云計算中IaaS層信息網(wǎng)絡(luò)安全防護技術(shù)分析

尹航

關(guān)鍵詞：云計算;IaaS;云安全

云計算從2008年至現(xiàn)在，經(jīng)歷了技術(shù)儲備期以及服務(wù)發(fā)展期，能夠為用戶提供更加便捷且低成本的服務(wù)。但在此發(fā)展過程中，安全問題成為了阻礙其發(fā)展的主要因素，且防護難度也在逐漸上升，不僅需要面對傳統(tǒng)網(wǎng)絡(luò)環(huán)境的威脅，同時還有本身虛擬技術(shù)、虛擬環(huán)境需要應(yīng)對的威脅。除此之外，還有云計算存儲的數(shù)據(jù)信息安全問題等等。IaaS屬于云計算基礎(chǔ)服務(wù)模式，主要提供核心資源及虛擬核心資源，而如何有效保障其信息網(wǎng)絡(luò)安全防護將是一個不可忽視的重要問題。

1基本概述

1.1云計算

針對于云計算的定義多種多樣，目前接受度最廣的是美國標(biāo)準(zhǔn)與技術(shù)研究院所定義的，他們將其認(rèn)為云計算屬于一種按使用量付費的模式，該種模式能夠提供便捷、可用、按需的網(wǎng)絡(luò)訪問，進入能夠配置的共享資源池，這些資源可以被快速提供，只需要與服務(wù)供應(yīng)商進行少許的交互。云計算具有超大規(guī)模、虛擬化、通用性、擴展性、可靠性、按需自助服務(wù)、資源池化、潛在危險性等多種特征，屬于傳統(tǒng)計算機和網(wǎng)絡(luò)技術(shù)發(fā)展相互融合的產(chǎn)物。

1.2基礎(chǔ)設(shè)施即服務(wù)（Iaa8）

IaaS指的是網(wǎng)絡(luò)用戶從云計算中心獲取計算機基礎(chǔ)設(shè)施服務(wù)（虛擬主機、存儲服務(wù)等）實現(xiàn)計算。IaaS云計算的原理主要是指廣大用戶采用Wcb服務(wù)的方式提供交互接口，按照用戶的不同需求通過管理平臺分配合適資源，提供可使用的服務(wù)目錄，同時進行監(jiān)視統(tǒng)計。構(gòu)建一個面向公眾用戶的laas不但要采用Web技術(shù)，同時還需要應(yīng)用虛擬化技術(shù)，如服務(wù)器虛擬化技術(shù)、管理虛擬化平臺、存儲虛擬化技術(shù)等。其中服務(wù)器虛擬化技術(shù)是指在一臺物理服務(wù)器上運行多臺虛擬服務(wù)器的技術(shù)，不論是從操作系統(tǒng)還是應(yīng)用軟件，都與物理服務(wù)器十分類似。

2常見的安全威脅

2.1傳統(tǒng)安全威脅

laaS信息網(wǎng)絡(luò)安全主要作用在于保障各設(shè)備所承載的業(yè)務(wù)及虛擬化核心資源。目前，Iaas所面臨的傳統(tǒng)威脅常見的有以下幾種，例如惡意掃描、非法入侵、DDos攻擊、網(wǎng)絡(luò)資源擁堵、網(wǎng)絡(luò)設(shè)備單點故障、操作系統(tǒng)漏洞、身份驗證問題等。其中DDoS攻擊即是分布式拒絕服務(wù)攻擊，DDOS攻擊的方法并不單一，常見的DDOS攻擊就是通過合理的服務(wù)請求來占據(jù)服務(wù)資源，導(dǎo)致網(wǎng)絡(luò)癱瘓，最后致使正常用戶難以獲取服務(wù)響應(yīng)。DDOS攻擊的特征就是它屬于分布式的，與點對點攻擊方式不同，攻擊模式無規(guī)律可循，且在協(xié)議和服務(wù)的區(qū)分上具有較大難度。在云計算IaaS平臺中，常見的DDoS攻擊方式是將病毒植入內(nèi)服務(wù)器中，由內(nèi)至外進行攻擊，最后導(dǎo)致云計算服務(wù)出現(xiàn)中斷。

2.2虛擬化層安全威脅

和以往的計算系統(tǒng)相對比，云計算系統(tǒng)添加了一層虛擬化的計算資源、網(wǎng)絡(luò)資源及存儲資源。對于虛擬化層所面臨的常見安全威脅如下，如虛擬機非法數(shù)據(jù)訪問;攻擊會在各虛擬機之間逐漸擴大范圍;竊取其他虛擬機的數(shù)據(jù)資源;來源于網(wǎng)絡(luò)對虛擬監(jiān)控的攻擊，竊取數(shù)據(jù);惡意擠占服務(wù)器資源等。

3 IaaS安全關(guān)鍵防護技術(shù)

針對于laaS的安全防護問題，應(yīng)該重點提高軟、硬安全池的建設(shè)，同時完善云計算網(wǎng)絡(luò)配置。以下將主要分析IaaS云計算安全防護的幾種常見技術(shù)。

3.1防火墻技術(shù)

防火墻屬于保障網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施，是位于內(nèi)網(wǎng)及外網(wǎng)的一道安全屏障，是各個網(wǎng)絡(luò)安全域間通信流的僅有通道，按照設(shè)置好的規(guī)則來控制異常網(wǎng)絡(luò)行為，主要目的是預(yù)防非法用戶的進入。傳統(tǒng)防火墻分為兩種，一種是包過濾型，另一種是代理型。以往的防火墻僅僅只是對網(wǎng)絡(luò)周邊提供保護服務(wù)，若面對網(wǎng)絡(luò)內(nèi)部的攻擊根本就無法起到保護的作用，但目前的分布式防火墻則可以解決該問題。分布式防火墻以網(wǎng)絡(luò)安全防護軟件為基礎(chǔ)，主要應(yīng)用于企業(yè)內(nèi)部中，而IaaS云計算平臺在網(wǎng)絡(luò)架構(gòu)建設(shè)中，通過科學(xué)部署防火墻進行整體防護，同時針對個體設(shè)備需求進行個性防護，實現(xiàn)網(wǎng)絡(luò)安全域隔離。

3.2防病毒技術(shù)

現(xiàn)如今，新型病毒多種多樣，在基于該種情況下，進行有效的防病毒技術(shù)十分必要，例如可以在laaS云計算系統(tǒng)中采取防病毒軟件、或者是在虛擬機中安裝殺毒軟件等，都是保障信息安全不可缺少的步驟。

3.3 IPS技術(shù)

IPS也被稱為入侵防御系統(tǒng)，屬于在防火墻以及防病毒系統(tǒng)基礎(chǔ)上的二級防護，入侵防御系統(tǒng)可以對網(wǎng)絡(luò)設(shè)備的傳輸行為進行實時監(jiān)測。在IaaS云計算系統(tǒng)中應(yīng)該按照業(yè)務(wù)需求針對性的部署業(yè)務(wù)節(jié)點。

3.4 WAF技術(shù)

WAF為wcb應(yīng)用防護系統(tǒng)，該技術(shù)可以有效防御Wcb常見攻擊，如XSS跨站腳本、非授權(quán)訪問、SQL注入等，同時還能夠預(yù)防Wcb各類應(yīng)用層攻擊，保障Wcb服務(wù)交互接口安全。

3.5 VLAN技術(shù)

VLAN技術(shù)是保障laaS云計算信息安全中的一個重要技術(shù)，通過對laaS云計算系統(tǒng)的安全領(lǐng)域進行劃分，能夠避免網(wǎng)絡(luò)資源堵塞，對于虛擬機之間的異常數(shù)據(jù)訪問等這些新型的潛在威脅都能有效防范。

3.6其他防范技術(shù)

部署網(wǎng)絡(luò)冗余設(shè)備可以有效防范云計算系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)的單點故障;部署操作系統(tǒng)的安全加固產(chǎn)品，對身份認(rèn)證技術(shù)、權(quán)限管理、安全卑職給予加固;對虛擬監(jiān)控機的補丁進行升級管理;加強虛揮機管理員的系統(tǒng)權(quán)限管理和審計。

4結(jié)束語

綜上所述，伴隨著云計算的應(yīng)用于推廣，本文通過對云計算機及Iaas進行了概論簡述，同時針對于laaS所面臨常見的幾種潛在威脅進行了分析，提出了幾種laaS安全關(guān)鍵防護技術(shù)，目前，云計算的服務(wù)模式依然在不斷發(fā)展，Iaas的相關(guān)防護工作應(yīng)該與時俱進。