高彥 陳曉燕

摘要：隨著科技的發(fā)展，云計算已經(jīng)廣泛應用于各個領(lǐng)域，不僅可以高效采集、傳輸、處理海量數(shù)據(jù)，還可以通虛擬化技術(shù)提高資源的利用率，為用戶提供高性能的服務(wù)。如此重要的云計算，其安全管理問題就成了重中之重，只有保證云計算平臺的安全，才能保證信息系統(tǒng)和數(shù)據(jù)的安全。

關(guān)鍵詞：云計算;訪問控制;安全監(jiān)控;補丁漏洞

中圖分類號：TP393.08? 文獻標識碼：A? 文章編號：1672-9129（2020）02-0024-01

Abstract： With the development of science and technology， cloud computing has been widely used in various fields. It can not only efficiently collect， transmit and process massive data， but also improve the utilization rate of resources through virtualization technology to provide users with high-performance services. Such an important cloud computing， its security management has become the top priority， only to ensure the security of cloud computing platform， to ensure the security of information system and data.

Key words： cloud computing; Access control; Safety monitoring; Patch holes

引言：云計算安全管理是指通過一定安全技術(shù)措施和管理手段，確保云計算資源的保密性、可用性、完整性、可控制性、抗抵賴性，保證不會導致云計算系統(tǒng)以及所含信息不會泄露或破壞。

1? 安全管理框架

從傳統(tǒng)上來看，安全管理在安全的網(wǎng)絡(luò)建設(shè)中發(fā)揮著重要作用。通過安全管理平臺，可以實現(xiàn)對安全設(shè)備的集中管理與控制、直觀的實時事件監(jiān)控、安全事件綜合分析，并能夠提供清晰全面的統(tǒng)計報告，方便用戶隨時掌控當前網(wǎng)絡(luò)安全狀況，在增強整網(wǎng)安全可視化的同時，通過集中的策略管理，簡化多臺設(shè)備安全策略部署工作，節(jié)省維護成本。其安全需求可由底向上可分為物理設(shè)備的安全性、網(wǎng)絡(luò)的安全性、平臺應用進程的安全性、數(shù)據(jù)信息的安全性和租戶身份授權(quán)與認證。同時根據(jù)每個層次的安全特性，有相應的安全管理技術(shù)來保證該層次的安全，由底向上分別是可用性管理、網(wǎng)關(guān)控制、安全監(jiān)控、恢復補丁漏洞安全和訪問控制。

2? 安全管理技術(shù)

2.1安全恢復機制、安全漏洞、補丁及配置?；謴蜋C制是保證服務(wù)可靠性和可用性的重要手段，是典型的事后反應機制。系統(tǒng)恢復是惡意軟件防御中的一個重要方向，可以采用回滾和重放技術(shù)，通過記錄進程內(nèi)存狀態(tài)以及進程與系統(tǒng)的交互關(guān)系實現(xiàn)回滾和重放，保證系統(tǒng)的安全性。漏洞管理可以幫助保護主機、網(wǎng)絡(luò)設(shè)備和應用程序避免遭針對已知的漏洞的攻擊。成熟機構(gòu)一般會建立完善的漏洞管理過程，其中包括對連接到機構(gòu)網(wǎng)絡(luò)的系統(tǒng)進行例行掃描、評估漏洞對機構(gòu)的風險、解決風險的加固過程。技術(shù)漏洞管理應當以有效、系統(tǒng)且可重復的方式實施，并采取側(cè)量措施以確保其有效性。這些考慮應將操作系統(tǒng)和其他使用的應用程序包含在內(nèi)。安全補丁管理與漏洞管理類似，在保護主機、網(wǎng)絡(luò)設(shè)備和應用程序進免未授權(quán)用戶針對已知漏洞的攻擊方面，安全補丁管理也是一個重要的威脅管理要素。補丁管理過程遵循變更管理框架，并直接從用戶漏洞管理程序得到反饋，從而降低來自機構(gòu)內(nèi)部和外部的威脅。安全配置管理可以保護主機和網(wǎng)絡(luò)設(shè)備免遭未收錢用戶利用配置弱點實施的攻擊。安全配置管理與漏洞管理程序密切相關(guān)，是整體安全配置管理的一部分。

2.2訪問控制。訪問控制管理為用戶和系統(tǒng)管理員提供一系列資源訪問管理功能，包括訪問網(wǎng)絡(luò)、系統(tǒng)和應用程序資源等。主要解決如下問題：一是用戶權(quán)限的分配;二是用戶工作職能和責任的權(quán)限分配;三是訪問權(quán)限的認證方法和認證強度;四是核實權(quán)限分配的審計和報告。在云計算中，網(wǎng)絡(luò)訪問控制表現(xiàn)為云計算防火墻策略，這個策略在云計算的出入口處執(zhí)行基于主機的訪問控制，并對云計算內(nèi)部的實例進行邏輯分組。通常是使用基于標準TCP/IP協(xié)議參數(shù)的策略實現(xiàn)，包括IP，源端口、目的IP及目的端口等。云計算的訪問控制與基于網(wǎng)絡(luò)的訪問控制相比，云計算用戶訪問控制尤為重要，因為它是將用戶身份與云計算資源綁定在一起的重要手段。通過對用戶身份的訪問控制，可以確保其真實身份，防止惡意用戶違規(guī)使用云計算平臺，保障云計算的安全。

2.3可用性管理。云計算服務(wù)也不可避免地會出現(xiàn)停機，停機的情況不同，影響用戶的嚴重程度和范圍也不同。計算服務(wù)的彈性和可用性取決于幾個因素：云計算服務(wù)提供商的數(shù)據(jù)中心架構(gòu)（負載均衡、網(wǎng)絡(luò)、系統(tǒng)）、應用程序架構(gòu)、主機位置冗余、多個互聯(lián)網(wǎng)服務(wù)提供商，以及數(shù)據(jù)存儲架構(gòu)等。對于云計算平臺系統(tǒng)，通過虛擬機HA熱遷移高可用性技術(shù)，可以避免因”計劃內(nèi)停機”而導致業(yè)務(wù)中斷。通過監(jiān)控主機IPMI數(shù)據(jù)，在物理機出現(xiàn)故障預警時動態(tài)遷移該節(jié)點上的虛擬機至健康的主機節(jié)點上。采用虛擬內(nèi)存同步技術(shù)和IO多路徑熱轉(zhuǎn)移技術(shù)，實現(xiàn)客戶虛擬機系統(tǒng)在冗余的物理機節(jié)點間雙活同步運行，即使是計劃外停機，運行在上面的虛擬機遷移恢復時間也可以控制在幾分鐘以內(nèi)，保障業(yè)務(wù)連續(xù)運行。

2.4網(wǎng)關(guān)控制。網(wǎng)關(guān)控制是為用戶提供了一個控制點，讓用戶能夠很好地控制用戶與“云”的連接以及“云”環(huán)境中和企業(yè)數(shù)據(jù)中心內(nèi)應用訪問的安全防護。虛擬化環(huán)境下的安全網(wǎng)關(guān)要針對云計算復雜環(huán)境的綜合防御系統(tǒng)，融合遠程安全接入、安全訪問控制、抗拒絕服務(wù)攻擊、入侵防御、Web安全等技術(shù)，具備檢測、分析、決策、響應相結(jié)合的聯(lián)動防御能力，有效抵御來自物理硬件層、虛擬層、調(diào)度管理層、應用層等各個層次的威脅。通過網(wǎng)關(guān)控制，可以更好地保障云計算網(wǎng)絡(luò)的安全特性，使安全攻擊被網(wǎng)關(guān)阻隔在云計算之外，更大程度上保障內(nèi)部數(shù)據(jù)的安全。

2.5安全監(jiān)控。監(jiān)控是租戶及時知曉服務(wù)狀態(tài)以及提供商了解系統(tǒng)運行狀態(tài)的必要手段，可以為系統(tǒng)安全運行提供數(shù)據(jù)支撐。常見的監(jiān)控機制包括軟件內(nèi)部監(jiān)控和虛擬化環(huán)境監(jiān)控兩種。云計算安全監(jiān)控與傳統(tǒng)軟件運行環(huán)境不同，云計算分布式、去中心化的等特性對軟件監(jiān)測技術(shù)帶來了挑戰(zhàn)，監(jiān)控系統(tǒng)應提供對并行和云計算分布式系統(tǒng)的運行時監(jiān)控支持，通過跟蹤運行時軟件調(diào)用路徑的方法，進行系統(tǒng)性能瓶頸的分析，達到軟件內(nèi)部安全問題的監(jiān)控。在日常維護過程中，可以將安全監(jiān)控工具部署在hypervisor中，能夠?qū)崿F(xiàn)對每臺再用的虛擬機的運行情況、內(nèi)在屬性使用率、動態(tài)遷移性能和安全狀態(tài)的監(jiān)控，在出現(xiàn)負載過大或收到安全攻擊時可以及時的得到信息從而采取相關(guān)措施來對虛擬機進行保護。

參考文獻：

[1]倪志宏. 基于云計算的網(wǎng)絡(luò)安全及管理應用研究[J]. 電腦知識與技術(shù)：學術(shù)交流（5期）：3021-3022.