用同一平台的用户，特别是目前的云服务建立门槛已经很低，一些新手程序员可以通过GoogleApp等建立自己的云服务[3]，其代码的安全性通常没有得到良好的审查。目前，阻止这些攻击还未有良好的解决办法[4-5]，即便部署了数据防泄露系统，也无法阻止云服务上的敏感信息泄露[6-7]。技术手段的缺乏使得黑客和恶意的内部人员的攻击日益增加、数据合规性的监管增强、云计算时代大型数据中心安全管理日益复杂，如何控制、保护和监视高价值的业务数据，成为所有数据提供商和用户面对的重要问题[8]，因此迫切需要一套可视性的、有效控制的数据安全隔离办法。这里提出一个名为OmniSep的数据隔离技术解决方案，使得云服务提供者可以把安全作为一种服务提供出来保护云中租户的数据，即便这个租户自身运行的软件和0引言由于云计算对资源的充分高效利用能大幅降低计算成本，从而大大增强了计算灵活性。云计算概念从2008年被提出开始已经得到越来越广泛的应用，越来越多的企业组织机构开始把计算平台向云迁移。在这个过程中人们最关注的无疑是云的安全问题，尤其是在云的多租户环境中，大量用户共享同样的基础设施和网络，如何在这种环境下保证用户数据的安全和隐私，是一个比较严峻的问题。云安全联盟(CloudSecurityAlliance)[1]已经收稿日期：2012-01-10作者简介：杨勇，1978年生，男，工程师，研究方向：信息安全；王强，1981年生，男，工程师，研究方向：信息安全、云计算安全。*基金项目：保密通信重点实验室基金资助项目(编号：9140C1104011003)。服务不安全，OmniSep也能确保其数据的安全。OmniSep通过增强云服务提供商的虚拟机管理器[9](如XenServer、VMwareESXi等)并修改部分客户机操作系统来实现数据的隔离，...