云計算環(huán)境下網絡安全策略分析

高璐 徐宗琦

摘要：隨著計算機和網絡技術的不斷發(fā)展，云計算技術憑借其虛擬化、高可靠性、按需服務等優(yōu)勢特性，在各個行業(yè)領域得到了廣泛的應用。但云計算也面臨著各種威脅和挑戰(zhàn)，存在很多網絡安全技術問題。本文將從云計算面臨的網絡安全威脅進行分析，進而提出解決相關威脅應采取的技術和策略。

關鍵詞：云計算;網絡安全;策略分析

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）15-0075-02

當前隨著網絡通信技術和計算機技術的不斷發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網等新技術應運而生，特別是云計算技術憑借其虛擬化、高可靠性、按需服務等特性和使用方便功能強大的優(yōu)勢更是在各個行業(yè)得到了廣泛應用。與此同時，云計算面臨的安全問題也已成為人們關注的焦點。如：身份認證問題、數(shù)據(jù)安全問題、虛擬化系統(tǒng)問題、移動網絡影響問題等，因此，必須從能夠出現(xiàn)問題的方方面面進行考慮制定相應的安全策略，才能夠保證云環(huán)境使用的安全性。

1云計算存在的安全問題分析

1.1用戶身份認證和接入

云計算能夠支持各種不同用戶終端海量用戶對資源進行訪問和使用，既要方便用戶訪問，提高用戶體驗，又要保證應用安全，為云計算提供的用戶身份認證系統(tǒng)和接入機制提出了更高的要求和挑戰(zhàn)。目前云計算存在身份認證較為混亂、審查不充分，用戶接口和界面存在安全漏洞等威脅，可能給信息帶來更多未經授權的訪問，造成用戶信息的泄露和丟失。

1.2數(shù)據(jù)安全性

一方面云計算采取分布式體系結構，處于不同位置的資源協(xié)同完成計算過程，需要運用網絡傳遞大量中間數(shù)據(jù)，傳遞過程中，容易發(fā)生病毒植入、數(shù)據(jù)攔截、黑客人侵等問題，因此如何對數(shù)據(jù)傳輸過程實施有效保護，也是云計算面臨的安全挑戰(zhàn)。另一方面，云計算實現(xiàn)了大量數(shù)據(jù)的存儲和共享，云服務提供商應對數(shù)據(jù)進行實時監(jiān)控和集中管理，而云計算的架構復雜，為有效管理帶來了挑戰(zhàn)，如果不做好數(shù)據(jù)的隔離，極易在技術、資源出現(xiàn)問題時，對海量數(shù)據(jù)造成存儲威脅。此外，云計算采取多用戶租用機制，一個用戶出現(xiàn)漏洞可能造成其他用戶數(shù)據(jù)和信息的泄露;一個用戶退出云后，這個用戶所釋放的存儲空間，也要做到及時的清空，否則也存在數(shù)據(jù)泄露的可能性。

1.3虛擬化系統(tǒng)問題

一方面云計算技術在很大程度上依賴于虛擬化技術，一臺服務器可以根據(jù)用戶需求，運行多臺虛擬機，而虛擬網絡是一個大的二層網絡，虛擬機可以任意在其中遷移，那么一些二層攻擊手段，如：以太網端口欺騙、ARP欺騙、ARP風暴等二層攻擊問題，會對整個虛擬化系統(tǒng)造成威脅。另一方面，攻擊者可以利用虛擬機將程序直接運行在服務器的內存中，可利用虛擬層漏洞，完成人侵，XEN、KVM、VMware等常見虛擬化軟件，都能找到類似安全漏洞。此外，如Hypervisor虛擬化管理軟件，作為虛擬機底層如果存在漏洞，則會影響到虛擬化下面的物理機自身安全。

1.4移動用戶帶來的云安全問題

隨著智能手機的應用和普及，移動終端安全問題對傳統(tǒng)網絡安全防護體系形成了挑戰(zhàn)，傳統(tǒng)防火墻可以守住服務器的端口，但到了移動網絡融入后，攻擊從平面變?yōu)榱Ⅲw了，使得防護體系面臨巨大挑戰(zhàn)。

綜上，云計算在各個層面都存在相應的安全威脅和問題，那么也需要一定的安全策略來解決以上問題。

2云計算環(huán)境下網絡安全策略

2.1建立可信的身份認證和訪問控制

身份認證可采用實名制的方式進行處理，進而有效避免用戶對數(shù)據(jù)的非法訪問。云環(huán)境下，在確保用戶數(shù)字身份隱私性保護的前提下，通過實現(xiàn)身份聯(lián)合和用戶單點登錄支持云中企業(yè)之間共享用戶身份信息和認證服務，并減少重復認證帶來的開銷。此外，還要構建基于云環(huán)境的訪問控制服務策略，保證用戶角色清晰，權限明確，依據(jù)用戶權限，確保數(shù)據(jù)信息的安全性、有效性，因而訪問控制是云計算安全的核心內容。將已有的訪問控制策略進行優(yōu)化，降低訪問控制規(guī)則開銷，構建訪問控制的模型框架，進而對訪問控制過程進行加密處理，有效整合各種策略實現(xiàn)訪問控制的最優(yōu)化。

2.2加強數(shù)據(jù)保護

一是做好隱私保護。云中數(shù)據(jù)保護涉及數(shù)據(jù)生命周期的每一個階段。無論施行何種云計算策略，都應保護用戶數(shù)據(jù)免受未經授權訪問，要對數(shù)據(jù)進行加密處理，控制用戶權限，確保合法用戶才能訪問和查看數(shù)據(jù)內容。二是做好數(shù)據(jù)完整性保護。云端通過服務器集群、異地容災和容錯等技術，做到數(shù)據(jù)不丟失，采用數(shù)據(jù)快照回滾技術，降低用戶誤刪除數(shù)據(jù)的損失。還要保護數(shù)據(jù)不受未經授權的修改和刪除。云計算中有大量數(shù)據(jù)源和訪問方法，應采取更為嚴格的訪問方式，授權應確保只有被授權實體才能與數(shù)據(jù)進行交互。

2.3運用虛擬安全技術

虛擬技術是實現(xiàn)云計算的關鍵核心技術，云計算必須向客戶提供安全性和隔離保證。一是通過隔離保護托管元素，業(yè)務在云中部署，任何功能都可能受到攻擊，其托管和管理流程也變得可見易受攻擊，如果將主機和功能連接隔離在一個專用子網絡中，則不會受到外部訪問的困擾。二是審核和測試所有組件。運用生命周期管理手段，確保組件在生命周期的每一個階段只能訪問同一服務實例中的其他組件，減少惡意軟件在托管功能中引人風險。三是避免服務之間的交叉。虛擬網絡進行更改時，都可能在不同的服務或功能部署之間建立連接，可能會產生數(shù)據(jù)平臺泄露，有效管理虛擬連接可以降低錯誤風險。四是及時修補虛擬平臺依托的物理平臺的漏洞，避免發(fā)生虛擬機逃逸漏洞。

2.4綜合運用防御技術

一是病毒防御技術。云計算環(huán)境下進行殺毒特點是，云端負責病毒相關信息的分析計算，而殺毒功能依賴于殺毒軟件，所以云計算和殺毒軟件并不是一個整體，卻同時為消殺病毒發(fā)揮作用。在云環(huán)境下，不再借助客戶端的病毒特征庫，只需反病毒引擎技術就可以清理病毒，云端還需要配套相關的安全硬件設備、風險管理軟件以及數(shù)據(jù)安全管理軟件等，進而實現(xiàn)云端控制范圍內的病毒進行有效預防。二是防火墻技術。傳統(tǒng)防火墻部署在網絡邊界，只有授權人員可進入設備，網絡保護相對簡單。而云計算環(huán)境下，云計算的防火墻有兩種，兩種防火墻都可以檢查入站和出站數(shù)據(jù)包以阻止惡意流量，但有很大不同。一種與傳統(tǒng)防火墻功能相似，用于保護企業(yè)的網絡和用戶的防火墻，另一種是保護云基礎設施和服務，基于云的服務，運行在虛擬數(shù)據(jù)中心，保護云端應用程序之間的流量，也稱其為下一代防火墻。三是加密技術。為確保云計算的安全性，加密技術是其中的重要一環(huán)，客戶端依據(jù)加密算法不同，可能增加解密的復雜度，給服務器端處理帶來壓力，云端可采取內容感知加密和保格式加密的加密方法，在數(shù)據(jù)防泄漏的同時，理解數(shù)據(jù)或格式，基于策略設置加密。云服務底層使用經國家密碼管理局認證的密碼機，通過虛擬化技術，幫助用戶滿足安全方面的要求，保護云上業(yè)務數(shù)據(jù)的隱私性要求。

云計算環(huán)境的安全涉及云環(huán)境部署的方方面面，每個提供云安全服務的企業(yè)都形成了各自的云策略架構，綜合運用多種手段解決云安全問題，才能確保云計算帶來便利的同時，達到安全性需要。