李亮

摘? 要：云計算在各行各業(yè)的應(yīng)用中極為廣泛，也為各個行業(yè)的發(fā)展做出巨大的貢獻，而在其使用的過程中，卻存在一定的安全問題，影響到云計算中IaaS的正常使用，例如，存儲、主機、網(wǎng)絡(luò)等方面的安全問題，對用戶的影響頗大，對此，需不斷改進和完善云技術(shù)。該文主要對云計算中IaaS的安全問題及應(yīng)對策略進行分析。

關(guān)鍵詞：云計算? IaaS? 安全問題? 應(yīng)對策略

中圖分類號：TN918? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1672-3791（2019）04（a）-0007-02

近些年來，云計算逐漸普及，而且在云技術(shù)基礎(chǔ)上也興起了很多的公司，更給人們的生活、工作以及生產(chǎn)帶來極大的便利性，云計算的普及更是時代進步最為突出的一個階段。雖然云計算給人們的生活以及生產(chǎn)等帶來極大的便利性，但同時在其運行中也存在一定的弊端，主要體現(xiàn)在安全問題上，很容易造成用戶數(shù)據(jù)泄漏、丟失、篡改等問題，造成嚴(yán)重的負面影響，而筆者將結(jié)合自身對云計算中IaaS安全問題的認知，提出幾方面改進策略，希望可以為技術(shù)人員提供一定的幫助。

1? laaS概述

IaaS英文全稱Infrastructure as a ServIce，是一種來源于云計算的一種服務(wù)模型。從云計算的運用情況分析，并沒有對云計算做出統(tǒng)一的標(biāo)準(zhǔn)定義，云計算在不同企業(yè)以及不同專家的眼里都有著自己的定義。從廣義和狹義兩種角度對云計算進行分析，云計算在狹義的角度上分析，主要指的IT基礎(chǔ)設(shè)施的交付以及相關(guān)的使用模式，并通過網(wǎng)絡(luò)的方式以按需、易擴展等方式獲取所需要的資源，其中包括平臺、硬件、軟件等。而從廣義的角度上分析，云計算主要指的是服務(wù)的交付和使用模式，同樣是以網(wǎng)絡(luò)為基礎(chǔ)以按需、易擴展的方式獲取相關(guān)的服務(wù)，結(jié)合不同行業(yè)不同企業(yè)的使用要求，可以采用不同的用法。通常IaaS主要分為公有云、私有云、混合云3種用法，在IaaS使用的過程中也存在一些安全漏洞，而這些也將成為云計算中IaaS使用要重點考慮的焦點。需要結(jié)合實際情況選用IaaS的用法，并制定較為完善的安全對策，將IaaS的作用充分發(fā)揮出來，為人們提供更優(yōu)質(zhì)的服務(wù)。

2? 云計算中的IaaS的安全問題分析

2.1 存儲安全問題

云計算中IaaS的使用主要面臨著虛擬化存儲安全問題，在大量的實踐研究中，也發(fā)現(xiàn)云計算機中IaaS使用過程中存在一些虛擬化存儲安全問題。例如，在未經(jīng)過授權(quán)的情況下進行數(shù)據(jù)訪問的現(xiàn)象。虛擬化存儲主要是通過一個物理存儲設(shè)備實現(xiàn)多個用戶的虛擬化存儲要求，也可以將其比作一個集中管理的系統(tǒng)。根據(jù)用戶之間使用的差異性以及安全等級的不同，會將一些用戶分配到同一個物理存儲設(shè)備上，這就導(dǎo)致在用戶未授權(quán)的情況下存在虛擬機訪問數(shù)據(jù)的情況，進而造成存儲數(shù)據(jù)泄漏或丟失等現(xiàn)象。其他存儲數(shù)據(jù)泄漏問題。用戶在使用虛擬存儲空間的過程中，根據(jù)用戶的需求而租用虛擬存儲空間，在用戶租期到后這部分的物理儲存空間將會被釋放并給其他用戶繼續(xù)使用。而在空間釋放的過程中，如果原用戶的數(shù)據(jù)并未被完全刪除，則會出現(xiàn)新用戶會讀取到原用戶的數(shù)據(jù)，造成數(shù)據(jù)泄漏的問題。如果是殘留一些機密信息文件等，所造成的后果不堪設(shè)想，將會給用戶帶來極大的損失。

2.2 主機安全問題

主機是云計算機中IaaS的核心，主機的安全性倍受關(guān)注。在大量的實踐分析中發(fā)現(xiàn)，IaaS運行過程中虛擬主機存在一定安全風(fēng)險，如控制不得當(dāng)很容易引發(fā)更為嚴(yán)重的問題。以下主要對IaaS的主機幾方面安全問題進行具體分析：虛擬機隔離失敗的現(xiàn)象，經(jīng)常會出現(xiàn)一臺虛擬機通過訪問去控制另一臺虛擬機，或是具備讀取、分配給其他虛擬機內(nèi)存的權(quán)限，造成虛擬機的權(quán)限較為混亂，更不利于IaaS穩(wěn)定運行。通常虛擬機與宿主機是共享資源的，而在一些特定的情況下，如虛擬機強制占用過多的資源，這時就會出現(xiàn)其他虛擬機拒絕服務(wù)的情況，進而影響到IaaS的穩(wěn)定運行，也影響到云計算的正常功能。此外，IaaS運行過程中還存在虛擬機系統(tǒng)模板被篡改的情況，尤其是存在一些被惡意篡改的現(xiàn)象，其主機下所派生的虛擬機也會受到不同程度的影響，進而造成整個云計算系統(tǒng)運行中出現(xiàn)較大的安全漏洞，甚至還會受到黑客的攻擊，會利用虛擬機入侵宿主機的情況，更為嚴(yán)重的可能會控制宿主機，進而對派生的虛擬機造成嚴(yán)重的影響，后果非常嚴(yán)重。

2.3 網(wǎng)絡(luò)安全問題

云計算中IaaS的使用中，網(wǎng)絡(luò)是虛擬機運行必不可少的因素，更是保證主機以及虛擬機等相互通信的主要通道。在科學(xué)技術(shù)飛速發(fā)展中，云計算技術(shù)的發(fā)展也極為迅速，但同時網(wǎng)絡(luò)黑客的攻擊水平也在提升，可通過網(wǎng)絡(luò)實現(xiàn)對主機或虛擬機進行攻擊，進而影響到虛擬化網(wǎng)絡(luò)的正常使用，而其中潛在的風(fēng)險也會威脅到虛擬機以及主機的正常使用。另外，在對網(wǎng)絡(luò)流量控制不合理的情況下，也會直接影響到虛擬化網(wǎng)絡(luò)運行的穩(wěn)定性，不能全面掌控網(wǎng)絡(luò)的運行狀態(tài)，致使無法對其中潛在的風(fēng)險隱患采取處理措施。

3? 云計算中IaaS安全問題的應(yīng)對策略分析

3.1 虛擬存儲安全問題的應(yīng)對策略

通過以上的分析以及大量的實踐研究中了解到，云計算中IaaS使用的過程中存在虛擬存儲安全問題，直接影響到用戶數(shù)據(jù)的安全性，甚至?xí)斐纱罅繑?shù)據(jù)出現(xiàn)泄漏、被篡改等現(xiàn)象。對此，需要結(jié)合云計算中IaaS的實際使用情況，采取有效的應(yīng)對策略，確保計算機中IaaS使用時虛擬存儲的安全性、可靠性，為用戶提供更全面的體驗。首先，應(yīng)運用技術(shù)實現(xiàn)存儲區(qū)域分離，主要按照存儲區(qū)域的數(shù)據(jù)情況進行分離，如數(shù)據(jù)的作用、重要性等，并將其作為分離技術(shù)將存儲區(qū)域劃分為基礎(chǔ)區(qū)域、公共區(qū)域、專用區(qū)域等幾個存儲區(qū)域，滿足用戶的不同存儲需求。同時，應(yīng)對虛擬機的權(quán)限進行調(diào)整，禁止在虛擬機直接通過IO操作訪問未授權(quán)的存儲區(qū)域，避免用戶數(shù)據(jù)泄漏，保證用戶數(shù)據(jù)存儲的安全性、可靠性。其次，做好數(shù)據(jù)清除工作。主要體現(xiàn)在租戶存儲空間回收的環(huán)節(jié)，在回收一些租戶存儲空間的過程中，應(yīng)保證存儲空間釋放的完全性，徹底清除原租戶的數(shù)據(jù)，并保證原租戶數(shù)據(jù)不能恢復(fù)，避免出現(xiàn)原租戶信息數(shù)據(jù)丟失的現(xiàn)象。再次，應(yīng)做好虛擬機徑向校驗的工作，尤其是在虛擬機運行的過程中，應(yīng)對其完整性進行校驗，避免虛擬機在運行的過程中受到而已篡改的現(xiàn)象，確保虛擬機的正常使用。最后，在虛擬存儲安全方面，應(yīng)通過運用數(shù)據(jù)加密技術(shù)的方式對數(shù)據(jù)實施加密保存，在進行數(shù)據(jù)訪問的過程中，需要具備相應(yīng)的密鑰才可進行訪問，進一步保證數(shù)據(jù)存儲的安全性、可靠性，有效規(guī)避虛擬存儲安全問題。

3.2 虛擬主機安全問題的應(yīng)對策略

云計算中IaaS運行應(yīng)保證其運行的安全性、可靠性，才能為用戶提供更全面的云體驗，尤其是主機的安全性直接影響到派生虛擬機的使用安全性，因此，應(yīng)通過有效的措施保證虛擬主機的安全性。首先，應(yīng)做好內(nèi)存隔離，針對不同虛擬機采取內(nèi)存隔離措施，主要通過內(nèi)存虛擬化技術(shù)來完成不同虛擬機之間的內(nèi)存隔離，可有效避免虛擬機對主機的影響。另外，應(yīng)通過IO操作實現(xiàn)磁盤隔離，確保每個虛擬機在使用的過程中僅能訪問到該虛擬機分配的物理磁盤，實現(xiàn)從硬盤的隔離。其次，應(yīng)通過用戶數(shù)據(jù)的隔離確保主機運行的安全性。采用IO操作，并由HypervIsor截獲并對IO操作進行處理，通過核實用戶訪問權(quán)限，確保沒有訪問全新的用戶不能訪問相關(guān)數(shù)據(jù)，僅能訪問自己領(lǐng)域下的磁盤空間，確保虛擬機之間的硬盤隔離。再次，應(yīng)實施網(wǎng)絡(luò)隔離，針對同一物理主機上派生的所有虛擬機之間的通信進行隔離，利用HypervIsor提供虛擬防火墻，確保2臺虛擬機不會處在同一VIAN，確保虛擬機之間通信隔離的有效性，避免對主機的影響。最后，應(yīng)加強對主機運行操作審計工作。從就某個角度上分析，在主機運行操作中管理員應(yīng)建立審計員的角色，并針對主機中所運行操作的日志進行全面的分析，并就虛擬機的管理員登錄以及相關(guān)操作和使用系統(tǒng)命令等操作進行全面的審計，及時發(fā)現(xiàn)操作中的問題，以便于采取針對性的處理措施，同時也能從操作的審計中了解到主機的運行狀態(tài)，以便于及時發(fā)現(xiàn)潛藏的風(fēng)險因素，進而保證虛擬主機運行的安全性。

3.3 虛擬網(wǎng)絡(luò)安全問題的應(yīng)對策略

結(jié)合以上的分析，針對虛擬網(wǎng)絡(luò)安全問題主要提出幾方面的應(yīng)對策略。首先，應(yīng)加強對端口的控制，如，對虛擬交換機的虛擬端口進行限速，并通過設(shè)置參數(shù)的方式控制網(wǎng)絡(luò)帶寬、峰值帶寬等，實現(xiàn)對虛擬端口級別以及流量的全面控制，同時應(yīng)對虛擬機的網(wǎng)絡(luò)通信進行控制，禁止虛擬機端口進行網(wǎng)絡(luò)通信嗅探，避免影響到網(wǎng)絡(luò)運行的安全性?？赏ㄟ^端口隔離、端口綁定等方式進行控制。其次，應(yīng)強化虛擬防火墻的運行水平，根據(jù)IaaS實際運行情況，構(gòu)建虛擬防火墻，并通過防火墻實現(xiàn)對網(wǎng)絡(luò)訪問進行控制。最后，應(yīng)做好網(wǎng)絡(luò)安全預(yù)警策略，一旦系統(tǒng)檢測到攻擊，則立即實施清洗功能，及時消除攻擊風(fēng)險，確保云計算平臺運行的安全性、穩(wěn)定性。

4? 結(jié)語

綜上所述，在科學(xué)技術(shù)飛速發(fā)展中，云計算機技術(shù)的發(fā)展也極為迅速，并被廣泛應(yīng)用到各個行業(yè)的發(fā)展中，對推動行業(yè)的發(fā)展以及進步有著極大的作用。當(dāng)然，在對云計算中IaaS的運行情況分析，其中依舊存在一定的安全問題，影響到云計算系統(tǒng)的穩(wěn)定運行。在該文的研究中，主要對云計算中IaaS安全問題進行剖析，同時結(jié)合具體問題提出幾方面應(yīng)對策略，希望可以為相關(guān)技術(shù)人員提供一定的幫助，確保云計算中IaaS的安全性、穩(wěn)定性，為用戶提供安全、優(yōu)質(zhì)的服務(wù)環(huán)境。

參考文獻

[1] 李斌，李啟明.云計算中數(shù)據(jù)存儲安全的變色龍Hash認證樹優(yōu)化審計[J].微電子學(xué)與計算機，2018，35（6）：1-6.

[2] 梁琦.云計算中使用容器技術(shù)的信息安全風(fēng)險與對策分析[J].信息通信，2018（4）：192-193.

[3] 趙炎.IaaS性能隔離性測試系統(tǒng)的設(shè)計與實現(xiàn)[D].中國科學(xué)技術(shù)大學(xué)，2016.

[4] 晏裕生.基于等級保護的云計算IaaS安全評估研究[D].北京交通大學(xué)，2016.

[5] 朱昭萌.IaaS環(huán)境中科學(xué)工作流關(guān)鍵技術(shù)研究[D].南京理工大學(xué)，2016.

[6] 呂曉鵬.IaaS云平臺Web負載測試框架的研究與應(yīng)用[D].中國科學(xué)院大學(xué)工程管理與信息技術(shù)學(xué)院，2015.