◆鄧麗慧

?

淺析云計(jì)算中面臨的計(jì)算機(jī)安全防護(hù)對策

◆鄧麗慧

（69064 部隊(duì) 新疆 841000）

隨著分布式應(yīng)用技術(shù)的高速發(fā)展，云計(jì)算的優(yōu)點(diǎn)逐步顯現(xiàn)，并取得了大規(guī)模的運(yùn)用。云計(jì)算將龐大的計(jì)算機(jī)運(yùn)算能力和存儲能力相整合，在實(shí)現(xiàn)跨地區(qū)資源共享的同時(shí)，也為計(jì)算機(jī)用戶提供一種高效、快捷的按需服務(wù)。云計(jì)算的不斷普及也給計(jì)算機(jī)安全帶來了新的挑戰(zhàn)，如何有針對性地改善云服務(wù)下的安全隱患成為了云服務(wù)發(fā)展過程中急需解決的問題。本文通過對云計(jì)算入侵手段和云計(jì)算構(gòu)架建設(shè)兩個(gè)角度，分析當(dāng)下云計(jì)算面臨的各類安全隱患，淺析基于云計(jì)算安全防護(hù)對策。

云計(jì)算；入侵手段；安全防護(hù)對策

0 前言

2017年2月24日名云安全服務(wù)商Cloudflare被爆泄露用戶 HTTPS 網(wǎng)絡(luò)會(huì)話中的加密數(shù)據(jù)長達(dá)數(shù)月，其中不乏我們所熟知的優(yōu)步（Uber）、OKCupid、Fibit。為此，云計(jì)算的安全問題再次成為了焦點(diǎn)，由于云計(jì)算處于異構(gòu)虛擬環(huán)境當(dāng)中，基于主機(jī)和網(wǎng)絡(luò)的入侵檢測的防護(hù)手段已經(jīng)不能直接采用，因此必須展開異構(gòu)虛擬環(huán)境下的云計(jì)算新型安全防護(hù)研究工作，將防護(hù)手段作出進(jìn)一步的提升，來滿足新形勢下的計(jì)算機(jī)安全。

1 云計(jì)算綜述

云計(jì)算作為一種運(yùn)用較為廣泛的商業(yè)計(jì)算模型，其原理是將傳統(tǒng)的分布式計(jì)算、網(wǎng)絡(luò)存儲、負(fù)載均衡、效用計(jì)算、虛擬化等計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)相結(jié)合，在其基礎(chǔ)上利用互聯(lián)網(wǎng)將成本低廉的本地計(jì)算機(jī)進(jìn)行整合成為一套功能強(qiáng)大的系統(tǒng)。云計(jì)算通過互聯(lián)網(wǎng)向計(jì)算機(jī)用戶提供定制的按需服務(wù)并給予快速響應(yīng)，同時(shí)也為用戶帶來良好的經(jīng)濟(jì)效益。形成了以用戶為核心，資源向用戶共享的新型商業(yè)計(jì)算服務(wù)模式。云計(jì)算模型通常包含：虛擬化、超大規(guī)模、可靠性、通用性、可拓展性、按需服務(wù)、價(jià)格低廉七大特征，云計(jì)算模式分為：基礎(chǔ)架構(gòu)即時(shí)服務(wù)（Iaas）、軟件及服務(wù)（SaaS）、平臺即服務(wù)（Paas）三類云計(jì)算服務(wù)模型。

2 云計(jì)算的安全隱患

云計(jì)算的安全防護(hù)策略應(yīng)給予實(shí)際業(yè)務(wù)需求和等級保護(hù)要求，部署一套完善的安全防護(hù)策略，在防止非法用戶對核心業(yè)務(wù)訪問的同時(shí)也要保護(hù)數(shù)據(jù)的安全儲存和傳輸。由于云計(jì)算虛擬異構(gòu)且無邊界的特點(diǎn)，使得云計(jì)算在互聯(lián)網(wǎng)中面臨更多安全威脅，相比傳統(tǒng)主機(jī)，云環(huán)境下的入侵攻擊速度更快，破壞性更強(qiáng)，黑客一旦利用云計(jì)算的大帶寬發(fā)起DDos攻擊，將會(huì)給企業(yè)及云計(jì)算服務(wù)器造成嚴(yán)重的損失。目前常見的云計(jì)算入侵行為有：非法授權(quán)訪問、誤用和濫用、漏洞攻擊、基于主機(jī)或基于網(wǎng)絡(luò)的攻擊等。以下具體探析幾種常見的入侵行為造成的危害。

2.1拒絕服務(wù)攻擊

由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷，拒絕服務(wù)攻擊成為了攻擊者最喜愛的攻擊手段，傳統(tǒng)的DOS攻擊很少能對云服務(wù)造成威脅，但黑客為了造成云計(jì)算無法提供正常的服務(wù)，采用了分布較為廣泛、網(wǎng)絡(luò)資源利用率更大的分布式拒絕攻擊（DDOS），攻擊者集合許多網(wǎng)絡(luò)帶寬同時(shí)對一個(gè)目標(biāo)反復(fù)發(fā)送大量看似合理的請求，使目標(biāo)資源耗盡，造成目標(biāo)服務(wù)器網(wǎng)絡(luò)擁塞、無法與外界通訊。

2.2端口掃描

端口掃描可以使攻擊者在不留痕跡的情況下向目標(biāo)主機(jī)發(fā)送一串端口掃描代碼，掌握目標(biāo)服務(wù)器提供的網(wǎng)絡(luò)服務(wù)協(xié)議類型，通過分析目標(biāo)服務(wù)器對外開放的多種服務(wù)端口，找到適合攻擊的薄弱點(diǎn)。使得一個(gè)看似正常的通訊通道變成一條隱蔽的入侵通道，從而達(dá)到竊取數(shù)據(jù)的目的。

2.3 SQL注入攻擊

攻擊者利用目標(biāo)服務(wù)器安全漏洞，向目標(biāo)服務(wù)器中的Web應(yīng)用程序注入SQL代碼取得服務(wù)器數(shù)據(jù)庫的管理權(quán)限，通過數(shù)據(jù)庫管理權(quán)限提升操作系統(tǒng)用戶權(quán)限，最終達(dá)到控制服務(wù)器操作系統(tǒng)、獲取用戶數(shù)據(jù)信息及私密文件的目的。由于SQL代碼本身并不帶有病毒特征，因此對于絕大多數(shù)的防火墻來說，SQL攻擊“合法”，不易于發(fā)現(xiàn)，從而導(dǎo)致系統(tǒng)的用戶做出錯(cuò)誤的決策，造成更大的危害。

3 云計(jì)算安全防護(hù)策略探究

在設(shè)計(jì)安全防護(hù)策略時(shí)，要充分考慮到流動(dòng)性強(qiáng)、種類豐富、面向大眾及虛擬化異構(gòu)環(huán)境下的安全防護(hù)需求，結(jié)合云服務(wù)的自身特點(diǎn)，建立一個(gè)多層次、多方面的安全防護(hù)體系，才能對云計(jì)算體系中的信息安全和體統(tǒng)穩(wěn)定性起到保護(hù)作用。

3.1搭建算法可信的云架構(gòu)

目前，云計(jì)算以服務(wù)角度來劃分，分為五種：私有云、公有云、混合云、行業(yè)云、移動(dòng)云，無論用戶使用的是哪一種云服務(wù)都離不開超文本傳輸協(xié)議（HTTP），以互聯(lián)網(wǎng)交易支付為例，為了加強(qiáng)傳輸?shù)陌踩远捎昧艘园踩珵槟康牡耐ǖ馈狧TTPS通道，通過加入SSL層提供身份驗(yàn)證與加密通訊，分析研究發(fā)現(xiàn)HTTPS 最重要的數(shù)據(jù)就是 SSL 的私鑰，一旦私鑰泄露，整個(gè)通訊握手過程就可能被劫持，簽名可能被偽造，從而使整個(gè) HTTPS 傳輸傳輸過程變的毫無安全可言。傳統(tǒng)的私鑰使用方案就是將私鑰和應(yīng)用程序綁定在一起。這種方案讓私鑰部署在云端或者內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）中存在較大的安全隱患，造成信息泄露。為了降低私鑰泄露的可能性，考慮在云端應(yīng)用中實(shí)現(xiàn)無密鑰加載架構(gòu)確保用戶對私鑰的絕對控制，迫使云端接觸不到私鑰，從而降低泄露風(fēng)險(xiǎn)。接入時(shí)用戶首先發(fā)起HTTPS握手請求，當(dāng)涉及到私鑰計(jì)算的時(shí)候，云端輸入輸出單元將私鑰運(yùn)算請求通過加密的協(xié)議傳遞到用戶自己的私鑰服務(wù)器上，私鑰服務(wù)器調(diào)用用戶的私鑰完成計(jì)算，完成后將計(jì)算結(jié)果返回給云端輸入輸出單元，云端輸入輸出單元繼續(xù)進(jìn)行請求處理。整個(gè)過程中云端服務(wù)器接觸HTTPS私鑰從而可以更好地實(shí)現(xiàn)用戶的私鑰安全性。

3.2加強(qiáng)云端安全管理

加強(qiáng)云端安全管理主要為了防止云計(jì)算平臺的物理環(huán)境免遭地震、火災(zāi)、鼠害、水災(zāi)等隱患以及內(nèi)部人員人為行為導(dǎo)致的破壞。主要措施包括：服務(wù)器安防的選擇、建立嚴(yán)格的物理訪問控制、確保防盜竊、防破壞、防雷、防火、防水、防靜電、防塵、防電磁干擾、供電安全、通訊線路安全，防止云端服務(wù)器遭到內(nèi)部破壞。

3.3加強(qiáng)威脅發(fā)現(xiàn)管理

眾所周知，防火墻一般是互聯(lián)網(wǎng)最常見的安全防護(hù)措施，防火墻根據(jù)事先制定的規(guī)則，對進(jìn)出防火墻內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行一一比對，比對成功相互匹配的則放行通過，對比失敗的則被認(rèn)定為有害數(shù)據(jù)予以攔截，從而起到安全防護(hù)作用，雖然如此防火墻攔截功能也有其局限性，它只能對外部數(shù)據(jù)包進(jìn)行分析檢測，對內(nèi)部發(fā)生的入侵行為則束手無策。為解決此類問題，引入入侵檢測系統(tǒng)對云端安全防護(hù)至關(guān)重要，入侵檢測系統(tǒng)（IDS）通過對網(wǎng)絡(luò)中的多個(gè)關(guān)鍵點(diǎn)去收集信息并進(jìn)行適當(dāng)?shù)姆治觯瑥闹邪l(fā)現(xiàn)是否存在黑客惡意攻擊和破壞計(jì)算機(jī)以及網(wǎng)絡(luò)系統(tǒng)資源的行為并進(jìn)行相應(yīng)的處理。傳統(tǒng)的IDS存在對未知入侵行為檢測效果不理想，以及難以檢測出專業(yè)人員攻擊和蓄意破壞的行為。為此，在云端進(jìn)行IDS部署時(shí)，應(yīng)當(dāng)將傳統(tǒng)的網(wǎng)絡(luò)入侵檢測和主機(jī)入侵檢測相結(jié)合形成一個(gè)新型分布式檢測結(jié)構(gòu)，針對云計(jì)算環(huán)境下未知的攻擊行為制定一套BP神經(jīng)網(wǎng)絡(luò)的異常檢測體系來保障云計(jì)算的信息安全。

3.4構(gòu)建安全防護(hù)體系

云計(jì)算服務(wù)器安全防護(hù)部署一般采用分區(qū)規(guī)劃、分層部署的方式進(jìn)行，分區(qū)與分區(qū)之間采用VPN進(jìn)行數(shù)據(jù)傳輸，分區(qū)邊界上部署防DDOS攻擊，異構(gòu)多重防火墻，IDS以及負(fù)載均衡做到數(shù)據(jù)信息安全防護(hù)，在用戶管理上應(yīng)當(dāng)建立規(guī)則一致的云服務(wù)身份管理及安全審計(jì)策略，通過分區(qū)域嚴(yán)格把控權(quán)限的控制機(jī)制來實(shí)現(xiàn)跨區(qū)域間的身份認(rèn)證、訪問控制及授權(quán)行為。在數(shù)據(jù)傳輸加密上盡可能與用戶采取DES對稱加密算法，確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全及存儲安全。在數(shù)據(jù)災(zāi)備上依托開源Xen平臺采用后端磁盤存儲的方式，通過Linux命令對數(shù)據(jù)進(jìn)行備份和恢復(fù)。

4 結(jié)束語

隨著云計(jì)算的不斷發(fā)展和運(yùn)用，云計(jì)算中的各類系統(tǒng)和應(yīng)用依然會(huì)面對各類病毒和惡意黑客的攻擊，不斷完善云服務(wù)平臺的安全性和穩(wěn)定性會(huì)是一個(gè)長久的問題，因此當(dāng)面臨新的安全威脅時(shí)，只有不斷探索開發(fā)和完善安全技術(shù)，并引入新的安全技術(shù)來解決云計(jì)算模式下所特有的安全問題，才能推動(dòng)云計(jì)算安全發(fā)展。

[1]張繼平.云存儲解析[M].人民郵電出版社，2013.

[2]譚湘.基于防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)[D].西安電子科技大學(xué)，2013.

[3]李彥賓.云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)部署[J].網(wǎng)絡(luò)與信息，2012.

[4]紀(jì)祥敏，景林，舒兆港.下一代互聯(lián)網(wǎng)絡(luò)入侵檢測系統(tǒng)研究[J].計(jì)算機(jī)仿真，2013.

[5]張亞琦.教育云平臺應(yīng)用服務(wù)架構(gòu)建模與實(shí)現(xiàn)[D].武漢理工大學(xué)，2014.