劉瑞玲

摘要：為了確保云計(jì)算應(yīng)用效果良好型，需要充分考慮其安全問(wèn)題并結(jié)合其動(dòng)態(tài)化、分布性等方面的特征，構(gòu)建出可靠的安全模型，同時(shí)，在增強(qiáng)云數(shù)據(jù)安全性的過(guò)程中，需要在有效地管理舉措支持下，實(shí)現(xiàn)其科學(xué)管理，并提升云數(shù)據(jù)實(shí)踐應(yīng)用中潛在的價(jià)值，該文就云計(jì)算安全模型與管理展開(kāi)論述。

關(guān)鍵詞：云計(jì)算；安全模型；安全管理模式；潛在價(jià)值；應(yīng)用范圍

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）15-0043-02

1 前言

云計(jì)算已經(jīng)是非?；鸨母拍盍?，有關(guān)云計(jì)算的服務(wù)遍及各方面，有彈性計(jì)算方面的服務(wù)還有文件如何存儲(chǔ)的服務(wù)、以及關(guān)系型數(shù)據(jù)庫(kù)方面的服務(wù)等多方面。本文主要介紹彈性計(jì)算方面的服務(wù)及其安全方面的問(wèn)題，這主要原因是彈性計(jì)算是云計(jì)算最廣泛的應(yīng)用，它也是存在最大安全隱患的云服務(wù)。

2 有關(guān)云計(jì)算存在的新風(fēng)險(xiǎn)

就在云計(jì)算出現(xiàn)之前，那時(shí)候IDC機(jī)房就存在著很大的安全隱患。等云計(jì)算出現(xiàn)這些問(wèn)題又變本加厲，不光這樣，云計(jì)算自身的特點(diǎn)也給它帶來(lái)了意想不到的風(fēng)險(xiǎn)。對(duì)于云內(nèi)部所面臨的攻擊分析如下：

1）內(nèi)部不再安全

互聯(lián)網(wǎng)公司在向外界提供云計(jì)算這個(gè)業(yè)務(wù)之前，全部使用的是獨(dú)立的數(shù)據(jù)中心機(jī)房，利用防火墻將互聯(lián)網(wǎng)內(nèi)外分成兩部分。防火墻里邊屬于值得信賴的區(qū)域，屬于公司自己擁有，防火墻外邊部分則是不能相信的，黑客都在防火墻外邊。負(fù)責(zé)人員對(duì)這一塊隔離墻進(jìn)行加厚和加高、既可以保證互聯(lián)網(wǎng)的安全，也能進(jìn)行更深層次的防御。

可是在云計(jì)算出現(xiàn)了以后，這種利用防火墻進(jìn)行簡(jiǎn)單的隔離的辦法已經(jīng)力不從心了。攻擊者完全可以用買(mǎi)到的云服務(wù)器，找到網(wǎng)絡(luò)的核心之地，對(duì)網(wǎng)絡(luò)發(fā)起攻擊。另外，在云計(jì)算內(nèi)部，資源已經(jīng)不是某一家公司獨(dú)自擁有，而是越來(lái)越多的企業(yè)或個(gè)人共享著所有的內(nèi)部資源，在這其中肯定也包含有一些不懷好意的黑客，很明顯這種傳統(tǒng)的防御方法已經(jīng)很不實(shí)用了。

2）新的攻擊方式

以前DC時(shí)期，互聯(lián)網(wǎng)攻擊者在邊界防火墻的外部，和路由器及企業(yè)服務(wù)器之間能到達(dá)的也就IP協(xié)議了，所以黑客能發(fā)起的攻擊，是在這三層的上面的。

云計(jì)算的出現(xiàn)使得情況發(fā)生了很大變化。在大型網(wǎng)絡(luò)中，由云服務(wù)器供應(yīng)的那些路由器和黑客控制的被攻擊的云服務(wù)器兩層互相連接，這樣黑客就可以在更低層次上對(duì)某些設(shè)備發(fā)起有效的攻擊，比方說(shuō)利用ARP協(xié)議進(jìn)行相應(yīng)的攻擊，就像我們經(jīng)常遇到的ARP欺騙性的攻擊，還有利用以太網(wǎng)進(jìn)行的偽造性攻擊。

以太網(wǎng)的這種頭部的偽造性質(zhì)的攻擊方法，指的就是黑客通過(guò)發(fā)送特別小的數(shù)據(jù)包，此數(shù)據(jù)包是那些只包含以太網(wǎng)頭部的僅有的14個(gè)左右的字節(jié)，文件源和發(fā)送的目的地的物理地址大多數(shù)都是虛假的，最上面協(xié)議是那種只包含2個(gè)字節(jié)的一些隨機(jī)性數(shù)據(jù)，不是我們經(jīng)常所碰到的ARP協(xié)議或者IP協(xié)議，這種攻擊對(duì)交換機(jī)會(huì)造成很大影響。

3）穿透虛擬層

在云計(jì)算的時(shí)代，一臺(tái)終端主機(jī)上大多情況下會(huì)運(yùn)行多臺(tái)虛擬機(jī)，那么多臺(tái)虛擬機(jī)就會(huì)有多個(gè)不同的用戶。從一些層面上來(lái)講，這臺(tái)終端機(jī)和以前的交換機(jī)的功能差不多，實(shí)際上它的確就是一臺(tái)有交換功能的交換機(jī)，它擔(dān)負(fù)著多臺(tái)虛擬機(jī)上面的全部的流量的交換工作。如果攻擊了一臺(tái)終端主機(jī)，對(duì)網(wǎng)絡(luò)造成的危害就相當(dāng)于攻擊了以前網(wǎng)絡(luò)時(shí)代的一臺(tái)交換機(jī)?？墒侨绻绕鸾粨Q機(jī)來(lái)，到底是這臺(tái)終端主機(jī)容易被攻擊還是交換機(jī)容易被攻擊，答案是顯而易見(jiàn)的。

首先，黑客的VM是通過(guò)一個(gè)簡(jiǎn)單的虛擬層將其隔離起來(lái)，它可以直接在這臺(tái)終端主機(jī)的內(nèi)存里運(yùn)行，如果黑客發(fā)現(xiàn)了可以通過(guò)試圖穿透那些虛擬層就可達(dá)到入侵的漏洞以后，就會(huì)非常簡(jiǎn)單的完成入侵，而這些漏洞恰巧就存在于我們見(jiàn)到的那些虛擬化層的比方kvm、xen等軟件。

再者，有關(guān)交換機(jī)的內(nèi)部結(jié)構(gòu)不算復(fù)雜，很有限的開(kāi)放性的服務(wù)。而終端主機(jī)卻是一臺(tái)很標(biāo)準(zhǔn)的裝有Linux操作系統(tǒng)的服務(wù)器，在它上面運(yùn)行著具有標(biāo)準(zhǔn)協(xié)議的服務(wù)和完全開(kāi)放的Linux操作系統(tǒng)，這樣能被黑客使用的通道也要比傳統(tǒng)交換機(jī)多。

3 解決方案

有關(guān)云計(jì)算的安全性是我們要考慮的首要問(wèn)題。2013年12月10日訊，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（簡(jiǎn)稱(chēng)BSI）宣布阿里云計(jì)算有限公司（簡(jiǎn)稱(chēng)阿里云）獲得全球首張?jiān)瓢踩珖?guó)際認(rèn)證金牌（CSA-STAR），這也是BSI向全球云服務(wù)商頒發(fā)的首張金牌。

3.1 分布式虛擬交換機(jī)

為了解決云VM的網(wǎng)絡(luò)控制問(wèn)題，我們?cè)O(shè)計(jì)了一套分布式的虛擬交換機(jī)，并提供WEB API供外部調(diào)用。分布式虛擬交換機(jī)部署在每一臺(tái)宿主機(jī)里面，與控制中心通信，上報(bào)、接收安全策略。它主要提供兩大功能：

1）自動(dòng)遷移的安全組策略

在云時(shí)代，不同的用戶共用同一段IP地址，基于IP地址已經(jīng)難以區(qū)分業(yè)務(wù)了。因此，我們使用用戶ID來(lái)做區(qū)分，基于用戶ID來(lái)實(shí)現(xiàn)安全域，實(shí)施安全策略。當(dāng)用戶的VM出現(xiàn)故障遷移到其他宿主機(jī)時(shí)，這個(gè)VM的安全策略會(huì)自動(dòng)遷移過(guò)去。

2）動(dòng)態(tài)綁定過(guò)濾

我們借鑒思科的DAI技術(shù)，實(shí)現(xiàn)了對(duì)數(shù)據(jù)包的動(dòng)態(tài)檢查，在VM發(fā)出的數(shù)據(jù)包出虛擬網(wǎng)卡之前做一次過(guò)濾，剔除偽造的報(bào)文。如偽造源IP地址的報(bào)文，偽造源MAC地址的報(bào)文?？拷炊诉^(guò)濾，可以有效地減輕惡意流量對(duì)網(wǎng)絡(luò)造成的影響。

3.2 基于數(shù)據(jù)分析的云盾系統(tǒng)

從數(shù)據(jù)分析的那些個(gè)性化安全方面考慮，他們實(shí)際上與監(jiān)控方面的相關(guān)的惡意行為非常相似。我們研究并分析了每一個(gè)相關(guān)云服務(wù)器的QPS、PPS、 BPS方面的時(shí)間情況曲線圖，準(zhǔn)確了解了每個(gè)最終用戶對(duì)云計(jì)算服務(wù)器訪問(wèn)的那些規(guī)律。利用User-Agent、對(duì)于數(shù)據(jù)源的IP地址的歸屬地來(lái)計(jì)算移動(dòng)APP、個(gè)人微機(jī)的訪問(wèn)量的分布規(guī)律。我們從統(tǒng)計(jì)到的數(shù)據(jù)中，詳細(xì)制定出了每個(gè)云計(jì)算的防御策略，比方說(shuō)DoS防御方面的觸發(fā)、清洗閾值都屬于我們的數(shù)據(jù)分析方面的云盾系統(tǒng)。

另外，因?yàn)槟切┐笠?guī)模入侵的原因，那些大批量的有惡意行為的IP地址，都會(huì)被我們引以為豪的云盾系統(tǒng)獲取，比方說(shuō)密碼破解、DoS攻擊、WEB攻擊、惡意注冊(cè)等不良行為。云盾系統(tǒng)把捕獲到的IP地址放在了一個(gè)統(tǒng)一的共享的資源庫(kù)，它可以對(duì)全部的安全產(chǎn)品控制，在黑客對(duì)哪個(gè)VM攻擊以前就很好地完成了防御。

正是因?yàn)閷?duì)這些數(shù)據(jù)進(jìn)行了相應(yīng)的整合，我們的云盾形成一個(gè)完整的體系，在各個(gè)不同的層面可以進(jìn)行有效的防御，組建戰(zhàn)略縱深。各個(gè)子產(chǎn)品的數(shù)據(jù)打通，互相協(xié)助，一同進(jìn)化，保護(hù)著云平臺(tái)的安全。

4 結(jié)束語(yǔ)

總之，我認(rèn)為云計(jì)算的安全絕對(duì)不能依靠云服務(wù)提供商自己來(lái)防御，它必須是把所有網(wǎng)絡(luò)都能進(jìn)行開(kāi)放，由眾多的安全服務(wù)廠商提供自己的產(chǎn)品，為形形色色的用戶提供個(gè)性化、定制化的產(chǎn)品和服務(wù)。

參考文獻(xiàn)：

[1] 于戈，谷峪，鮑玉斌，等.云計(jì)算環(huán)境下的大規(guī)模圖數(shù)據(jù)處理技術(shù)[J].計(jì)算機(jī)學(xué)報(bào)，2011，34（10）：1753-1767.

[2] 李健，黃慶佳，劉一陽(yáng)，等.云計(jì)算環(huán)境下基于粒子群優(yōu)化的大規(guī)模圖處理任務(wù)調(diào)度算法[C]//2012年第三屆中國(guó)計(jì)算機(jī)學(xué)會(huì)服務(wù)計(jì)算學(xué)術(shù)會(huì)議論文集.2012：1-8.

[3] 趙小換.云計(jì)算環(huán)境下的大規(guī)模圖數(shù)據(jù)處理技術(shù)分析[J].中國(guó)外資（下半月），2012（5）：275.

[4] 李東升.云計(jì)算環(huán)境下的大規(guī)模圖數(shù)據(jù)處理技術(shù)[J].信息與電腦，2015（8）：35-35，40.