• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      淺談云計(jì)算安全模型與管理

      2018-07-28 07:18:52劉瑞玲
      電腦知識與技術(shù) 2018年15期
      關(guān)鍵詞:應(yīng)用范圍云計(jì)算

      劉瑞玲

      摘要:為了確保云計(jì)算應(yīng)用效果良好型,需要充分考慮其安全問題并結(jié)合其動態(tài)化、分布性等方面的特征,構(gòu)建出可靠的安全模型,同時(shí),在增強(qiáng)云數(shù)據(jù)安全性的過程中,需要在有效地管理舉措支持下,實(shí)現(xiàn)其科學(xué)管理,并提升云數(shù)據(jù)實(shí)踐應(yīng)用中潛在的價(jià)值,該文就云計(jì)算安全模型與管理展開論述。

      關(guān)鍵詞:云計(jì)算;安全模型;安全管理模式;潛在價(jià)值;應(yīng)用范圍

      中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2018)15-0043-02

      1 前言

      云計(jì)算已經(jīng)是非?;鸨母拍盍耍嘘P(guān)云計(jì)算的服務(wù)遍及各方面,有彈性計(jì)算方面的服務(wù)還有文件如何存儲的服務(wù)、以及關(guān)系型數(shù)據(jù)庫方面的服務(wù)等多方面。本文主要介紹彈性計(jì)算方面的服務(wù)及其安全方面的問題,這主要原因是彈性計(jì)算是云計(jì)算最廣泛的應(yīng)用,它也是存在最大安全隱患的云服務(wù)。

      2 有關(guān)云計(jì)算存在的新風(fēng)險(xiǎn)

      就在云計(jì)算出現(xiàn)之前,那時(shí)候IDC機(jī)房就存在著很大的安全隱患。等云計(jì)算出現(xiàn)這些問題又變本加厲,不光這樣,云計(jì)算自身的特點(diǎn)也給它帶來了意想不到的風(fēng)險(xiǎn)。對于云內(nèi)部所面臨的攻擊分析如下:

      1)內(nèi)部不再安全

      互聯(lián)網(wǎng)公司在向外界提供云計(jì)算這個(gè)業(yè)務(wù)之前,全部使用的是獨(dú)立的數(shù)據(jù)中心機(jī)房,利用防火墻將互聯(lián)網(wǎng)內(nèi)外分成兩部分。防火墻里邊屬于值得信賴的區(qū)域,屬于公司自己擁有,防火墻外邊部分則是不能相信的,黑客都在防火墻外邊。負(fù)責(zé)人員對這一塊隔離墻進(jìn)行加厚和加高、既可以保證互聯(lián)網(wǎng)的安全,也能進(jìn)行更深層次的防御。

      可是在云計(jì)算出現(xiàn)了以后,這種利用防火墻進(jìn)行簡單的隔離的辦法已經(jīng)力不從心了。攻擊者完全可以用買到的云服務(wù)器,找到網(wǎng)絡(luò)的核心之地,對網(wǎng)絡(luò)發(fā)起攻擊。另外,在云計(jì)算內(nèi)部,資源已經(jīng)不是某一家公司獨(dú)自擁有,而是越來越多的企業(yè)或個(gè)人共享著所有的內(nèi)部資源,在這其中肯定也包含有一些不懷好意的黑客,很明顯這種傳統(tǒng)的防御方法已經(jīng)很不實(shí)用了。

      2)新的攻擊方式

      以前DC時(shí)期,互聯(lián)網(wǎng)攻擊者在邊界防火墻的外部,和路由器及企業(yè)服務(wù)器之間能到達(dá)的也就IP協(xié)議了,所以黑客能發(fā)起的攻擊,是在這三層的上面的。

      云計(jì)算的出現(xiàn)使得情況發(fā)生了很大變化。在大型網(wǎng)絡(luò)中,由云服務(wù)器供應(yīng)的那些路由器和黑客控制的被攻擊的云服務(wù)器兩層互相連接,這樣黑客就可以在更低層次上對某些設(shè)備發(fā)起有效的攻擊,比方說利用ARP協(xié)議進(jìn)行相應(yīng)的攻擊,就像我們經(jīng)常遇到的ARP欺騙性的攻擊,還有利用以太網(wǎng)進(jìn)行的偽造性攻擊。

      以太網(wǎng)的這種頭部的偽造性質(zhì)的攻擊方法,指的就是黑客通過發(fā)送特別小的數(shù)據(jù)包,此數(shù)據(jù)包是那些只包含以太網(wǎng)頭部的僅有的14個(gè)左右的字節(jié),文件源和發(fā)送的目的地的物理地址大多數(shù)都是虛假的,最上面協(xié)議是那種只包含2個(gè)字節(jié)的一些隨機(jī)性數(shù)據(jù),不是我們經(jīng)常所碰到的ARP協(xié)議或者IP協(xié)議,這種攻擊對交換機(jī)會造成很大影響。

      3)穿透虛擬層

      在云計(jì)算的時(shí)代,一臺終端主機(jī)上大多情況下會運(yùn)行多臺虛擬機(jī),那么多臺虛擬機(jī)就會有多個(gè)不同的用戶。從一些層面上來講,這臺終端機(jī)和以前的交換機(jī)的功能差不多,實(shí)際上它的確就是一臺有交換功能的交換機(jī),它擔(dān)負(fù)著多臺虛擬機(jī)上面的全部的流量的交換工作。如果攻擊了一臺終端主機(jī),對網(wǎng)絡(luò)造成的危害就相當(dāng)于攻擊了以前網(wǎng)絡(luò)時(shí)代的一臺交換機(jī)??墒侨绻绕鸾粨Q機(jī)來,到底是這臺終端主機(jī)容易被攻擊還是交換機(jī)容易被攻擊,答案是顯而易見的。

      首先,黑客的VM是通過一個(gè)簡單的虛擬層將其隔離起來,它可以直接在這臺終端主機(jī)的內(nèi)存里運(yùn)行,如果黑客發(fā)現(xiàn)了可以通過試圖穿透那些虛擬層就可達(dá)到入侵的漏洞以后,就會非常簡單的完成入侵,而這些漏洞恰巧就存在于我們見到的那些虛擬化層的比方kvm、xen等軟件。

      再者,有關(guān)交換機(jī)的內(nèi)部結(jié)構(gòu)不算復(fù)雜,很有限的開放性的服務(wù)。而終端主機(jī)卻是一臺很標(biāo)準(zhǔn)的裝有Linux操作系統(tǒng)的服務(wù)器,在它上面運(yùn)行著具有標(biāo)準(zhǔn)協(xié)議的服務(wù)和完全開放的Linux操作系統(tǒng),這樣能被黑客使用的通道也要比傳統(tǒng)交換機(jī)多。

      3 解決方案

      有關(guān)云計(jì)算的安全性是我們要考慮的首要問題。2013年12月10日訊,英國標(biāo)準(zhǔn)協(xié)會(簡稱BSI)宣布阿里云計(jì)算有限公司(簡稱阿里云)獲得全球首張?jiān)瓢踩珖H認(rèn)證金牌(CSA-STAR),這也是BSI向全球云服務(wù)商頒發(fā)的首張金牌。

      3.1 分布式虛擬交換機(jī)

      為了解決云VM的網(wǎng)絡(luò)控制問題,我們設(shè)計(jì)了一套分布式的虛擬交換機(jī),并提供WEB API供外部調(diào)用。分布式虛擬交換機(jī)部署在每一臺宿主機(jī)里面,與控制中心通信,上報(bào)、接收安全策略。它主要提供兩大功能:

      1)自動遷移的安全組策略

      在云時(shí)代,不同的用戶共用同一段IP地址,基于IP地址已經(jīng)難以區(qū)分業(yè)務(wù)了。因此,我們使用用戶ID來做區(qū)分,基于用戶ID來實(shí)現(xiàn)安全域,實(shí)施安全策略。當(dāng)用戶的VM出現(xiàn)故障遷移到其他宿主機(jī)時(shí),這個(gè)VM的安全策略會自動遷移過去。

      2)動態(tài)綁定過濾

      我們借鑒思科的DAI技術(shù),實(shí)現(xiàn)了對數(shù)據(jù)包的動態(tài)檢查,在VM發(fā)出的數(shù)據(jù)包出虛擬網(wǎng)卡之前做一次過濾,剔除偽造的報(bào)文。如偽造源IP地址的報(bào)文,偽造源MAC地址的報(bào)文??拷炊诉^濾,可以有效地減輕惡意流量對網(wǎng)絡(luò)造成的影響。

      3.2 基于數(shù)據(jù)分析的云盾系統(tǒng)

      從數(shù)據(jù)分析的那些個(gè)性化安全方面考慮,他們實(shí)際上與監(jiān)控方面的相關(guān)的惡意行為非常相似。我們研究并分析了每一個(gè)相關(guān)云服務(wù)器的QPS、PPS、 BPS方面的時(shí)間情況曲線圖,準(zhǔn)確了解了每個(gè)最終用戶對云計(jì)算服務(wù)器訪問的那些規(guī)律。利用User-Agent、對于數(shù)據(jù)源的IP地址的歸屬地來計(jì)算移動APP、個(gè)人微機(jī)的訪問量的分布規(guī)律。我們從統(tǒng)計(jì)到的數(shù)據(jù)中,詳細(xì)制定出了每個(gè)云計(jì)算的防御策略,比方說DoS防御方面的觸發(fā)、清洗閾值都屬于我們的數(shù)據(jù)分析方面的云盾系統(tǒng)。

      另外,因?yàn)槟切┐笠?guī)模入侵的原因,那些大批量的有惡意行為的IP地址,都會被我們引以為豪的云盾系統(tǒng)獲取,比方說密碼破解、DoS攻擊、WEB攻擊、惡意注冊等不良行為。云盾系統(tǒng)把捕獲到的IP地址放在了一個(gè)統(tǒng)一的共享的資源庫,它可以對全部的安全產(chǎn)品控制,在黑客對哪個(gè)VM攻擊以前就很好地完成了防御。

      正是因?yàn)閷@些數(shù)據(jù)進(jìn)行了相應(yīng)的整合,我們的云盾形成一個(gè)完整的體系,在各個(gè)不同的層面可以進(jìn)行有效的防御,組建戰(zhàn)略縱深。各個(gè)子產(chǎn)品的數(shù)據(jù)打通,互相協(xié)助,一同進(jìn)化,保護(hù)著云平臺的安全。

      4 結(jié)束語

      總之,我認(rèn)為云計(jì)算的安全絕對不能依靠云服務(wù)提供商自己來防御,它必須是把所有網(wǎng)絡(luò)都能進(jìn)行開放,由眾多的安全服務(wù)廠商提供自己的產(chǎn)品,為形形色色的用戶提供個(gè)性化、定制化的產(chǎn)品和服務(wù)。

      參考文獻(xiàn):

      [1] 于戈,谷峪,鮑玉斌,等.云計(jì)算環(huán)境下的大規(guī)模圖數(shù)據(jù)處理技術(shù)[J].計(jì)算機(jī)學(xué)報(bào),2011,34(10):1753-1767.

      [2] 李健,黃慶佳,劉一陽,等.云計(jì)算環(huán)境下基于粒子群優(yōu)化的大規(guī)模圖處理任務(wù)調(diào)度算法[C]//2012年第三屆中國計(jì)算機(jī)學(xué)會服務(wù)計(jì)算學(xué)術(shù)會議論文集.2012:1-8.

      [3] 趙小換.云計(jì)算環(huán)境下的大規(guī)模圖數(shù)據(jù)處理技術(shù)分析[J].中國外資(下半月),2012(5):275.

      [4] 李東升.云計(jì)算環(huán)境下的大規(guī)模圖數(shù)據(jù)處理技術(shù)[J].信息與電腦,2015(8):35-35,40.

      猜你喜歡
      應(yīng)用范圍云計(jì)算
      淺析如何加強(qiáng)商用車懸架控制系統(tǒng)的開發(fā)
      微機(jī)保護(hù)裝置的自動化測試系統(tǒng)軟件設(shè)計(jì)
      淺析單片機(jī)的應(yīng)用與發(fā)展
      電力輸電線路無人直升機(jī)巡視的應(yīng)用
      志愿服務(wù)與“互聯(lián)網(wǎng)+”結(jié)合模式探究
      云計(jì)算與虛擬化
      基于云計(jì)算的移動學(xué)習(xí)平臺的設(shè)計(jì)
      實(shí)驗(yàn)云:理論教學(xué)與實(shí)驗(yàn)教學(xué)深度融合的助推器
      云計(jì)算中的存儲虛擬化技術(shù)應(yīng)用
      科技視界(2016年20期)2016-09-29 13:34:06
      淺談幾種輸電線路尖端防雷措施的實(shí)踐與應(yīng)用
      合山市| 河北区| 隆安县| 无为县| 会同县| 即墨市| 桦川县| 策勒县| 云和县| 册亨县| 德庆县| 合山市| 高邑县| 广昌县| 小金县| 屏东市| 肥东县| 华容县| 河源市| 康定县| 繁峙县| 桓台县| 忻州市| 固镇县| 商城县| 泗洪县| 潼关县| 科尔| 南开区| 项城市| 榆中县| 亚东县| 江川县| 双桥区| 崇州市| 华容县| 桐梓县| 遂溪县| 阳曲县| 格尔木市| 石家庄市|