伍曉泉 胡春潮 尤毅 曾杰

廣東電科院能源技術(shù)有限責(zé)任公司 廣東 廣州 510030

1 云計算平臺的內(nèi)涵

云計算(Cloud Computing)是由分布式計算(Distributed Computing)、并行處理(Parallel Computing)、網(wǎng)格計算(Grid Computing)發(fā)展來的，是一種新興的商業(yè)計算模型。云計算平臺廠商通過建立網(wǎng)絡(luò)服務(wù)器集群，向各種不同類型客戶提供在線軟件服務(wù)、硬件租借、數(shù)據(jù)存儲、計算分析等不同類型的服務(wù)。近幾年，隨著虛擬化、邊緣計算、人工智能、容器和區(qū)塊鏈計數(shù)的高速發(fā)展，云計算平臺憑借響應(yīng)快速、部署方便靈活、高可用性、成本低廉等優(yōu)勢，在網(wǎng)絡(luò)服務(wù)中得以廣泛應(yīng)用[1]。

2 云計算平臺的安全風(fēng)險和主要威脅

（1）鏡像篡改。云主機(jī)的部署通常采用同一個鏡像以期獲得統(tǒng)一的運(yùn)行環(huán)境和應(yīng)用軟件，從而避免復(fù)雜的配置過程，但如果該鏡像被惡意篡改，如被植入病毒，那么后續(xù)基于此鏡像創(chuàng)建的云主機(jī)都會遭到破壞。確保鏡像的完整性不受破壞是整個云主機(jī)安全的基石，尤為重要。

（2）越權(quán)的操作和訪問。對系統(tǒng)和數(shù)據(jù)的訪問管理和控制不力往往導(dǎo)致非法（越權(quán)）訪問，例如憑據(jù)保護(hù)不足、缺乏自動輪換密鑰密碼和證書的功能、未使用多因素身份驗(yàn)證、未使用強(qiáng)密碼等導(dǎo)致關(guān)鍵密鑰密碼的容易被竊取或者暴力破解，從而對云計算主機(jī)造成破壞或者被攻擊者非法使用，如托管惡意軟件，發(fā)起DDoS攻擊，分發(fā)網(wǎng)絡(luò)釣魚電子郵件，挖掘數(shù)字貨幣，執(zhí)行自動點(diǎn)擊欺詐或進(jìn)行暴力攻擊以竊取憑據(jù)。另一方面，若云主機(jī)配置的變更控制不力，內(nèi)部人員可能有意或無意地使系統(tǒng)和數(shù)據(jù)面臨風(fēng)險。例如運(yùn)維人員錯誤地配置了資源權(quán)限而意外地泄露了機(jī)密數(shù)據(jù)。

（3）資源遷移。在虛擬環(huán)境中，虛擬機(jī)的遷移很常見。在虛擬資源遷移過程中，需要采取校驗(yàn)或密碼技術(shù)等措施保證虛擬資源數(shù)據(jù)的完整性，并在檢測到完整性受到破壞時也應(yīng)該采取必要的恢復(fù)措施。

（4）主機(jī)越權(quán)。提供虛擬資源的主機(jī)上通常存在管理組件，如Hypervisor，這些組件可以說是當(dāng)前虛擬化的核心。由于它們可以協(xié)調(diào)各種硬件資源的分配，因此它的權(quán)限非常之大。云服務(wù)商也可能會使用其他云服務(wù)商的服務(wù)，使用第三方的功能、性能組件，造成云計算平臺復(fù)雜且動態(tài)變化。隨著復(fù)雜性的增加，云計算平臺實(shí)施有效的數(shù)據(jù)保護(hù)措施更加困難，客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風(fēng)險增大。如果管理組件或主機(jī)操作系統(tǒng)被攻擊，則運(yùn)行在虛擬化組件之上的所有虛擬資源都會被波及。

（5）數(shù)據(jù)泄露。數(shù)據(jù)泄露是云計算平臺應(yīng)用中面臨的一項(xiàng)重大安全威脅。其原因在于數(shù)據(jù)泄露可能會嚴(yán)重?fù)p害企業(yè)的聲譽(yù)和財產(chǎn)安全，甚至導(dǎo)致重大的法律責(zé)任。數(shù)據(jù)泄露威脅包括存儲數(shù)據(jù)泄露和傳輸數(shù)據(jù)泄露。在SaaS模式，企業(yè)數(shù)據(jù)存儲在供應(yīng)商的數(shù)據(jù)中心，企業(yè)應(yīng)采取措施保障數(shù)據(jù)安全，防止由于應(yīng)用程序漏洞或者惡意特權(quán)用戶泄漏敏感信息。在一個多租戶SaaS的部署中，多個企業(yè)的數(shù)據(jù)可能會保存在相同的存儲位置，也會出現(xiàn)數(shù)據(jù)泄露問題。企業(yè)和提供商之間的數(shù)據(jù)流在傳輸過程中必須得到保護(hù)，以防止敏感信息外泄。

3 提升計算云平臺的安全性的防護(hù)技術(shù)

（1）敏感信息數(shù)據(jù)的存儲和訪問控制。數(shù)據(jù)的存儲安全性通過數(shù)據(jù)隔離和數(shù)據(jù)加密配合數(shù)據(jù)訪問控制手段進(jìn)行提升。隔離管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，分開存儲敏感數(shù)據(jù)和普通數(shù)據(jù)，只將敏感數(shù)據(jù)如密鑰密碼和用戶鑒別信息等加密存儲，可以兼顧服務(wù)效率和數(shù)據(jù)的機(jī)密性。當(dāng)云主機(jī)處理的數(shù)據(jù)大部分是敏感數(shù)據(jù)時，加密處理會對服務(wù)器性能造成損害，此時則考慮使用專用加密設(shè)備來提升，誰有權(quán)訪問數(shù)據(jù)是解決數(shù)據(jù)保護(hù)的關(guān)鍵問題，對于訪問管理，管理員賬戶應(yīng)采用雙因素認(rèn)證，并配合程序化、集中式方法進(jìn)行密鑰輪換。隔離和細(xì)分資源訪問權(quán)限，對于數(shù)據(jù)按照最低特權(quán)原則進(jìn)行訪問，未使用的憑據(jù)和訪問權(quán)限及時刪除。管理員修改信息資源的訪問控制權(quán)限時，需要二次確認(rèn)，并定期審核和修復(fù)云計算主機(jī)的配置，監(jiān)控云計算主機(jī)是否受到濫用。

（2）數(shù)據(jù)傳輸過程中的信息安全。傳輸?shù)臄?shù)據(jù)分為機(jī)密數(shù)據(jù)和普通數(shù)據(jù)。對于普通數(shù)據(jù)，僅需保證其在傳輸過程中不被篡改，數(shù)據(jù)的完整性不被破壞。普通的云主機(jī)鏡像和資源遷移就屬于此類數(shù)據(jù)。而對于機(jī)密數(shù)據(jù)，還需進(jìn)一步加密處理。對于行業(yè)內(nèi)私有平臺內(nèi)部相關(guān)數(shù)據(jù)和信息資源，采用公鑰基礎(chǔ)設(shè)施和數(shù)字簽名證書技術(shù)的專有協(xié)議加密傳輸?shù)臄?shù)據(jù)。專有協(xié)議需考慮到機(jī)密性、不可抵賴性、數(shù)據(jù)完整性以及抗重放攻擊。機(jī)密性遵循“一次一密”的原則，并能定時更新；不可抵賴性則主要依靠PKI（公鑰基礎(chǔ)設(shè)施）技術(shù)；數(shù)據(jù)完整性則依賴于摘要算法如SM3等；抗重放攻擊則通過在報文中添加時間戳解決。由于使用了專用的加密傳輸協(xié)議，破解難度極大，安全性極高，可很好地解決傳輸過程中的數(shù)據(jù)泄露問題。

（3）操作系統(tǒng)加固。云主機(jī)應(yīng)對操作系統(tǒng)進(jìn)行定制裁剪處理，禁用不必要的和危險的系統(tǒng)服務(wù)，對常用服務(wù)進(jìn)行安全加固；調(diào)整內(nèi)核參數(shù)。對系統(tǒng)鏡像進(jìn)行簽名，確保其完整性不受破壞。

（4）日志審計。一個完整的信息安全技術(shù)保障體系應(yīng)由檢測、保護(hù)和響應(yīng)三部分組成，而日志審計是檢測安全事件的不可或缺重要手段之一。日志審計是一種被動防護(hù)手段，作為主動防護(hù)手段的補(bǔ)充。目前，大部分信息系統(tǒng)的所依賴的IDS/IPS系統(tǒng)只能檢測部分來之網(wǎng)絡(luò)的攻擊事件，對運(yùn)維人員的違規(guī)操作、系統(tǒng)運(yùn)行異常、設(shè)備故障等安全事件缺乏監(jiān)控能力，而這些異常事件恰恰是對內(nèi)部信息系統(tǒng)安全威脅的最大部分。日志審計通過分析系統(tǒng)、應(yīng)用、數(shù)據(jù)庫產(chǎn)生的運(yùn)行日志，能夠及時發(fā)現(xiàn)入侵檢測系統(tǒng)檢測到的各類安全隱患，并及時發(fā)出告警，從而避免安全事件的發(fā)生；即使安全事件不幸發(fā)生了，也可通過日志審計做到追本溯源，有助于找到問題的根本原因，厘清責(zé)任。

4 結(jié)束語

相信隨著云計算的深入發(fā)展，國內(nèi)云計算安全標(biāo)準(zhǔn)化工作的推進(jìn)，各種安全實(shí)踐會不斷成熟，將進(jìn)一步豐富和完善云計算平臺的安全防護(hù)技術(shù)。