一種基于云計算的虛擬資源安全性研究

摘 要：傳統(tǒng)的數(shù)據(jù)安全方法在云計算模式中遭受挑戰(zhàn)，用戶的數(shù)據(jù)被傳送和存儲在云中，信息資產(chǎn)在物理上不為用戶所控。彈性、多租戶、新的物理和邏輯架構(gòu)等需要對新的數(shù)據(jù)安全策略進行分析和研究。本文首先對云計算的網(wǎng)絡安全進行了探討，提出了一種卷存儲數(shù)據(jù)安全的策略；其次，為了保障虛擬資源的安全性，提出了一種虛擬化的安全解決方案，通過該方案的實施，解決了云計算虛擬資源的安全性。

關(guān)鍵詞：信息資產(chǎn)；云數(shù)據(jù)；網(wǎng)絡安全

中圖分類號：TP3

傳統(tǒng)的數(shù)據(jù)安全方法在云計算模式中遭受挑戰(zhàn)，用戶的數(shù)據(jù)被傳送和存儲在云中，信息資產(chǎn)在物理上不為用戶所控。彈性、多租戶、新的物理和邏輯架構(gòu)等需要新的數(shù)據(jù)安全策略。

用戶的數(shù)據(jù)主要為虛擬機的卷數(shù)據(jù)（包括系統(tǒng)卷和用戶卷）、對象存儲文件，另還有一類重要的數(shù)據(jù)是用于云業(yè)務管理的用戶身份接入認證的相關(guān)標識，如Access key、X.509證書、Key pair。本文從數(shù)據(jù)安全的生命周期（創(chuàng)建、存儲、使用、共享、歸檔、銷毀）整體提供安全解決方案。

大部分企業(yè)來說，客戶信息、產(chǎn)品信息等方面的資料，都是企業(yè)賴以生存的根本。他們是否會將這些數(shù)據(jù)存放在第三方呢？他們是否會擔心信息泄露的風險呢？這是目前公有云推廣急需解決的信任問題，這需要在技術(shù)和管理上共同考慮才能讓用戶放心。

1 卷存儲數(shù)據(jù)安全解決方案

系統(tǒng)對每個卷定義不同的訪問策略，沒有訪問該卷權(quán)限的用戶不能訪問該卷，只有卷的真正使用者（或者有該卷的訪問權(quán)限）才可以訪問該卷，每個卷之間是互相隔離的。

存儲節(jié)點是采用標準的iSCSI進行訪問，并且支持CHAP（Challenge Handshake Authentication Protocol）認證功能，CHAP認證功能可以提高應用服務器訪問存儲系統(tǒng)的安全性。

當用戶把卷卸載釋放后，系統(tǒng)在把該卷進行重新分配之前，會對該卷進行數(shù)據(jù)格式化，以保證該卷上的用戶數(shù)據(jù)的安全性。

云數(shù)據(jù)中心的數(shù)據(jù)存儲采用多重備份機制，每一份數(shù)據(jù)都可以有一個或者多個備份，當數(shù)據(jù)因存儲載體（如硬盤）出現(xiàn)故障的時候，不會引起數(shù)據(jù)的丟失，也不會影響系統(tǒng)的正常使用。

2 虛擬化安全解決方案

虛擬化帶來好處的同時，也帶來新的安全風險。首先是虛擬層能否真正地把虛擬機和主機安全地隔離開來，這一點正是保障虛擬機安全性的根本。

同一物理機上不同虛擬機之間的資源隔離是VMM具備的基本特征之一，包括CPU、內(nèi)存、內(nèi)部網(wǎng)絡、磁盤I/O。由UVP負責調(diào)度，vCPU的上下文切換，使得虛擬機Guest OS運行在指定的Ring指令上，有效地防止了虛擬機Guest OS直接執(zhí)行特權(quán)指令。UVP提供虛擬防火墻——路由器（VFR，Virtual Firewall-Router）的抽象，實現(xiàn)數(shù)據(jù)過濾和完整性檢查，經(jīng)過認證后攜帶許可證轉(zhuǎn)發(fā)給目的虛擬機。目的虛擬機檢查許可證，以決定是否接收數(shù)據(jù)包。UVP采用了防止VM的地址欺騙技術(shù)，有效防止VM的惡意嗅探。UVP提供安全組（虛擬防火墻）的功能，確保不同虛擬機之間的安全，包括同一個物理主機內(nèi)的不同虛擬機。

3 云計算網(wǎng)絡安全方案

云計算網(wǎng)絡安全解決方案是為了抵御云數(shù)據(jù)中心網(wǎng)絡可能遭受的各種類型的DDOS攻擊、用戶數(shù)據(jù)被竊聽和篡改等安全威脅而設計的。

3.1 整體網(wǎng)絡安全解決方案

通過高性能的防火墻開啟NAT功能實現(xiàn)對內(nèi)部的網(wǎng)絡隱藏，對不同的業(yè)務劃分安全域進行隔離保護，通過嚴格的ACL策略和連接狀態(tài)檢測進行通信合法性保護，并通過IPS抵御越來越猖獗的應用層入侵攻擊。

云數(shù)據(jù)中心內(nèi)部通信平面用不同的VLAN劃分為業(yè)務平面、存儲平面和管理平面等多個平面，平面之間相互隔離。

云數(shù)據(jù)中心的多租戶之間可通過VPC、軟件虛擬防火墻（安全組）進行隔離，確保各租戶間網(wǎng)絡互不干擾。

3.2 內(nèi)網(wǎng)隱藏、安全域隔離和安全防護

在云計算中心的出口通過華為Eudemon防火墻實現(xiàn)內(nèi)網(wǎng)隱藏，并劃分DMZ等安全域?qū)ortal和云計算中心管理系統(tǒng)進行隔離保護，使管理系統(tǒng)與業(yè)務系統(tǒng)的安全隔離，管理系統(tǒng)的安全問題不會導致業(yè)務系統(tǒng)的業(yè)務運營。

Eudemon系列防火墻是業(yè)界領先的狀態(tài)防火墻，主要體現(xiàn)在性能、功能和可靠性方面。

在狀態(tài)防火墻的關(guān)鍵性能上，Eudemon防火墻具有業(yè)界領先的高小包轉(zhuǎn)發(fā)性能和高每秒新建連接數(shù)，適應了云計算中心海量用戶和大流量的特點。

在功能方面，Eudemon防火墻除了具有強大的安全防護能力外，還具備強大的業(yè)務支撐能力。完善的多通道協(xié)議支持，支持完整的H.323、RAS、MGCP、SIP、MMS等各種多媒體協(xié)議，可以精確的識別各種應用數(shù)據(jù)流，因此可以對這些數(shù)據(jù)流采用不同的控制策略，并滿足實時業(yè)務對業(yè)務流的保序要求。因此，Eudemon防火墻可以滿足云計算中心支持豐富業(yè)務的需求。

Eudemon系列防火墻具有高可靠的硬件體系和基于華為VRP平臺的健壯的軟件體系，實現(xiàn)多鏈路備份，實現(xiàn)雙機熱備，并且雙機熱備支持雙主和主備兩種工作模式，在雙主工作模式下，兩臺防火墻可以實現(xiàn)負載分擔。從而在各個方面滿足云計算中心對高可靠性的需求。

Eudemon系列防火墻還支持虛擬防火墻技術(shù)，即把一臺物理防火墻從邏輯上劃分為多臺虛擬防火墻，從而為大客戶提供完全隔離和基于獨立策略的安全防護。

Eudemon系列防火墻支持海量的NAT轉(zhuǎn)換，而且通過NAT隱藏云計算中心內(nèi)部網(wǎng)絡，極大降低了來自外來的安全威脅。Eudemon系列防火墻支持多安全域劃分，可以把不同安全等級的服務劃分在不同的安全域中，進行安全隔離防護。比如可以劃分DMZ等安全域?qū)芾鞵ortal、NC桌面系統(tǒng)進行隔離保護。

Eudemon系列防火墻還可以靈活高效地檢測出端口掃描窺探報文，防范各種畸形報文的攻擊。

3.3 IPS入侵防御

防火墻的IPS功能采用獨有的智能協(xié)議識別技術(shù)，通過動態(tài)分析網(wǎng)絡報文中包含的協(xié)議特征，可自動準確識別運行于非標端口下的應用層協(xié)議，支持識別的協(xié)議：HTTP，SMTP，F(xiàn)TP，POP3，IMAP4，MSRPC，NETBIOS，SMB，MS_SQL，TELNET，IRC，DNS等。通過對識別出的應用層協(xié)議的檢測，IPS防火墻能夠有效封堵網(wǎng)絡中可能存在的安全隱患通道，可以準確發(fā)現(xiàn)通過任意端口傳輸?shù)母鞣N木馬、后門等數(shù)據(jù)。

隨著網(wǎng)絡攻擊技術(shù)的發(fā)展，出現(xiàn)了IPS躲避和欺騙技術(shù)。許多工具軟件的傳播使這些技術(shù)得以廣泛地用于實際的網(wǎng)絡攻擊中。例如數(shù)據(jù)包分片、重疊、碎片超時等網(wǎng)絡層或傳輸層的躲避技術(shù)。

4 結(jié)束語

本文首先對云計算的網(wǎng)絡安全進行了探討，提出了一種卷存儲數(shù)據(jù)安全的策略；其次，為了保障虛擬資源的安全性，提出了一種虛擬化的安全解決方案，通過該方案的實施，解決了云計算虛擬資源的安全性。

參考文獻：

[1]張志強，張景，張志剛.基于Web Services的應用系統(tǒng)開發(fā)與初探[J].計算機應用，2011（05）：134-136.

[2]李平，胡立栓，孫雪.基于Web服務的分布式文件系統(tǒng)模型[J].微計算機信息，2010（03）.

[3]Bret Hartman，Donald J.Flinn.楊碩，譯.全面掌握Web服務安全性[M].北京：清華大學出版社，2004.

[4]孫衛(wèi)琴.精通Struts：基于MVC的Java Web設計與開發(fā)[M].北京：電子工業(yè)出版社，2004.

作者單位：四川護理職業(yè)學院，成都 610100