周朝霞

（溫州廣播電視大學(xué) 浙江 溫州 325000）

0 引言

隨著科學(xué)技術(shù)的飛速發(fā)展，計(jì)算機(jī)信息技術(shù)已經(jīng)在各行各業(yè)中得到了廣泛的應(yīng)用。云計(jì)算是指用戶在相同的門戶上獲取信息和資源，不需要對(duì)設(shè)備、時(shí)間和地點(diǎn)進(jìn)行任何的需求，從而能夠有效地利用資源[1]。但是，隨著云計(jì)算技術(shù)的飛速發(fā)展，人們對(duì)網(wǎng)絡(luò)安全的要求也隨之提高，比如黑客入侵、病毒入侵、信息泄露等。所以，云計(jì)算時(shí)代來臨，計(jì)算機(jī)網(wǎng)絡(luò)的安全問題也日益引起人們的關(guān)注。

1 云計(jì)算網(wǎng)絡(luò)安全

1.1 云計(jì)算網(wǎng)絡(luò)安全基本特征

在計(jì)算機(jī)技術(shù)與資訊經(jīng)濟(jì)的飛速發(fā)展下，云計(jì)算已成為一種商業(yè)發(fā)展的方式，在我國的很多互聯(lián)網(wǎng)公司中，比如阿里巴巴和騰訊都有很好的應(yīng)用前景。在云計(jì)算的時(shí)代，其基本特點(diǎn)是：一是完整，收集使用者的個(gè)人資料和行為資料，并加以儲(chǔ)存，在未經(jīng)使用者許可的情況下，不得擅自刪除或銷毀資料。二是隱私，當(dāng)用戶在使用某個(gè)產(chǎn)品時(shí)，需要根據(jù)用戶的約定將相關(guān)的信息上傳；但是，有些資料只能被網(wǎng)絡(luò)公司搜集，處于外部機(jī)密的狀態(tài)，未經(jīng)使用者同意，不得與有關(guān)單位共享。三是可操作性，對(duì)于云計(jì)算來說，需要大量的數(shù)據(jù)，其價(jià)值體現(xiàn)在數(shù)據(jù)的計(jì)算和處理上。在云計(jì)算的環(huán)境中，數(shù)據(jù)是一種寶貴的資源，應(yīng)該在用戶的許可下進(jìn)行使用和處理[2]。

1.2 云計(jì)算網(wǎng)絡(luò)安全重要作用

在云計(jì)算中，因特網(wǎng)與局域網(wǎng)之間的互聯(lián)，能夠有效地保存用戶的資料，同時(shí)又能保護(hù)計(jì)算機(jī)的網(wǎng)絡(luò)安全，避免數(shù)據(jù)丟失等。同時(shí)，云計(jì)算還可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行追蹤和分析，利用相應(yīng)的軟件，對(duì)網(wǎng)絡(luò)的漏洞和缺陷進(jìn)行正確的判斷，從而使系統(tǒng)的網(wǎng)絡(luò)安全得到有效的保障。

2 提高云計(jì)算網(wǎng)絡(luò)安全的價(jià)值

2.1 有利于用戶數(shù)據(jù)的安全

在云計(jì)算的基礎(chǔ)上，實(shí)現(xiàn)了局域網(wǎng)之間的互聯(lián)，可以實(shí)時(shí)地進(jìn)行數(shù)據(jù)和信息的備份，在保證用戶的數(shù)據(jù)安全的同時(shí)，還可以減少由于其他因素而造成的損失，提高了網(wǎng)絡(luò)數(shù)據(jù)的安全性。

2.2 提高客戶監(jiān)控力度

基于云計(jì)算，合理運(yùn)用云計(jì)算技術(shù)，能夠追蹤到互聯(lián)網(wǎng)上的用戶，同時(shí)對(duì)其進(jìn)行高效的分析。在這種情況下，利用相關(guān)的輔助軟件，可以幫助用戶及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的安全漏洞，并對(duì)其進(jìn)行全面的檢查，從而改進(jìn)網(wǎng)絡(luò)的運(yùn)行模式，從而增強(qiáng)用戶對(duì)網(wǎng)絡(luò)的安全性。

2.3 加強(qiáng)數(shù)據(jù)信息保密功能

云計(jì)算技術(shù)的應(yīng)用，在很大程度上是由授權(quán)與監(jiān)視所完成的，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，用戶對(duì)數(shù)據(jù)的處理能力也得到了極大的提高，在加速信息的傳播過程中，通過不斷優(yōu)化信息的共享，能保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，提高使用者資料及資訊的保密性，從而保障數(shù)據(jù)的利用率。

3 云計(jì)算面臨的信息安全問題

3.1 傳統(tǒng)安全威脅

分布式拒絕服務(wù)（DDoS）仍然是云計(jì)算所面臨的最大威脅，尤其是在云計(jì)算平臺(tái)上的業(yè)務(wù)系統(tǒng)和外部攻擊，都會(huì)對(duì)整個(gè)云平臺(tái)網(wǎng)絡(luò)造成威脅。傳統(tǒng)的安全威脅，如僵尸、木馬、病毒、蠕蟲，這仍然是云計(jì)算平臺(tái)最大的隱患，如果用戶隔離和區(qū)域隔離措施不完善，那么這種威脅就會(huì)迅速蔓延到整個(gè)云平臺(tái)，從而給云計(jì)算平臺(tái)帶來極大的安全隱患。云計(jì)算為不同的業(yè)務(wù)系統(tǒng)提供了支持，特別是在網(wǎng)絡(luò)商業(yè)系統(tǒng)中，它依然存在著SQL注入、XSS、指令注入、跨站請(qǐng)求、非法下載、Web服務(wù)器/插件攻擊、爬行攻擊等威脅，網(wǎng)絡(luò)shell，暴力破解等。云內(nèi)擁有大量的IT主機(jī)，包括Windows、Linux、UNIX、網(wǎng)絡(luò)交換設(shè)備、數(shù)據(jù)庫和中間體，這些都存在著各種安全隱患，而傳統(tǒng)的漏洞利用方法仍然有效[3]。

3.2 云計(jì)算特有風(fēng)險(xiǎn)

數(shù)據(jù)泄漏的危險(xiǎn)：云中存儲(chǔ)著大量的用戶信息，這些信息的數(shù)量和價(jià)值都是巨大的，同時(shí)也會(huì)帶來更大的安全隱患。所以，云計(jì)算也存在數(shù)據(jù)泄露、篡改等安全問題。

隔離失?。涸朴?jì)算是一種具有更強(qiáng)大的共享能力的平臺(tái)，它可以在多用戶中進(jìn)行存儲(chǔ)和網(wǎng)絡(luò)資源的共享。若不能有效地隔離每一個(gè)用戶的內(nèi)存、虛擬機(jī)、路由等，那之后惡意使用者可以存取其他使用者的資料，進(jìn)行修改、刪除等操作。

虛擬機(jī)逃生：虛擬機(jī)逃生是利用虛擬計(jì)算機(jī)或虛擬機(jī)上的軟件漏洞，對(duì)虛擬主機(jī)發(fā)起攻擊，進(jìn)而對(duì)其進(jìn)行攻擊和控制。它的目的是利用虛擬機(jī)自身或者管理程序?qū)哟蔚陌踩毕?，在管理程序?qū)由线\(yùn)行任意的代碼，從而實(shí)現(xiàn)虛機(jī)逃脫。

虛機(jī)記憶泄漏：在虛擬機(jī)分享或重分配硬盤資源時(shí)，存在大量的安全性隱患。在虛擬機(jī)上，信息可能會(huì)泄漏。比如，如果虛擬計(jì)算機(jī)使用了更多的記憶體，但是當(dāng)它被釋放時(shí)并沒有重新設(shè)置，那么這個(gè)新的虛擬計(jì)算機(jī)就會(huì)讀取這個(gè)信息。

虛擬通信：虛機(jī)通訊方式基本上處于大二層網(wǎng)絡(luò)中，常規(guī)的邊緣探測和保護(hù)方法不能有效地處理東、西兩種業(yè)務(wù)。

經(jīng)營模式的風(fēng)險(xiǎn)：云計(jì)算將導(dǎo)致新的經(jīng)營方式發(fā)生變化，各種業(yè)務(wù)資源都要根據(jù)需求靈活地進(jìn)行擴(kuò)充，而在應(yīng)用過程中，會(huì)出現(xiàn)濫用云計(jì)算資源的情況，導(dǎo)致資源的浪費(fèi)；由于云計(jì)算的地理特征和租戶的流動(dòng)性，使得云服務(wù)供應(yīng)商的合規(guī)要求、安全監(jiān)管和隱私保護(hù)變得越來越重要。

惡意承租人的危險(xiǎn)：在云環(huán)境，所有被授權(quán)的人都能使用云計(jì)算平臺(tái)的服務(wù)。在云計(jì)算服務(wù)中，惡意用戶可能會(huì)利用安全漏洞，將惡意程式碼上載，并非法取得使用者之資料及應(yīng)用程式[4]。另外，諸如云服務(wù)提供商系統(tǒng)管理員和審計(jì)師等內(nèi)部員工的錯(cuò)誤或惡意攻擊，更難以預(yù)防。

4 云計(jì)算網(wǎng)絡(luò)信息安全防護(hù)思路

4.1 明晰安全責(zé)任

云計(jì)算的安全主要是由云服務(wù)提供商和用戶共同承擔(dān)，它們是云計(jì)算環(huán)境中的兩個(gè)主要的安全主體。云計(jì)算按服務(wù)方式可劃分為“軟件即服務(wù)”“平臺(tái)即服務(wù)”（PaaS）、“基礎(chǔ)設(shè)施即服務(wù)”（IaaS）。在不同的服務(wù)方式下，計(jì)算資源由云服務(wù)提供商與用戶所能掌控的計(jì)算資源的大小而定。

在SaaS模型中，使用者對(duì)使用者的人身安全負(fù)有責(zé)任；云服務(wù)供應(yīng)商的安全問題；PaaS模式中，用戶負(fù)責(zé)自己開發(fā)和部署的應(yīng)用和運(yùn)行環(huán)境，而其他的安全工作都是由云服務(wù)供應(yīng)商負(fù)責(zé)；在IaaS模式中，由使用者負(fù)責(zé)所分配的虛擬網(wǎng)路的安全、操作系統(tǒng)的部署、運(yùn)行環(huán)境及應(yīng)用的安全及可靠性。云服務(wù)提供商負(fù)責(zé)對(duì)計(jì)算資源層和基礎(chǔ)資源進(jìn)行虛擬化；云計(jì)算的設(shè)備層（物理環(huán)境）、硬件層（物理設(shè)備）、資源抽象層、控制層均為云服務(wù)提供商提供全面的安全保障。應(yīng)用軟件層、軟件平臺(tái)層、虛擬化計(jì)算資源層的安全責(zé)任都要靠使用者自己來承擔(dān)，越是靠近IaaS（IaaS）的云服務(wù)，就會(huì)有越多的管理和安全責(zé)任；與此形成鮮明對(duì)比的是，云服務(wù)提供商在管理和安全上的職責(zé)更大。因?yàn)樵朴?jì)算服務(wù)商還需要提供其他服務(wù)，比如SaaS和PaaS，因此它們很有可能要依靠IaaS服務(wù)商提供的基礎(chǔ)資源。在這種情況下，其他的機(jī)構(gòu)也會(huì)提供一定的安全保障。

4.2 建立完整的防火墻防護(hù)體系和DDoS攻擊防護(hù)體系

4.2.1 建立完整的防火墻防護(hù)體系技術(shù)

在云的邊緣配置一個(gè)網(wǎng)絡(luò)隔離裝置，有效地隔離了云計(jì)算和非信任區(qū)域。從網(wǎng)絡(luò)防火墻技術(shù)的應(yīng)用上看，它的主要作用是利用內(nèi)網(wǎng)和外網(wǎng)之間的防火墻對(duì)進(jìn)入的信息、端口、目標(biāo)地址以及不滿足的外部信息進(jìn)行檢測[5]。訪問控制系統(tǒng)是指利用防火墻的方法來探測經(jīng)過的業(yè)務(wù)，確保云計(jì)算網(wǎng)絡(luò)中只有合法的業(yè)務(wù)。為了將云計(jì)算與外界的網(wǎng)絡(luò)環(huán)境隔絕開來，防火墻被設(shè)置在了端口和核心交換機(jī)之間。

集中式防火墻是在云安全資源池中建立的一道虛擬化防火墻，由于其非云計(jì)算平臺(tái)，因此必須將云安全資源導(dǎo)入云安全資源庫中，并在云安全資源庫中注入數(shù)據(jù)。在SDN技術(shù)中，SDN技術(shù)可以很容易地將保護(hù)業(yè)務(wù)注入到云安全的資源池中，因此，SDN技術(shù)的云數(shù)據(jù)中心都是采用這種方法。

分布式部署方式是將虛擬防火墻部署到每個(gè)承租人的虛擬私有網(wǎng)絡(luò)。當(dāng)VLAN（VLAN）隔離VPC時(shí)，可以在VLAN中添加虛擬主機(jī)和虛擬防火墻服務(wù)端口，還可以在相同的端口列表中添加虛擬主機(jī)和虛擬防火墻服務(wù)網(wǎng)口。在VPC存取其他虛擬主機(jī)時(shí)，必須使用虛擬防火墻進(jìn)行網(wǎng)絡(luò)存取，所以虛擬防火墻就是為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問控制。

云計(jì)算時(shí)代，除了對(duì)網(wǎng)絡(luò)資源的安全要求外，云平臺(tái)上的虛擬機(jī)還承載著大量的Web應(yīng)用，因此需要在Web應(yīng)用程序中部署WAF來處理來自Web應(yīng)用程序的各類威脅。為了保證網(wǎng)絡(luò)系統(tǒng)的整體可用性，必須對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行嚴(yán)密的訪問控制。在部署模式中，由于進(jìn)、出流量較大，一般采用旁路方式，把IP地址的http/https流量引入WAF，WAF會(huì)過濾和轉(zhuǎn)發(fā)數(shù)據(jù)，從而達(dá)到Web應(yīng)用的安全保護(hù)。

4.2.2 建立完整的DDoS防護(hù)體系

云平臺(tái)上存在著大量的虛擬服務(wù)器，攻擊者通過利用云平臺(tái)進(jìn)行DoS攻擊來增加網(wǎng)絡(luò)流量，從而實(shí)現(xiàn)有效的攻擊，因此構(gòu)建一個(gè)完整的DDoS防御系統(tǒng)是一個(gè)很大的挑戰(zhàn)。

在云計(jì)算網(wǎng)絡(luò)體系結(jié)構(gòu)中，在網(wǎng)絡(luò)的出口處設(shè)置一個(gè)黑洞，以防止DDoS攻擊。在DOS系統(tǒng)中，通過在攻擊路徑上設(shè)置一個(gè)路由黑洞，可以讓攻擊包在這個(gè)過程中被拋棄，而不會(huì)被發(fā)送到被攻擊的機(jī)器上，從而避免了由于大量的數(shù)據(jù)包被訪問而導(dǎo)致的死亡。

利用DDoS防火墻及異常流量偵測來抵御清潔裝置的攻擊。在應(yīng)付少量的DDoS攻擊時(shí)，可以通過設(shè)置一個(gè)簡單的防火墻和DDoS應(yīng)用程序來保護(hù)。但在處理大量網(wǎng)絡(luò)攻擊時(shí)，必須向DDoS凈化裝置導(dǎo)入數(shù)據(jù)流，并檢查數(shù)據(jù)包限制的部署。在云計(jì)算網(wǎng)的入口處安裝DDoS防火墻和業(yè)務(wù)清理裝置，可以將DDoS攻擊對(duì)云計(jì)算網(wǎng)絡(luò)造成的破壞降到最低。

通常情況下，異常流量檢測和清理都是采用旁路配置，旁接在中心交換機(jī)上，利用OSPF/BGP/IS-IS路由協(xié)議廣播，從而自動(dòng)地牽引異常業(yè)務(wù)。針對(duì)清潔后回注業(yè)務(wù)，通常采取策略路由的方法來控制回注流量的上升和下降。

4.3 利用漏洞掃描主動(dòng)防御

在云計(jì)算中，通過對(duì)云設(shè)備和系統(tǒng)進(jìn)行定期的漏洞掃描，可以有效地保障其安全性。漏洞掃描可以根據(jù)目標(biāo)地址和端口信息，對(duì)已存在的漏洞進(jìn)行掃描，以找出系統(tǒng)和主機(jī)是否存在可被利用的弱點(diǎn)。在云計(jì)算網(wǎng)絡(luò)環(huán)境下，云計(jì)算的需求、海量的網(wǎng)絡(luò)數(shù)據(jù)、可擴(kuò)展、資源集中、訪問范圍廣泛、多租戶等特征使得云計(jì)算的安全具有獨(dú)特的特征[6]。這種特性在主動(dòng)缺陷掃描中的表現(xiàn)就是：利用單一的資源進(jìn)行漏洞掃描，會(huì)造成大量的系統(tǒng)資源和人力浪費(fèi)，因此，必須采用網(wǎng)絡(luò)協(xié)議來構(gòu)建掃描系統(tǒng)，只需占用少量的網(wǎng)絡(luò)資源。因?yàn)樵浦鳈C(jī)上的安全漏洞大多集中在云機(jī)應(yīng)用程序上，因此安全漏洞掃描儀主要是針對(duì)云主機(jī)級(jí)的漏洞進(jìn)行檢測，并將其分成了分布式和集中部署兩種。

在分布式部署中，我們使用了一個(gè)虛擬安全漏洞掃描軟件，以保證局域網(wǎng)中的主機(jī)的安全。完成掃描后，將掃描的結(jié)果通過VLAN傳輸?shù)桨踩芾砥脚_(tái)。實(shí)際上，虛擬化的安全漏洞掃描儀可以在必要時(shí)自動(dòng)產(chǎn)生和部署，并且一旦完成就會(huì)自動(dòng)關(guān)閉或者破壞。在SDN的基礎(chǔ)上，可以通過動(dòng)態(tài)的端口進(jìn)行訪問。也就是說，掃描機(jī)器開始之后，掃描機(jī)器的服務(wù)掃描儀和VLAN通過SDN控制器相連。完成掃描后，通過SDN進(jìn)行分離。通過這種方式，可以共享和再利用安全掃描。若使用可伸縮的虛擬LAN(vXLan)，則與上面所描述的方法類似，在租賃人vXLan網(wǎng)絡(luò)中創(chuàng)建一個(gè)虛擬機(jī)器的實(shí)例，并在服務(wù)和虛擬機(jī)器的工作接口上建立一個(gè)網(wǎng)絡(luò)連接。

在集中部署模式下，必須對(duì)用戶的虛擬計(jì)算機(jī)進(jìn)行掃描，并以浮動(dòng)IP的形式向掃描儀顯示。

4.4 利用多重身份認(rèn)證技術(shù)

云計(jì)算在發(fā)展的過程中，很多新設(shè)備都會(huì)遇到默認(rèn)設(shè)置、弱口令等問題，特別是在連接到外部的網(wǎng)絡(luò)接口時(shí)，系統(tǒng)的管理和核心網(wǎng)絡(luò)設(shè)備都需要進(jìn)行身份驗(yàn)證。在管理平臺(tái)上，應(yīng)盡可能采用強(qiáng)大的密碼（包括英文大小寫、數(shù)字、符號(hào)，且不低于8個(gè)比特），并且每隔90天就會(huì)進(jìn)行一次更新。

4.5 建立完整入侵檢測體系

在云計(jì)算的邊緣，需要部署IDS，通過對(duì)網(wǎng)絡(luò)的流量進(jìn)行分析，可以對(duì)網(wǎng)絡(luò)及系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測，并對(duì)其進(jìn)行預(yù)警。同時(shí)，入侵檢測也是一種縱向的旁路，在不影響正常入口的情況下，采用分光、隧道引流、鏡像等方式將網(wǎng)絡(luò)數(shù)據(jù)傳輸給IDS進(jìn)行檢測，并對(duì)異常行為進(jìn)行預(yù)警。

在垂直保護(hù)方面，在路由器的底層部署了IDS，用于探測通過交換機(jī)的端口和通過路由器的端口的數(shù)據(jù)。如果使用分布式入侵檢測技術(shù)，則將該系統(tǒng)獨(dú)立部署在虛擬化云計(jì)算環(huán)境中，利用虛擬交換機(jī)將用戶所需保護(hù)的業(yè)務(wù)保護(hù)起來，在此基礎(chǔ)上，提出了一種基于VNIDS的數(shù)據(jù)流，并對(duì)該系統(tǒng)的安全性進(jìn)行了詳細(xì)的分析。若使用集中式IDS，將VNIDS集中于云安全資源池，由用戶虛擬機(jī)的橫向數(shù)據(jù)通過通道引入到云安全資源池中，并對(duì)其進(jìn)行集中分析。

4.6 建立防病毒防護(hù)體系技術(shù)

當(dāng)前，網(wǎng)絡(luò)安全系統(tǒng)的部署分為兩類：一類是有客戶端防御體系，另一類是無客戶端的防御體系。反病毒的主要目標(biāo)是主機(jī)，因此只保護(hù)了主機(jī)。防御模式可以按照云計(jì)算中心的防御要求進(jìn)行配置。

有客戶機(jī)的防毒系統(tǒng)，重點(diǎn)保護(hù)主要的虛擬化服務(wù)器。對(duì)于有必要進(jìn)行病毒保護(hù)的虛擬機(jī)，在運(yùn)行管理區(qū)域內(nèi)配置的防病毒服務(wù)器，將其統(tǒng)一管理。為了滿足云計(jì)算系統(tǒng)的防病毒需求，本文提出了一種基于Windows、Linux、Unix等多種安全操作系統(tǒng)的安全系統(tǒng)。

如果沒有客戶機(jī)，則無需將任何客戶機(jī)安裝到安全的虛擬主機(jī)上，通過在受保護(hù)的虛擬主機(jī)上安裝反病毒模塊，可以對(duì)對(duì)應(yīng)的虛擬主機(jī)進(jìn)行安全保護(hù)。一般來說，云環(huán)境都會(huì)在虛擬機(jī)上安裝反病毒模塊。使用者可以設(shè)定策略，在宿主主機(jī)上設(shè)置防病毒模塊。

5 結(jié)語

由于云計(jì)算的迅猛發(fā)展，網(wǎng)絡(luò)業(yè)務(wù)逐漸進(jìn)入云端，那么自然安全問題也不可避免，所以不管是云平臺(tái)的服務(wù)商，還是專業(yè)的安全生產(chǎn)廠家，都應(yīng)該不斷地關(guān)注這一新的技術(shù)和安全技術(shù)的發(fā)展趨勢(shì)，從多個(gè)角度出發(fā)，利用現(xiàn)有成熟的安全管理手段，充分考慮云計(jì)算的特性和設(shè)計(jì)云計(jì)算的新技術(shù)，以保證和推動(dòng)云計(jì)算的發(fā)展與運(yùn)作。