云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)安全及防護(hù)關(guān)鍵技術(shù)探析

溫和文 張常泉 唐 楷

江西科技學(xué)院，江西 南昌 330098

1 云計(jì)算介紹

云計(jì)算（cloud computing）是一種高度依賴于互聯(lián)網(wǎng)的、共享式的計(jì)算模式，通過(guò)這種模式，在網(wǎng)絡(luò)上配置為共享的軟件資源、計(jì)算資源、存儲(chǔ)資源和信息資源可以按需求提供給網(wǎng)上終端設(shè)備和終端用戶。這種具有動(dòng)態(tài)性、虛擬化、可擴(kuò)展的資源池稱為“云”，通常由集群的服務(wù)器組成，其中包括計(jì)算服務(wù)器、存儲(chǔ)服務(wù)器和帶寬資源等。

2 云計(jì)算產(chǎn)生的新安全問(wèn)題

云計(jì)算技術(shù)經(jīng)過(guò)多年的應(yīng)用和驗(yàn)證，發(fā)展出很多優(yōu)點(diǎn)，比如規(guī)模大、虛擬化和高可拓展性等確實(shí)革新了整個(gè)基礎(chǔ)網(wǎng)絡(luò)的發(fā)展。與此同時(shí)，隨著云計(jì)算技術(shù)的不斷發(fā)展和革新，也不可避免地帶來(lái)了一系列新的安全威脅和挑戰(zhàn)，具體如下。

2.1 身份認(rèn)證

云計(jì)算采用自動(dòng)化的方式來(lái)支持用戶認(rèn)證和接入，然而非法入侵者卻通常利用操作系統(tǒng)或網(wǎng)頁(yè)的漏洞，租用虛擬機(jī)來(lái)發(fā)起黑客攻擊，非法攔截用戶的數(shù)據(jù)信息，非法竊取用戶賬號(hào)和密碼。當(dāng)非法入侵者利用竊取到的信息進(jìn)行數(shù)據(jù)挖掘，下一步企業(yè)的機(jī)密信息就很容易被竊取。網(wǎng)絡(luò)犯罪分子通常偽裝成合法用戶、運(yùn)營(yíng)人員或開(kāi)發(fā)人員通過(guò)讀取、修改和刪除數(shù)據(jù)，來(lái)控制平臺(tái)和管理功能，在用戶傳輸數(shù)據(jù)的過(guò)程中進(jìn)行窺探，發(fā)布看似來(lái)源合法的惡意軟件。如果身份信息不足、憑證或密鑰管理不善，就可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)，對(duì)組織或終端用戶造成災(zāi)難性損害。

2.2 數(shù)據(jù)安全

數(shù)以千計(jì)的用戶使用云計(jì)算而產(chǎn)生海量的數(shù)據(jù)，在數(shù)據(jù)傳輸?shù)倪^(guò)程中極易產(chǎn)生的數(shù)據(jù)安全問(wèn)題如下。

（1）數(shù)據(jù)可用性、完整性和保密性。云計(jì)算采用分布式計(jì)算，經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)容易遭受黑客攻擊，導(dǎo)致數(shù)據(jù)被篡改、攔截和監(jiān)聽(tīng)。

（2）數(shù)據(jù)檢查和校驗(yàn)。通常云計(jì)算接收到用戶數(shù)據(jù)后會(huì)直接計(jì)算，缺乏常態(tài)化的檢查和校驗(yàn)的機(jī)制，容易讓無(wú)效數(shù)據(jù)和偽造數(shù)據(jù)混合在真實(shí)數(shù)據(jù)中，一方面導(dǎo)致計(jì)算結(jié)果產(chǎn)生偏差，另一方面浪費(fèi)計(jì)算資源。

（3）數(shù)據(jù)中心數(shù)據(jù)安全。數(shù)據(jù)中心的超級(jí)管理員一般擁有極高權(quán)限，但其不嚴(yán)密的安全管理可能導(dǎo)致未經(jīng)加密就直接存儲(chǔ)在云中的敏感數(shù)據(jù)被竊取，給企業(yè)或者個(gè)人造成嚴(yán)重的損失。

2.3 虛擬化問(wèn)題

云計(jì)算的基礎(chǔ)是虛擬化技術(shù)。虛擬化技術(shù)導(dǎo)致了一些新的安全威脅。

（1）信息竊取與篡改。云計(jì)算依靠虛擬化技術(shù)的應(yīng)用將所有的計(jì)算機(jī)資源進(jìn)行融合匯總，最終形成一個(gè)巨大的資源共享池，用戶可以使用其中的資源，其中不乏一些公司或者個(gè)人的隱私信息，如果沒(méi)有對(duì)各種信息進(jìn)行合理有效的管理，就很容易造成隱私的泄露。

（2）Hypervisor安全性問(wèn)題。Hypervisor擁有最高的優(yōu)先級(jí)，充當(dāng)著系統(tǒng)管理員的角色，可以訪問(wèn)服務(wù)器上所有物理設(shè)備，并協(xié)調(diào)各種物理設(shè)備之間的資源分配。一旦Hypervisor被非法用戶破解，所有的虛擬機(jī)就會(huì)直接暴露在外部環(huán)境中。

（3）分布式拒絕服務(wù)(DDoS)攻擊的泛濫。攻擊者通過(guò)一定數(shù)量級(jí)的合法請(qǐng)求消耗網(wǎng)絡(luò)寬帶資源，達(dá)到癱瘓網(wǎng)絡(luò)的目的。

3 云計(jì)算安全防護(hù)措施

想要提高云計(jì)算的安全性能，可從技術(shù)保護(hù)、管理模式和法律約束等方面入手。

3.1 技術(shù)保護(hù)

面對(duì)云計(jì)算技術(shù)存在的問(wèn)題，增強(qiáng)技術(shù)方面的保護(hù)顯得尤為重要，可采用以下幾種技術(shù)。

（1）安全的身份認(rèn)證技術(shù)。此類技術(shù)不采用傳統(tǒng)的簡(jiǎn)單密碼，而是改用成熟的生物識(shí)別技術(shù)，比如：指紋識(shí)別、虹膜識(shí)別或人臉識(shí)別等技術(shù)。

（2）云端數(shù)據(jù)加密?？刹捎迷萍用軘?shù)據(jù)庫(kù)、云數(shù)據(jù)庫(kù)安全代理（CDSB）、云訪問(wèn)安全代理（CASB）等進(jìn)行數(shù)據(jù)加密。

①云加密數(shù)據(jù)庫(kù)：使用具有加密功能的數(shù)據(jù)庫(kù)或者數(shù)據(jù)庫(kù)引擎，在數(shù)據(jù)寫入文件并存儲(chǔ)在數(shù)據(jù)庫(kù)前對(duì)其進(jìn)行加密操作，讀取數(shù)據(jù)庫(kù)中文件時(shí)需要進(jìn)行解密操作。此方法可使數(shù)據(jù)庫(kù)保持高效的性能。

②云數(shù)據(jù)庫(kù)安全代理（CDSB）：使用加密網(wǎng)關(guān)作為數(shù)據(jù)庫(kù)的出入口，將所有數(shù)據(jù)加密后寫入數(shù)據(jù)庫(kù)，讀取數(shù)據(jù)的時(shí)候進(jìn)行解密。這種加密方式為數(shù)據(jù)庫(kù)提供了統(tǒng)一的二次認(rèn)證和二次鑒權(quán)機(jī)制，能夠有效地防止云平臺(tái)供應(yīng)商訪問(wèn)用戶的真實(shí)數(shù)據(jù)。

③云訪問(wèn)安全代理（CASB）：在企業(yè)或個(gè)人的內(nèi)部網(wǎng)絡(luò)的出口處放置云訪問(wèn)安全代理應(yīng)用加密網(wǎng)關(guān)，統(tǒng)一對(duì)流出的數(shù)據(jù)進(jìn)行加密以及對(duì)流入的數(shù)據(jù)進(jìn)行解密。該加密方式具有很高的通用性，對(duì)加密功能進(jìn)行了分布式處理，使之具有較高的綜合性能。為避免加密后數(shù)據(jù)的檢索速率降低以及格式兼容性等問(wèn)題，一般不建議采用加密強(qiáng)度過(guò)高的算法對(duì)數(shù)據(jù)進(jìn)行加密。

（3）網(wǎng)絡(luò)通信過(guò)程安全問(wèn)題同樣不容忽視。對(duì)此，可根據(jù)網(wǎng)絡(luò)實(shí)際環(huán)境和實(shí)際需要在不影響現(xiàn)有網(wǎng)絡(luò)運(yùn)行的條件下進(jìn)行鏈路加密、節(jié)點(diǎn)加密和端到端加密。

（4）虛擬化技術(shù)安全需要重點(diǎn)從加強(qiáng)防火墻保護(hù)、Hypervisor安全加固 、使用虛擬化安全與管理軟件入手。

①加強(qiáng)防火墻保護(hù)：對(duì)于防火墻的管理，可采取虛擬防火墻（如VMware vShield）和物理防火墻相結(jié)合的方式進(jìn)行，以確保每一個(gè)層次的網(wǎng)絡(luò)流量都能被監(jiān)控到且確定是安全的。

②Hypervisor安全加固：Hypervisor功能的不斷增加，導(dǎo)致代碼量也逐漸增加，在一定程度上會(huì)使得安全漏洞也隨之增加。應(yīng)構(gòu)建輕量級(jí)的Hypervisor，僅保留其核心功能，從而減少代碼量，有效提高其安全性能。

③使用虛擬化安全與管理軟件：對(duì)于虛擬化環(huán)境中虛擬主機(jī)中泛濫的分布式拒絕服務(wù)攻擊，可以采用虛擬化安全管理軟件（如CNware）進(jìn)行處理。此類軟件提供了一套完整的基于云計(jì)算IaaS層的虛擬化平臺(tái)解決方案，實(shí)現(xiàn)了對(duì)虛擬化層的安全加固，有效地減少了網(wǎng)絡(luò)中的DDoS攻擊，能夠增強(qiáng)虛擬機(jī)安全。

3.2 管理機(jī)制

通過(guò)云計(jì)算服務(wù)提供的資源層次（IaaS、PaaS、SaaS），針對(duì)用戶和云計(jì)算提供商來(lái)合理劃分管理責(zé)任要求。首先，用戶要在選定IaaS前徹底調(diào)研云服務(wù)提供商的安全控制和服務(wù)水平協(xié)議，客戶應(yīng)盡可能利用多因素身份驗(yàn)證，對(duì)數(shù)據(jù)進(jìn)行加密以減少內(nèi)部威脅，維護(hù)密鑰的控制權(quán)，定期掃描系統(tǒng)漏洞。其次，云計(jì)算提供商要保持對(duì)平臺(tái)的更新以及漏洞補(bǔ)丁更新。最后，云計(jì)算提供商要提供足夠的后臺(tái)管理軟件，在減少客戶的軟件購(gòu)買花費(fèi)的同時(shí)，有效地保證其安全。

3.3 法律約束

面對(duì)云計(jì)算技術(shù)中的各類安全威脅，僅通過(guò)技術(shù)方面進(jìn)行保護(hù)并不十分周全，應(yīng)該建立一套公平、公正、統(tǒng)一、全面的法律法規(guī)來(lái)保護(hù)云計(jì)算安全。還應(yīng)成立云計(jì)算安全管理運(yùn)營(yíng)問(wèn)責(zé)部門，定期對(duì)云計(jì)算運(yùn)營(yíng)商和采用云計(jì)算服務(wù)的大、中、小型企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)，以便及時(shí)發(fā)現(xiàn)未知風(fēng)險(xiǎn)并采取合理的應(yīng)對(duì)策略。

4 結(jié)語(yǔ)

云計(jì)算技術(shù)的發(fā)展推動(dòng)了信息技術(shù)的革新，云計(jì)算安全是信息安全領(lǐng)域的一個(gè)新的重要延伸。通過(guò)對(duì)上述重點(diǎn)領(lǐng)域中云計(jì)算安全問(wèn)題的分析和討論，可以有效降低其影響程度，提升云計(jì)算安全管理水平。但是，隨著云計(jì)算技術(shù)的快速普及和廣泛運(yùn)用，將來(lái)會(huì)出現(xiàn)更多未知的安全風(fēng)險(xiǎn)和安全威脅。維護(hù)云計(jì)算安全的路途還任重道遠(yuǎn)，需要我們?cè)趯?shí)踐中不斷更新技術(shù)和方法以應(yīng)對(duì)不斷發(fā)展的云計(jì)算技術(shù)。