郭玉芝 唐國城

摘要：隨著云計算的普及與發(fā)展，云計算已經成為信息技術發(fā)展道路上的一個重要的里程碑，計算機相關領域都在積極探討云端的建設思路和發(fā)展方向。云計算的高效性讓整個IT界發(fā)生著巨大的變革，但是對于云計算來說目前面臨最為嚴峻的考驗就是安全問題。云計算服務自身的安全隱患隨著應用的不斷深入逐漸暴露出來，私有云的安全問題成為制約其發(fā)展的一個首要的關鍵性問題。本文從安全性角度出發(fā)，基于私有云的高可用性和數據安全的相關特點，探討構建安全可靠的私有云。

關鍵詞：私有云；數據安全；云計算

中圖分類號：TP3 文獻標識碼：A 文章編號：1009-3044（2018）30-0024-02

1 概述

信息化時代的到來，伴隨著計算機網絡的迅速普及與發(fā)展，信息化技術在我們日常生活中得以普及和使用，并且信息化技術帶給我們的便利體現在方方面面。隨著科學技術的不斷進步，各種信息化技術的不斷革新，傳統(tǒng)的基于普通PC機或者無盤工作站的服務器架構已經不能滿足人們的日常生活需要。由此產生了云端，云服務器、云存儲、分布式計算等云端遠程服務器技術大大減少了系統(tǒng)垃圾的產生，并且在一定的程度上提高了系統(tǒng)安全性，使得系統(tǒng)的故障率降低。

近年來，大數據的普及，分布式云存儲以及云計算開始被廣泛使用，由此而來的數據安全性以及服務的高可用性成為技術方面一個最大的難題。

2 云技術面臨的安全問題

現如今，隨著科學技術的快速發(fā)展，信息化已經成為趨勢，各大企業(yè)信息化程度不斷加深，需要存儲的數據越來越多。與此同時，由于計算及軟件的更新?lián)Q代的速度太快、信息數據量太大，對于企業(yè)來說本地化的硬件與軟件已經無法滿足運算需求。因此，企業(yè)對于計算的要求變得更高，而私有云的出現解決了這一難題。但是隨著云計算的發(fā)展，用戶數據存儲方式的變化，一些隱私數據交由云計算處理，將會在不同層面面臨新的安全問題。

2.1 認證層面

支持移動性和分布式網絡計算是云計算的重要特征，這增加了用戶認證管理的難度，為了實現用戶隨時隨地都可以訪問云計算資源，就要接受來自不同位置、不同客戶端的登錄訪問。如果認證入口被入侵者攻破，如同攻打一座城池時，攻破了大門一樣，入侵者必將長驅直入，拿下這座城池了。入侵者一旦進入內部云計算系統(tǒng)，掌握了內部資源，就會進行破壞或者竊取，給云計算用戶帶來嚴重損失。入侵者通常利用租用的虛擬機發(fā)起攻擊，或者攻擊虛擬化管理平臺，利用操作系統(tǒng)或網頁漏洞，非法截獲用戶數據。

2.2 虛擬層面

云計算將虛擬化技術運用得淋漓盡致，虛擬化技術放大了安全威脅，將系統(tǒng)暴露于外界。虛擬機動態(tài)地被創(chuàng)建、遷移，虛擬機的安全措施必須相應地自動創(chuàng)建、遷移，可虛擬機本身就是可以在二層網絡中任意遷移，安全防護很難針對虛擬機做防護，尤其在遷移的過程中。虛擬機在沒有安全措施或安全措施沒有自動創(chuàng)建時，容易導致接入和管理虛擬機的密鑰被盜、相應的服務遭受攻擊、弱密碼或者無密碼的賬號被盜用。虛擬化增大了安全威脅，且沒有很好的手段去防護。眾所周知，Hypervisor為虛擬化的核心技術，可以捕獲 CPU指令，為指令訪問硬件控制器和外設充當中介，協(xié)調所有CPU資源分配，運行在比操作系統(tǒng)特權還高的最高優(yōu)先級上。一旦 Hypervisor被攻擊破解，在Hypervisor上的所有虛擬機將無任何安全保障，直接暴露在攻擊之下，這將給系統(tǒng)帶來極大安全隱患。

2.3 網絡層面

云計算本質就是利用網絡將處于不同位置的計算資源集中起來，然后通過協(xié)同軟件，讓所有的計算資源一起工作完成某些計算功能。這樣在云計算的運行過程中，需要大量的數據通過網絡傳輸，在傳輸過程中數據私密性與完整性存在很大威脅，云計算資源需要分布式部署路由、域名配置復雜，更容易遭受網絡攻擊。對于IaaS，DDoS攻擊不僅來自外部網絡，也容易來自內部網絡。包括隔離措施不當造成的用戶數據泄漏，用戶遭受相同物理環(huán)境下其他惡意用戶攻擊等等，傳統(tǒng)網絡面臨的攻擊在云計算環(huán)境中都存在，并且威脅被放大。

3 私有云安全的保障

私有云相對于傳統(tǒng)云計算應用的安全性有更好的保障，但隔絕了傳統(tǒng)的虛擬化安全問題的情況下，又產生了新的安全問題及威脅。在企業(yè)私有云環(huán)境下，有多重的多業(yè)務和多租戶資源環(huán)境，業(yè)務之間和租戶之間存在復雜性和企業(yè)信任等問題。

3.1 控制訪問

通過制定嚴格的訪問控制策略，完善認證機制，保證用戶、租戶不能訪問超出自己權限的文件。以云計算的外包的服務模式造成了以虛擬化技術為基礎的極大的虛擬化資源安全問題，也制約了云計算的發(fā)展。由此我們可以通過將與核心技術的相關的雙重加密算法將企業(yè)“投射”到這個環(huán)境中，操作控制環(huán)境，實現特殊的目的。文件保險柜系統(tǒng)可用來集中存儲核心文件，在訪問文件保險柜需要雙重身份認證，有效地保護私密文件，防止他人查看或者竊取。采用API監(jiān)控結合技術的采集能力，運用數據采集的云安全設備，完善數據認證和數據訪問機制。

3.2 監(jiān)控管制

由于軟件IT應用的生命周期的時限限制，到達一定壽命時段，企業(yè)就需對其進行云過渡、云遷移，對于剛實施云的企業(yè)來說，將數據從原有的主存儲系統(tǒng)遷移到新的云存儲系統(tǒng)中時，此遷移的過程則帶來了極大的安全隱患和威脅，而操作的準確性和恰當性則至關重要，一次不小心的不當行為，將導致企業(yè)數據的丟失，甚至是核心資料的丟失。而對此可采用虛擬技術模擬可能發(fā)生的情況和路徑，結合云計算技術中利用的虛擬化技術從云計算虛擬化安全角度出發(fā)，完善對生產、生活過程中虛擬化技術產生的數據以及相關指令結合硬件進行監(jiān)管和審核。

3.3 軟硬件結合

通過在云服務器中添加硬件可信模塊的手段改進云安全軟件監(jiān)控，時刻發(fā)現網內新產生的程序、軟件或數據，通過軟硬件解耦及功能抽象，使網絡設備功能不再依賴于專用硬件，資源可以充分靈活共享，實現新業(yè)務的快速開發(fā)和部署，并基于實際業(yè)務需求進行自動部署、彈性伸縮、故障隔離和自愈等。

3.4 數據加密

采用更加高效安全的數據加密算法，對客戶或租戶存儲于云端的數據進行加密，保證只有秘鑰的持有者才可以訪問加密數據，從而保障用戶數據的隱私性與安全性。

3.5 惡意程序的檢測

從內而外，從上至下，對難以處置的惡意程序和新發(fā)現的惡意程序第一時間感知，進一步降低威脅發(fā)現的延遲。由于不少企業(yè)的私有云服務并沒有數據加密的服務，防火墻和系統(tǒng)被黑客用一臺虛擬機模擬得到同一服務器的秘鑰，所以采用虛擬化可采取雙重甚至多重的防護機制可以防止黑客多次惡意攻擊。

4 結語

目前，隨著信息化建設的深入，市面上虛擬化技術的普及度大幅度提升，而隨著云服務技術的推廣與深入，市場對于云架構的需求也顯著提升。私有云計算已經成為如今全球IT企業(yè)特別關注和加大投入的重點領域，其安全問題也隨之成為社會各界關注的焦點和熱點。隨著私有云計算的應用和推廣，只有將當前環(huán)境中存在的安全風險分析透徹，并通過一定科學技術和管理方法制定出相應的安全措施，才可以最大限度地保證私有云數據中心網絡計算環(huán)境的安全。

參考文獻：

[1] 侯利明.基于私有云數據中心網絡安全的應用探討[J].計算機光盤軟件與應用， 2014（20）：183-183.

[2] 羅軍舟，金嘉暉，宋愛波，東方.云計算：體系架構與關鍵技術[J].通信學報，2011（7）.

【通聯(lián)編輯：張薇】