李亮

摘? 要：云計(jì)算在各行各業(yè)的應(yīng)用中極為廣泛，也為各個(gè)行業(yè)的發(fā)展做出巨大的貢獻(xiàn)，而在其使用的過(guò)程中，卻存在一定的安全問(wèn)題，影響到云計(jì)算中IaaS的正常使用，例如，存儲(chǔ)、主機(jī)、網(wǎng)絡(luò)等方面的安全問(wèn)題，對(duì)用戶的影響頗大，對(duì)此，需不斷改進(jìn)和完善云技術(shù)。該文主要對(duì)云計(jì)算中IaaS的安全問(wèn)題及應(yīng)對(duì)策略進(jìn)行分析。

關(guān)鍵詞：云計(jì)算? IaaS? 安全問(wèn)題? 應(yīng)對(duì)策略

中圖分類號(hào)：TN918? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1672-3791（2019）04（a）-0007-02

近些年來(lái)，云計(jì)算逐漸普及，而且在云技術(shù)基礎(chǔ)上也興起了很多的公司，更給人們的生活、工作以及生產(chǎn)帶來(lái)極大的便利性，云計(jì)算的普及更是時(shí)代進(jìn)步最為突出的一個(gè)階段。雖然云計(jì)算給人們的生活以及生產(chǎn)等帶來(lái)極大的便利性，但同時(shí)在其運(yùn)行中也存在一定的弊端，主要體現(xiàn)在安全問(wèn)題上，很容易造成用戶數(shù)據(jù)泄漏、丟失、篡改等問(wèn)題，造成嚴(yán)重的負(fù)面影響，而筆者將結(jié)合自身對(duì)云計(jì)算中IaaS安全問(wèn)題的認(rèn)知，提出幾方面改進(jìn)策略，希望可以為技術(shù)人員提供一定的幫助。

1? laaS概述

IaaS英文全稱Infrastructure as a ServIce，是一種來(lái)源于云計(jì)算的一種服務(wù)模型。從云計(jì)算的運(yùn)用情況分析，并沒(méi)有對(duì)云計(jì)算做出統(tǒng)一的標(biāo)準(zhǔn)定義，云計(jì)算在不同企業(yè)以及不同專家的眼里都有著自己的定義。從廣義和狹義兩種角度對(duì)云計(jì)算進(jìn)行分析，云計(jì)算在狹義的角度上分析，主要指的IT基礎(chǔ)設(shè)施的交付以及相關(guān)的使用模式，并通過(guò)網(wǎng)絡(luò)的方式以按需、易擴(kuò)展等方式獲取所需要的資源，其中包括平臺(tái)、硬件、軟件等。而從廣義的角度上分析，云計(jì)算主要指的是服務(wù)的交付和使用模式，同樣是以網(wǎng)絡(luò)為基礎(chǔ)以按需、易擴(kuò)展的方式獲取相關(guān)的服務(wù)，結(jié)合不同行業(yè)不同企業(yè)的使用要求，可以采用不同的用法。通常IaaS主要分為公有云、私有云、混合云3種用法，在IaaS使用的過(guò)程中也存在一些安全漏洞，而這些也將成為云計(jì)算中IaaS使用要重點(diǎn)考慮的焦點(diǎn)。需要結(jié)合實(shí)際情況選用IaaS的用法，并制定較為完善的安全對(duì)策，將IaaS的作用充分發(fā)揮出來(lái)，為人們提供更優(yōu)質(zhì)的服務(wù)。

2? 云計(jì)算中的IaaS的安全問(wèn)題分析

2.1 存儲(chǔ)安全問(wèn)題

云計(jì)算中IaaS的使用主要面臨著虛擬化存儲(chǔ)安全問(wèn)題，在大量的實(shí)踐研究中，也發(fā)現(xiàn)云計(jì)算機(jī)中IaaS使用過(guò)程中存在一些虛擬化存儲(chǔ)安全問(wèn)題。例如，在未經(jīng)過(guò)授權(quán)的情況下進(jìn)行數(shù)據(jù)訪問(wèn)的現(xiàn)象。虛擬化存儲(chǔ)主要是通過(guò)一個(gè)物理存儲(chǔ)設(shè)備實(shí)現(xiàn)多個(gè)用戶的虛擬化存儲(chǔ)要求，也可以將其比作一個(gè)集中管理的系統(tǒng)。根據(jù)用戶之間使用的差異性以及安全等級(jí)的不同，會(huì)將一些用戶分配到同一個(gè)物理存儲(chǔ)設(shè)備上，這就導(dǎo)致在用戶未授權(quán)的情況下存在虛擬機(jī)訪問(wèn)數(shù)據(jù)的情況，進(jìn)而造成存儲(chǔ)數(shù)據(jù)泄漏或丟失等現(xiàn)象。其他存儲(chǔ)數(shù)據(jù)泄漏問(wèn)題。用戶在使用虛擬存儲(chǔ)空間的過(guò)程中，根據(jù)用戶的需求而租用虛擬存儲(chǔ)空間，在用戶租期到后這部分的物理儲(chǔ)存空間將會(huì)被釋放并給其他用戶繼續(xù)使用。而在空間釋放的過(guò)程中，如果原用戶的數(shù)據(jù)并未被完全刪除，則會(huì)出現(xiàn)新用戶會(huì)讀取到原用戶的數(shù)據(jù)，造成數(shù)據(jù)泄漏的問(wèn)題。如果是殘留一些機(jī)密信息文件等，所造成的后果不堪設(shè)想，將會(huì)給用戶帶來(lái)極大的損失。

2.2 主機(jī)安全問(wèn)題

主機(jī)是云計(jì)算機(jī)中IaaS的核心，主機(jī)的安全性倍受關(guān)注。在大量的實(shí)踐分析中發(fā)現(xiàn)，IaaS運(yùn)行過(guò)程中虛擬主機(jī)存在一定安全風(fēng)險(xiǎn)，如控制不得當(dāng)很容易引發(fā)更為嚴(yán)重的問(wèn)題。以下主要對(duì)IaaS的主機(jī)幾方面安全問(wèn)題進(jìn)行具體分析：虛擬機(jī)隔離失敗的現(xiàn)象，經(jīng)常會(huì)出現(xiàn)一臺(tái)虛擬機(jī)通過(guò)訪問(wèn)去控制另一臺(tái)虛擬機(jī)，或是具備讀取、分配給其他虛擬機(jī)內(nèi)存的權(quán)限，造成虛擬機(jī)的權(quán)限較為混亂，更不利于IaaS穩(wěn)定運(yùn)行。通常虛擬機(jī)與宿主機(jī)是共享資源的，而在一些特定的情況下，如虛擬機(jī)強(qiáng)制占用過(guò)多的資源，這時(shí)就會(huì)出現(xiàn)其他虛擬機(jī)拒絕服務(wù)的情況，進(jìn)而影響到IaaS的穩(wěn)定運(yùn)行，也影響到云計(jì)算的正常功能。此外，IaaS運(yùn)行過(guò)程中還存在虛擬機(jī)系統(tǒng)模板被篡改的情況，尤其是存在一些被惡意篡改的現(xiàn)象，其主機(jī)下所派生的虛擬機(jī)也會(huì)受到不同程度的影響，進(jìn)而造成整個(gè)云計(jì)算系統(tǒng)運(yùn)行中出現(xiàn)較大的安全漏洞，甚至還會(huì)受到黑客的攻擊，會(huì)利用虛擬機(jī)入侵宿主機(jī)的情況，更為嚴(yán)重的可能會(huì)控制宿主機(jī)，進(jìn)而對(duì)派生的虛擬機(jī)造成嚴(yán)重的影響，后果非常嚴(yán)重。

2.3 網(wǎng)絡(luò)安全問(wèn)題

云計(jì)算中IaaS的使用中，網(wǎng)絡(luò)是虛擬機(jī)運(yùn)行必不可少的因素，更是保證主機(jī)以及虛擬機(jī)等相互通信的主要通道。在科學(xué)技術(shù)飛速發(fā)展中，云計(jì)算技術(shù)的發(fā)展也極為迅速，但同時(shí)網(wǎng)絡(luò)黑客的攻擊水平也在提升，可通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)主機(jī)或虛擬機(jī)進(jìn)行攻擊，進(jìn)而影響到虛擬化網(wǎng)絡(luò)的正常使用，而其中潛在的風(fēng)險(xiǎn)也會(huì)威脅到虛擬機(jī)以及主機(jī)的正常使用。另外，在對(duì)網(wǎng)絡(luò)流量控制不合理的情況下，也會(huì)直接影響到虛擬化網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，不能全面掌控網(wǎng)絡(luò)的運(yùn)行狀態(tài)，致使無(wú)法對(duì)其中潛在的風(fēng)險(xiǎn)隱患采取處理措施。

3? 云計(jì)算中IaaS安全問(wèn)題的應(yīng)對(duì)策略分析

3.1 虛擬存儲(chǔ)安全問(wèn)題的應(yīng)對(duì)策略

通過(guò)以上的分析以及大量的實(shí)踐研究中了解到，云計(jì)算中IaaS使用的過(guò)程中存在虛擬存儲(chǔ)安全問(wèn)題，直接影響到用戶數(shù)據(jù)的安全性，甚至?xí)斐纱罅繑?shù)據(jù)出現(xiàn)泄漏、被篡改等現(xiàn)象。對(duì)此，需要結(jié)合云計(jì)算中IaaS的實(shí)際使用情況，采取有效的應(yīng)對(duì)策略，確保計(jì)算機(jī)中IaaS使用時(shí)虛擬存儲(chǔ)的安全性、可靠性，為用戶提供更全面的體驗(yàn)。首先，應(yīng)運(yùn)用技術(shù)實(shí)現(xiàn)存儲(chǔ)區(qū)域分離，主要按照存儲(chǔ)區(qū)域的數(shù)據(jù)情況進(jìn)行分離，如數(shù)據(jù)的作用、重要性等，并將其作為分離技術(shù)將存儲(chǔ)區(qū)域劃分為基礎(chǔ)區(qū)域、公共區(qū)域、專用區(qū)域等幾個(gè)存儲(chǔ)區(qū)域，滿足用戶的不同存儲(chǔ)需求。同時(shí)，應(yīng)對(duì)虛擬機(jī)的權(quán)限進(jìn)行調(diào)整，禁止在虛擬機(jī)直接通過(guò)IO操作訪問(wèn)未授權(quán)的存儲(chǔ)區(qū)域，避免用戶數(shù)據(jù)泄漏，保證用戶數(shù)據(jù)存儲(chǔ)的安全性、可靠性。其次，做好數(shù)據(jù)清除工作。主要體現(xiàn)在租戶存儲(chǔ)空間回收的環(huán)節(jié)，在回收一些租戶存儲(chǔ)空間的過(guò)程中，應(yīng)保證存儲(chǔ)空間釋放的完全性，徹底清除原租戶的數(shù)據(jù)，并保證原租戶數(shù)據(jù)不能恢復(fù)，避免出現(xiàn)原租戶信息數(shù)據(jù)丟失的現(xiàn)象。再次，應(yīng)做好虛擬機(jī)徑向校驗(yàn)的工作，尤其是在虛擬機(jī)運(yùn)行的過(guò)程中，應(yīng)對(duì)其完整性進(jìn)行校驗(yàn)，避免虛擬機(jī)在運(yùn)行的過(guò)程中受到而已篡改的現(xiàn)象，確保虛擬機(jī)的正常使用。最后，在虛擬存儲(chǔ)安全方面，應(yīng)通過(guò)運(yùn)用數(shù)據(jù)加密技術(shù)的方式對(duì)數(shù)據(jù)實(shí)施加密保存，在進(jìn)行數(shù)據(jù)訪問(wèn)的過(guò)程中，需要具備相應(yīng)的密鑰才可進(jìn)行訪問(wèn)，進(jìn)一步保證數(shù)據(jù)存儲(chǔ)的安全性、可靠性，有效規(guī)避虛擬存儲(chǔ)安全問(wèn)題。

3.2 虛擬主機(jī)安全問(wèn)題的應(yīng)對(duì)策略

云計(jì)算中IaaS運(yùn)行應(yīng)保證其運(yùn)行的安全性、可靠性，才能為用戶提供更全面的云體驗(yàn)，尤其是主機(jī)的安全性直接影響到派生虛擬機(jī)的使用安全性，因此，應(yīng)通過(guò)有效的措施保證虛擬主機(jī)的安全性。首先，應(yīng)做好內(nèi)存隔離，針對(duì)不同虛擬機(jī)采取內(nèi)存隔離措施，主要通過(guò)內(nèi)存虛擬化技術(shù)來(lái)完成不同虛擬機(jī)之間的內(nèi)存隔離，可有效避免虛擬機(jī)對(duì)主機(jī)的影響。另外，應(yīng)通過(guò)IO操作實(shí)現(xiàn)磁盤隔離，確保每個(gè)虛擬機(jī)在使用的過(guò)程中僅能訪問(wèn)到該虛擬機(jī)分配的物理磁盤，實(shí)現(xiàn)從硬盤的隔離。其次，應(yīng)通過(guò)用戶數(shù)據(jù)的隔離確保主機(jī)運(yùn)行的安全性。采用IO操作，并由HypervIsor截獲并對(duì)IO操作進(jìn)行處理，通過(guò)核實(shí)用戶訪問(wèn)權(quán)限，確保沒(méi)有訪問(wèn)全新的用戶不能訪問(wèn)相關(guān)數(shù)據(jù)，僅能訪問(wèn)自己領(lǐng)域下的磁盤空間，確保虛擬機(jī)之間的硬盤隔離。再次，應(yīng)實(shí)施網(wǎng)絡(luò)隔離，針對(duì)同一物理主機(jī)上派生的所有虛擬機(jī)之間的通信進(jìn)行隔離，利用HypervIsor提供虛擬防火墻，確保2臺(tái)虛擬機(jī)不會(huì)處在同一VIAN，確保虛擬機(jī)之間通信隔離的有效性，避免對(duì)主機(jī)的影響。最后，應(yīng)加強(qiáng)對(duì)主機(jī)運(yùn)行操作審計(jì)工作。從就某個(gè)角度上分析，在主機(jī)運(yùn)行操作中管理員應(yīng)建立審計(jì)員的角色，并針對(duì)主機(jī)中所運(yùn)行操作的日志進(jìn)行全面的分析，并就虛擬機(jī)的管理員登錄以及相關(guān)操作和使用系統(tǒng)命令等操作進(jìn)行全面的審計(jì)，及時(shí)發(fā)現(xiàn)操作中的問(wèn)題，以便于采取針對(duì)性的處理措施，同時(shí)也能從操作的審計(jì)中了解到主機(jī)的運(yùn)行狀態(tài)，以便于及時(shí)發(fā)現(xiàn)潛藏的風(fēng)險(xiǎn)因素，進(jìn)而保證虛擬主機(jī)運(yùn)行的安全性。

3.3 虛擬網(wǎng)絡(luò)安全問(wèn)題的應(yīng)對(duì)策略

結(jié)合以上的分析，針對(duì)虛擬網(wǎng)絡(luò)安全問(wèn)題主要提出幾方面的應(yīng)對(duì)策略。首先，應(yīng)加強(qiáng)對(duì)端口的控制，如，對(duì)虛擬交換機(jī)的虛擬端口進(jìn)行限速，并通過(guò)設(shè)置參數(shù)的方式控制網(wǎng)絡(luò)帶寬、峰值帶寬等，實(shí)現(xiàn)對(duì)虛擬端口級(jí)別以及流量的全面控制，同時(shí)應(yīng)對(duì)虛擬機(jī)的網(wǎng)絡(luò)通信進(jìn)行控制，禁止虛擬機(jī)端口進(jìn)行網(wǎng)絡(luò)通信嗅探，避免影響到網(wǎng)絡(luò)運(yùn)行的安全性。可通過(guò)端口隔離、端口綁定等方式進(jìn)行控制。其次，應(yīng)強(qiáng)化虛擬防火墻的運(yùn)行水平，根據(jù)IaaS實(shí)際運(yùn)行情況，構(gòu)建虛擬防火墻，并通過(guò)防火墻實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制。最后，應(yīng)做好網(wǎng)絡(luò)安全預(yù)警策略，一旦系統(tǒng)檢測(cè)到攻擊，則立即實(shí)施清洗功能，及時(shí)消除攻擊風(fēng)險(xiǎn)，確保云計(jì)算平臺(tái)運(yùn)行的安全性、穩(wěn)定性。

4? 結(jié)語(yǔ)

綜上所述，在科學(xué)技術(shù)飛速發(fā)展中，云計(jì)算機(jī)技術(shù)的發(fā)展也極為迅速，并被廣泛應(yīng)用到各個(gè)行業(yè)的發(fā)展中，對(duì)推動(dòng)行業(yè)的發(fā)展以及進(jìn)步有著極大的作用。當(dāng)然，在對(duì)云計(jì)算中IaaS的運(yùn)行情況分析，其中依舊存在一定的安全問(wèn)題，影響到云計(jì)算系統(tǒng)的穩(wěn)定運(yùn)行。在該文的研究中，主要對(duì)云計(jì)算中IaaS安全問(wèn)題進(jìn)行剖析，同時(shí)結(jié)合具體問(wèn)題提出幾方面應(yīng)對(duì)策略，希望可以為相關(guān)技術(shù)人員提供一定的幫助，確保云計(jì)算中IaaS的安全性、穩(wěn)定性，為用戶提供安全、優(yōu)質(zhì)的服務(wù)環(huán)境。

參考文獻(xiàn)

[1] 李斌，李啟明.云計(jì)算中數(shù)據(jù)存儲(chǔ)安全的變色龍Hash認(rèn)證樹優(yōu)化審計(jì)[J].微電子學(xué)與計(jì)算機(jī)，2018，35（6）：1-6.

[2] 梁琦.云計(jì)算中使用容器技術(shù)的信息安全風(fēng)險(xiǎn)與對(duì)策分析[J].信息通信，2018（4）：192-193.

[3] 趙炎.IaaS性能隔離性測(cè)試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].中國(guó)科學(xué)技術(shù)大學(xué)，2016.

[4] 晏裕生.基于等級(jí)保護(hù)的云計(jì)算IaaS安全評(píng)估研究[D].北京交通大學(xué)，2016.

[5] 朱昭萌.IaaS環(huán)境中科學(xué)工作流關(guān)鍵技術(shù)研究[D].南京理工大學(xué)，2016.

[6] 呂曉鵬.IaaS云平臺(tái)Web負(fù)載測(cè)試框架的研究與應(yīng)用[D].中國(guó)科學(xué)院大學(xué)工程管理與信息技術(shù)學(xué)院，2015.