栗強(qiáng)強(qiáng)

【摘要】云觀念下實(shí)施的現(xiàn)代IT技術(shù)，正以強(qiáng)健發(fā)展的態(tài)勢來滿足各行業(yè)需求，SaaS、PssS、IaaS三種云交付模型在使用過程中也會(huì)經(jīng)受來自用戶的各種安全考驗(yàn)。本文分析了云計(jì)算過程中產(chǎn)生的安全威脅，然后提出了相應(yīng)的解決方案與策略。

【關(guān)鍵詞】云計(jì)算 安全威脅 方案與策略

虛擬化技術(shù)是云計(jì)算技術(shù)的核心組成部分，云計(jì)算的虛擬化不同于傳統(tǒng)的單一虛擬化，它是涵蓋整個(gè)IT架構(gòu)，包括基礎(chǔ)資源、網(wǎng)絡(luò)、應(yīng)用、桌面的全系統(tǒng)虛擬化，它將各種計(jì)算資源和存儲進(jìn)行高效整合與利用，實(shí)現(xiàn)集中化管理[1]。通過虛擬化技術(shù)可以實(shí)現(xiàn)IT架構(gòu)的動(dòng)態(tài)變化，基礎(chǔ)設(shè)備、軟件應(yīng)用和數(shù)據(jù)使用虛擬化可以實(shí)現(xiàn)隔離，打破硬件配置、軟件部署和數(shù)據(jù)分布的界限，能夠動(dòng)態(tài)使用物理資源和虛擬資源，擴(kuò)展系統(tǒng)應(yīng)用需求，提高系統(tǒng)適應(yīng)環(huán)境的能力。

雖然虛擬化與云計(jì)算打破了IT基礎(chǔ)資源與用戶之間的粘合性，但其共享的特性也給用戶帶來安全威脅，促使人們尤其關(guān)心安全問題。例如，云計(jì)算本身安不安全，怎樣獲得安全的云服務(wù)，云計(jì)算如何來改善安全，都已經(jīng)成為云計(jì)算研究安全的熱點(diǎn)。

和云計(jì)算一樣，云安全也沒有統(tǒng)一規(guī)范的定義，總之，云安全就是確保用戶在穩(wěn)定和私密的情況下訪問云數(shù)據(jù)中心應(yīng)用，且能夠保證用戶數(shù)據(jù)的完整性和機(jī)密性。

1. 云安全威脅

云服務(wù)的使用，需要用戶將應(yīng)用軟件、數(shù)據(jù)遷移到云端，在這過程中安全問題尤為重要。認(rèn)清頂級云安全威脅，是最小化云安全風(fēng)險(xiǎn)第一步。

1.1 數(shù)據(jù)泄露

云端面對的威脅與傳統(tǒng)企業(yè)網(wǎng)絡(luò)面對威脅相同，大量私有的數(shù)據(jù)存儲在云數(shù)據(jù)中心，云服務(wù)商變成了黑客下手的目標(biāo)。受到攻擊之后的嚴(yán)重程度取決于泄露或丟失數(shù)據(jù)的敏感性，財(cái)務(wù)信息、商業(yè)機(jī)密、知識產(chǎn)權(quán)的泄露會(huì)更是對用戶造成毀滅性對的打擊。雖然云服務(wù)商會(huì)部署安全策略來防護(hù)云環(huán)境，但使用過程中，云安全防護(hù)的責(zé)任還是落在使用者一方。

1.2 盜用憑證和身份認(rèn)證

身份認(rèn)證不嚴(yán)格，使用弱密碼、密鑰或憑證管理松懈導(dǎo)致被黑或被利用，非法對網(wǎng)絡(luò)設(shè)備和IT基礎(chǔ)資源進(jìn)行使用，擅自擴(kuò)大使用權(quán)限，越權(quán)訪問信息，惡意刪除、修改和泄露數(shù)據(jù)會(huì)對云安全造成巨大威脅。例如，企業(yè)給予員工系統(tǒng)權(quán)限時(shí)，會(huì)忘記人員調(diào)動(dòng)和離職需要將權(quán)限撤銷與調(diào)整，造成身份管理的混亂，加重云安全風(fēng)險(xiǎn)。采用多因子身份驗(yàn)證系統(tǒng)，如一次性密碼，手機(jī)身份認(rèn)證，智能卡，人臉識別等，可以有效保護(hù)云服務(wù)。

1.3 系統(tǒng)漏洞利用

應(yīng)用軟件或系統(tǒng)在邏輯上存在缺陷和錯(cuò)誤被入侵者利用，達(dá)到控制主機(jī)或破壞的目的。所有軟件和系統(tǒng)都存在漏洞，但隨著云端多用戶的出現(xiàn)，導(dǎo)致很多漏洞被發(fā)現(xiàn)，云安全問題隨之增大。企業(yè)中存在共享數(shù)據(jù)庫、存儲和其它基礎(chǔ)資源，使用情況復(fù)雜，漏洞的發(fā)現(xiàn)導(dǎo)致新的攻擊方式的出現(xiàn)。

1.4弱界面與API被黑

現(xiàn)行的每個(gè)云服務(wù)和云應(yīng)用都提供API。軟件工程師使用界面和API進(jìn)行云服務(wù)管理和互動(dòng)，用戶可以使用界面和API進(jìn)行服務(wù)的開通、配置、管理和檢測。APP用戶通過互聯(lián)網(wǎng)的身份認(rèn)證、訪問控制、數(shù)據(jù)加密和行為監(jiān)測的安全依賴于API的安全。弱界面和API漏洞會(huì)使企業(yè)面臨的更多的安全問題，數(shù)據(jù)機(jī)密性、完整性和可靠性都會(huì)受到嚴(yán)重考驗(yàn)。

1.5 DOS攻擊

拒絕服務(wù)攻擊，對服務(wù)系統(tǒng)不斷干擾，改變其正常工作流程或執(zhí)行無關(guān)程序，導(dǎo)致服務(wù)系統(tǒng)消耗大量的處理能力，拖慢響應(yīng)速度甚至直接超時(shí)，最終影響合法用戶正常使用云資源。

云安全威脅涉及面廣，文章未提及的還包括賬戶劫持、企業(yè)內(nèi)部人士惡心操作、APT寄生蟲、云服務(wù)濫用等方面。

2. 云安全防護(hù)策略

云安全防護(hù)策略涉及IT基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、應(yīng)用安全以及虛擬化安全。本文著重介紹基礎(chǔ)設(shè)施安全。

2.1 基礎(chǔ)設(shè)施安全

云服務(wù)的底層是云基礎(chǔ)設(shè)施，它承載服務(wù)的應(yīng)用和平臺，云服務(wù)的安全和可信才能確保云端用戶數(shù)據(jù)和應(yīng)用的安全。

2.1.1 數(shù)據(jù)可控和數(shù)據(jù)隔離

對于云安全威脅中的數(shù)據(jù)泄露，主要解決方法就是數(shù)據(jù)隔離。通常有三種途徑：①讓用戶根據(jù)自己需求使用網(wǎng)絡(luò)安全策略。②云端用戶數(shù)據(jù)存儲采用虛擬設(shè)備，虛擬存儲設(shè)備位于大規(guī)模存儲陣列上，能夠底層進(jìn)行數(shù)據(jù)隔離，保證用戶只能對應(yīng)各自數(shù)據(jù)。③在數(shù)據(jù)中心使用虛擬化技術(shù)能夠更好的實(shí)現(xiàn)隔離，以及使用VMFS文件系統(tǒng)。

2.1.2 建立遠(yuǎn)程管理機(jī)制

IaaS提供的資源在云數(shù)據(jù)中心，因此用戶需要遠(yuǎn)程連接管理，最常見的遠(yuǎn)程管理機(jī)制包括：①VPN：提供到IaaS的安全連接。②遠(yuǎn)程桌面、遠(yuǎn)程Shell：最常見就是使用SSh，避免直接Telnet。③web控制臺UI：云服務(wù)商提供用戶自定義遠(yuǎn)程管理界面。

對應(yīng)的安全策略包括：①使用多因子認(rèn)證機(jī)制，或使用動(dòng)態(tài)共享密鑰，或者縮短密鑰共享時(shí)間。②對多次使用的用戶名和密碼進(jìn)行變更。③發(fā)現(xiàn)漏洞及時(shí)安裝補(bǔ)丁。④傳輸數(shù)據(jù)時(shí)應(yīng)使用VPN，選用IPsec、SSLv3或TLSv1。

2.1.3 數(shù)據(jù)中心軟硬件部署與虛擬化廠商、使用技術(shù)的選擇

在數(shù)據(jù)中心部署軟硬件時(shí)，需要考慮品牌廠商。設(shè)備的選擇要要綜合考慮質(zhì)量、擴(kuò)展性、價(jià)格、可維護(hù)性等。選擇能夠支持云安全的設(shè)備廠商，定期更新補(bǔ)丁、巡檢，關(guān)注數(shù)據(jù)中心安全。使用成熟的虛擬化技術(shù)不但能夠預(yù)防云安全風(fēng)險(xiǎn)，而且能提升云端系統(tǒng)的安全性。

2.14 建立健全的IT行業(yè)規(guī)范

建立健全的法律準(zhǔn)則和行業(yè)規(guī)范，對于IT人不道德的行為進(jìn)行約束，從人為角度防止數(shù)據(jù)安全風(fēng)險(xiǎn)。云服務(wù)商應(yīng)使用虛擬機(jī)漂移追蹤技術(shù)、基礎(chǔ)設(shè)施服務(wù)下數(shù)據(jù)獨(dú)特的加密技術(shù)，讓用戶可以追蹤自己的數(shù)據(jù)，感知數(shù)據(jù)底層存儲的安全。

3. 數(shù)據(jù)安全

數(shù)據(jù)安全和隱私保護(hù)是用戶最關(guān)心的安全服務(wù)。不管使用哪種云交付模型，用戶和云服務(wù)商都應(yīng)該注意避免數(shù)據(jù)丟失和被竊。從數(shù)據(jù)安全生命周期和云應(yīng)用數(shù)據(jù)流程綜合考慮，涉及數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)殘留等關(guān)鍵云安全防護(hù)技術(shù)。

4. 應(yīng)用安全

保證云應(yīng)用安全，要有措施防護(hù)終端客戶安全、SaaS應(yīng)用安全、PaaS應(yīng)用安全。例如，在云客戶端安裝反惡意軟件和殺毒軟件，開啟防火墻與防御功能;關(guān)注 SaaS服務(wù)商提供的身份認(rèn)證和訪問控制功能，采取必要措施，保護(hù)在云中的數(shù)據(jù)，做到定期修改密碼不使用弱密碼等。

5. 結(jié)論

云計(jì)算就像互聯(lián)網(wǎng)浪潮中的巨艦，云安全就是巨艦的動(dòng)力裝置，動(dòng)力裝置強(qiáng)勢夠穩(wěn)定，巨艦才可以快速前行，勢如破竹，反之停止不前，被海浪吞噬。云計(jì)算、云安全需要各方做出努力，讓它給生活帶來便捷和安全。

參考文獻(xiàn)：

[1]冒海波.云環(huán)境下數(shù)據(jù)安全防護(hù)體系的研究與應(yīng)用[D].江蘇：江蘇科技大學(xué)，2017