何冰

本章為相關(guān)技術(shù)分析，對各個云平臺安全防護(hù)技術(shù)進(jìn)行了總結(jié)和分析，主要包括Amazon Web Service、微軟 Azure和Google Cloud。由于傳統(tǒng)的網(wǎng)絡(luò)安全方案在開放的云計算平臺上有很多的不適應(yīng)，加上云計算平臺的復(fù)雜架構(gòu)和技術(shù)使得云計算平臺的安全一直都沒有較為成熟的方案。

【關(guān)鍵詞】云平臺 多層次網(wǎng)絡(luò)安全防護(hù) 面向切面

1 云平臺服務(wù)模型

云計算就是通過大規(guī)模的分布式計算為消費者提供相關(guān)服務(wù)，云平臺由集群的虛擬化計算機(jī)組成，通過統(tǒng)一的接口以面向服務(wù)的形式為用戶提供服務(wù)，在現(xiàn)階段，云計算平臺提出了三種服務(wù)模式，即基礎(chǔ)設(shè)施即服務(wù)、平臺即服務(wù)和軟件即服務(wù)，基礎(chǔ)設(shè)施即服務(wù)提供包括數(shù)據(jù)處理、存儲等服務(wù)，平臺即服務(wù)提供給用戶按自身需求在云服務(wù)提供商的平臺上構(gòu)建主機(jī)應(yīng)用，軟件即服務(wù)軟件即服務(wù)即通過云平臺使用軟件服務(wù)提供商提供的服務(wù)。

2 云平臺安全概述

云平臺的搭建是需要很多支撐技術(shù)的，如：主流操作系統(tǒng)文件、加密通信技術(shù)、身份認(rèn)證技術(shù)、虛擬化技術(shù)和開源代碼庫等，還需要各種基本組件、核心組件等。云平臺如此眾多的支撐技術(shù)，相關(guān)的漏洞這個剛被堵塞，另一個新的漏洞又被發(fā)現(xiàn)，漏洞總是難以避免的，這就要求一個多層次的云平臺安全防護(hù)體系是必要的，以使云平臺某個漏洞被利用，某層防護(hù)被突破的時候卻無法突破云平臺下一層的安全防護(hù)。

云平臺除了復(fù)雜的架構(gòu)和眾多的支撐技術(shù)容易出現(xiàn)漏洞以外，云平臺對外提供的大量開放式服務(wù)也為云平臺的安全防護(hù)帶來很大的挑戰(zhàn)，例如，用戶上傳自己的服務(wù)代碼和數(shù)據(jù)、用戶需要網(wǎng)絡(luò)連接、用戶需要訪問磁盤、用戶需要使用數(shù)據(jù)庫等等，這些都是云平臺提供的對外開放式服務(wù)，云平臺的安全防護(hù)需要多層次的防護(hù)同時還需要能夠靈活的配置和功能擴(kuò)展。

3 云平臺安全防護(hù)技術(shù)分析

目前主流的云平臺主要有亞馬遜的 Web Service、谷歌的 Cloud以及微軟的Azure等，我國在這方面雖然有些落后，但也出現(xiàn)了阿里云、新浪SAE等綜合云服務(wù)平臺。本節(jié)主要分析一下這些主流云平臺的安全防護(hù)策略。

3.1 亞馬遜Web Service

亞馬遜Web Service云計算平臺是現(xiàn)階段市場占有率最大的云計算平臺，其防護(hù)策略主要包括以下幾個主要方面： Https安全網(wǎng)絡(luò)通信技術(shù)用以保證用戶和云平臺之間的網(wǎng)絡(luò)通信安全；防火墻規(guī)則用于防范拒絕服務(wù)攻擊等，另外，防火墻規(guī)則可由用戶自行設(shè)定從而使用戶可自行靈活配置訪問策略；亞馬遜的AWS通過 Identity and Access Management （IAM）授權(quán)管理工具來對用戶的訪問進(jìn)行管理；多重認(rèn)證；允許用戶創(chuàng)建私有子網(wǎng)，私有子網(wǎng)的網(wǎng)絡(luò)安全防護(hù)可由用戶自行設(shè)置，這是額外增加的一層安全防護(hù)；支持用戶數(shù)據(jù)加密和密鑰管理，另外還可對密鑰進(jìn)行加密存儲Trusted Advisor服務(wù)監(jiān)控用于監(jiān)控用戶操作和云平臺資源、配置可能存在的漏洞；支持專用數(shù)據(jù)連接。

3.2 各平臺安全防護(hù)總結(jié)和分析

綜合分析亞馬遜的AWS，微軟的Azure和谷歌的 Cloud的云安全防護(hù)措施，它們都擁有很多的共性，都是提供鏡像隔離機(jī)制和一些已有的安全技術(shù)進(jìn)行安全防護(hù)，對某些關(guān)鍵點加強(qiáng)防護(hù)。這些防護(hù)措施已經(jīng)能起到很好的效果，有一定的多層次深度防御特性，但也存在不少缺點：

（1）亞馬遜的AWS，微軟的Azure和谷歌的 Cloud都使用了大量的支撐技術(shù)和開源代碼，這些支撐技術(shù)和開源代碼大多未考慮在云計算場景下的安全需求，這就使得在云計算場景下，這些支撐技術(shù)和開源代碼本身就存在一些漏洞，有的漏洞還未被發(fā)現(xiàn)，云計算平臺在未來有可能會因為這些漏洞被逐漸發(fā)現(xiàn)而受到攻擊，也就是說，云計算平臺應(yīng)該對這些支撐技術(shù)進(jìn)行改進(jìn)以使其適應(yīng)開放的云計算平臺；

（2）傳統(tǒng)的安全防護(hù)方案在云計算平臺下有些可以直接使用，但有的并不能直接適用，從安全模式來看，在云環(huán)境下，每一個節(jié)點都可能會受到攻擊，而對傳統(tǒng)網(wǎng)絡(luò)安全來說，一般有防火墻和入侵檢測就能夠滿足要求。從數(shù)據(jù)存儲來看，在云環(huán)境下，數(shù)據(jù)存儲在云端比在內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)安全更加難以控制。從技術(shù)差異來看，云平臺是建立在虛擬化技術(shù)基礎(chǔ)之上的，而傳統(tǒng)網(wǎng)絡(luò)是沒有虛擬化技術(shù)的。傳統(tǒng)企業(yè)安全防護(hù)方案重在對通信安全防護(hù)和阻止外部攻擊，對于來自內(nèi)部其他用戶的隔離防護(hù)以及內(nèi)部人員的惡意攻擊行為防護(hù)較少。

4 結(jié)語

本章為相關(guān)技術(shù)分析，對各個云平臺安全防護(hù)技術(shù)進(jìn)行了總結(jié)和分析，主要包括Amazon Web Service、微軟 Azure和Google Cloud。

云計算就是通過大規(guī)模的分布式計算為消費者提供相關(guān)服務(wù)，云平臺由集群的虛擬化計算機(jī)組成，通過統(tǒng)一的接口以面向服務(wù)的形式為用戶提供服務(wù)，在現(xiàn)階段，云計算平臺提出了三種服務(wù)模式，即基礎(chǔ)設(shè)施即服務(wù)、平臺即服務(wù)和軟件即服務(wù)，基礎(chǔ)設(shè)施即服務(wù)提供包括數(shù)據(jù)處理、存儲等服務(wù)，平臺即服務(wù)提供給用戶按自身需求在云服務(wù)提供商的平臺上構(gòu)建主機(jī)應(yīng)用，軟件即服務(wù)即通過云平臺使用軟件服務(wù)提供商提供的服務(wù)。

當(dāng)前，基礎(chǔ)設(shè)施即服務(wù)，平臺即服務(wù)，軟件即服務(wù)之間的界限已經(jīng)越來越模糊，三種模型有日趨融合之勢，云服務(wù)商大多也開始從提供單一服務(wù)向提供多種服務(wù)轉(zhuǎn)變。綜合的云平臺比單一的云平臺面臨更多的安全問題，任何一個組件或者支撐技術(shù)出現(xiàn)安全問題都可能會影響到整個云平臺的安全。

參考文獻(xiàn)

[1]李程遠(yuǎn).云平臺信息安全整體保護(hù)技術(shù)研究[J].信息安全與技術(shù)，2011（09）：1-5.

[2]孔丹.基于云平臺的安全審計系統(tǒng)設(shè)計與實現(xiàn)[J].信息安全與通信保密，2013（10）：6.

[3]吳文典.云平臺信息安全整體保護(hù)技術(shù)研究[J].信息安全與技術(shù)，2014（02）：12-13.

[4]LM Kaufman.Data security in the world of cloud computing. Security & Privacy，2009，14（01）：33-38.

作者單位

東北師范大學(xué) 吉林省長春市 130000