宋婷婷

(福州理工學(xué)院，福建 福州 350508)

隨著信息化技術(shù)和架構(gòu)不斷演進(jìn)，云計(jì)算技術(shù)應(yīng)運(yùn)而生。該技術(shù)給各行各業(yè)的應(yīng)用帶來了便利，又具有降低能耗，節(jié)省成本等優(yōu)勢。但由于云計(jì)算的集中管理和大規(guī)模應(yīng)用，易成為黑客攻擊的重點(diǎn)對(duì)象。近幾年習(xí)主席多次強(qiáng)調(diào)：“沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障[1]。”2019年12月1日正式實(shí)施的信息安全等級(jí)保護(hù)2.0成了各云計(jì)算平臺(tái)合格驗(yàn)收的硬性條件?？梢?，云計(jì)算平臺(tái)的安全問題愈發(fā)受到重視。

1 云計(jì)算平臺(tái)

1.1 云計(jì)算平臺(tái)服務(wù)模式

云計(jì)算是利用虛擬化軟件把許多計(jì)算資源整合起來，實(shí)現(xiàn)自動(dòng)化管理，通過互聯(lián)網(wǎng)就能快速提供相關(guān)資源。其服務(wù)有三種模式，如圖1，分別是 IaaS、PaaS、SaaS。

圖1 IaaS、PaaS、SaaS架構(gòu)圖

IaaS：基礎(chǔ)設(shè)施即服務(wù)，提供對(duì)包括CPU、內(nèi)存、網(wǎng)絡(luò)、存儲(chǔ)等所有計(jì)算基礎(chǔ)設(shè)施的應(yīng)用服務(wù)。

PaaS：平臺(tái)即服務(wù)，提供開發(fā)語言(如Java，python, .Net等)和工具開發(fā)的應(yīng)用程序在云計(jì)算環(huán)境中部署。使用者可直接應(yīng)用云計(jì)算環(huán)境中的開發(fā)語言和工具等，而不需要控制包括網(wǎng)絡(luò)、宿主機(jī)、存儲(chǔ)等云計(jì)算基礎(chǔ)設(shè)施。

SaaS：軟件即服務(wù)，提供的服務(wù)是運(yùn)行在云計(jì)算基礎(chǔ)設(shè)施上的應(yīng)用程序，使用者可在各種設(shè)備上通過客戶端界面訪問(如瀏覽器)，而不需要管理任何云計(jì)算基礎(chǔ)設(shè)施[2]。

1.2 云計(jì)算平臺(tái)架構(gòu)

為更清楚地介紹云計(jì)算平臺(tái)的安全防護(hù)，需要了解云平臺(tái)架構(gòu)。目前不論是公有云、私有云還是混合云，根據(jù)云平臺(tái)需求規(guī)模和將來部署在云平臺(tái)上的應(yīng)用需求，來選擇不同部署方式。如果應(yīng)用系統(tǒng)要求讀寫快、高性能、高安全、高可靠，則可選擇FCSAN集中式存儲(chǔ)部署。如中小規(guī)模的政務(wù)云、中小企業(yè)或?qū)W校的私有云等。若應(yīng)用系統(tǒng)要求高擴(kuò)展、易運(yùn)維和上線快，則可選擇分布式存儲(chǔ)部署平臺(tái)，如中國電信的大型公有云平臺(tái)、天翼云等。

圖2 云資源池平臺(tái)通用架構(gòu)圖

下面以FCSAN集中式存儲(chǔ)方式部署云平臺(tái)為例，進(jìn)行云平臺(tái)架構(gòu)的介紹。如圖2，云資源池平臺(tái)一般由FC存儲(chǔ)、光纖交換機(jī)、服務(wù)器、接入交換機(jī)、匯聚交換機(jī)、核心交換機(jī)和防火墻搭建而成。當(dāng)然根據(jù)運(yùn)營商接入數(shù)量和業(yè)務(wù)訪問級(jí)別，視情況需要增加鏈路負(fù)載均衡和服務(wù)器負(fù)載均衡等設(shè)備。

在云平臺(tái)搭建過程中須充分考慮冗余，以保證應(yīng)用業(yè)務(wù)的連續(xù)性。所以光纖交換機(jī)、接入交換機(jī)、匯聚交換機(jī)和核心交換機(jī)一般是兩臺(tái)堆疊，服務(wù)器雙鏈路和相應(yīng)的交換機(jī)互聯(lián)。FC存儲(chǔ)上不同控制器的前端端口和兩臺(tái)光纖交換機(jī)要交叉互聯(lián)，同時(shí)為了使業(yè)務(wù)、管理和存儲(chǔ)流量相互隔離，在云平臺(tái)設(shè)計(jì)時(shí)要考慮業(yè)務(wù)網(wǎng)、管理網(wǎng)和存儲(chǔ)網(wǎng)分開。

2 云計(jì)算平臺(tái)安全防護(hù)必要性

一般的云計(jì)算平臺(tái)防護(hù)比較脆弱，基本上靠防火墻等安全設(shè)備對(duì)云平臺(tái)和其承載的應(yīng)用業(yè)務(wù)進(jìn)行安全防護(hù)。由于安全防護(hù)弱，再加上云平臺(tái)集中承載應(yīng)用業(yè)務(wù)和大量數(shù)據(jù)，一旦受到攻擊，影響面就非常大，所以很容易成為黑客攻擊的對(duì)象。因此做好云平臺(tái)的安全防護(hù)是十分必要。目前云計(jì)算平臺(tái)面臨的主要安全威脅方式如下：

1．惡意程序。惡意程序是一段帶有攻擊目的的程序，主要有特洛伊木馬、蠕蟲病毒等。2019 年全年捕獲計(jì)算機(jī)惡意程序樣本數(shù)量超過 6200 萬個(gè)，日均傳播次數(shù)達(dá) 824 萬余次，涉及計(jì)算機(jī)惡意程序家族 66 萬余個(gè)。惡意程序?qū)υ破脚_(tái)和應(yīng)用的安全危害風(fēng)險(xiǎn)可見一斑。

2．安全漏洞。安全漏洞是指計(jì)算機(jī)硬件、操作系統(tǒng)、應(yīng)用程序、中間件和數(shù)據(jù)庫在開發(fā)時(shí)，受到技術(shù)限制或無意中留下的入口。它會(huì)使計(jì)算機(jī)遭受病毒和黑客攻擊。常見的安全漏洞有代碼注入，緩存區(qū)溢出，會(huì)話固定，路徑訪問，跨站漏洞等。2019年國家信息安全漏洞共享平臺(tái)(CNVD)收錄安全漏洞數(shù)量創(chuàng)下歷史新高，收錄安全漏洞數(shù)量同比增長了 14.0%，共計(jì)16193個(gè)。

3．DDoS攻擊。分布式拒絕服務(wù)攻擊(DDoS)是指在不同地方的攻擊者同時(shí)向目標(biāo)發(fā)動(dòng)攻擊，通常會(huì)造成出口網(wǎng)絡(luò)擁塞，云主機(jī)無法訪問，很多大型網(wǎng)站都無法進(jìn)行操作等現(xiàn)象。最常見的攻擊方式是SYN Flood，它是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式[3]。2019年抽樣監(jiān)測發(fā)現(xiàn)我國境內(nèi)峰值超過10Gbps 的大流量分布式拒絕服務(wù)攻擊(DDoS 攻擊)事件數(shù)量平均每日220起，同比增加40%。

4．網(wǎng)站安全。網(wǎng)站安全主要面臨網(wǎng)站仿冒，網(wǎng)站后門和網(wǎng)頁篡改等風(fēng)險(xiǎn)。攻擊者主要利用Web服務(wù)器的漏洞和網(wǎng)頁漏洞發(fā)起攻擊。2019 年監(jiān)測發(fā)現(xiàn)約 8.5萬個(gè)針對(duì)我國境內(nèi)網(wǎng)站的仿冒頁面，頁面數(shù)量較 2018年增長了59.7%；監(jiān)測網(wǎng)站植入后門，境內(nèi)外對(duì)我國境內(nèi)約 8.5萬個(gè)網(wǎng)站植入后門，比2018年增長超過2.59倍；監(jiān)測網(wǎng)頁篡改的網(wǎng)站有約18.6萬個(gè)。

5．云平臺(tái)安全。2019年發(fā)生在我國云平臺(tái)上的網(wǎng)絡(luò)安全事件相比2018年進(jìn)一步加劇。首先，我國主流云平臺(tái)上發(fā)生DDoS 攻擊次數(shù)占境內(nèi)目標(biāo)被攻擊次數(shù)的74.0%、被植入后門鏈接數(shù)量占境內(nèi)全部被植入后門鏈接數(shù)量的86.3%、被篡改網(wǎng)頁數(shù)量占境內(nèi)被篡改網(wǎng)頁數(shù)量的87.9%；其次，攻擊者經(jīng)常利用我國云平臺(tái)發(fā)起網(wǎng)絡(luò)攻擊[4]。云平臺(tái)作為控制端發(fā)起DDoS攻擊次數(shù)占境內(nèi)控制發(fā)起DDoS攻擊次數(shù)的86.0%，作為木馬和僵尸網(wǎng)絡(luò)惡意程序控制的被控端IP地址數(shù)量占境內(nèi)全部被控端IP地址數(shù)量的89.3%，承載的惡意程序種類數(shù)量占境內(nèi)互聯(lián)網(wǎng)上承載的惡意程序種類數(shù)量的81.0%。

可見，云平臺(tái)安全形勢日益嚴(yán)重，加強(qiáng)云計(jì)算平臺(tái)安全防護(hù)刻不容緩，云計(jì)算平臺(tái)的安全防護(hù)則顯得十分重要。

3 云計(jì)算平臺(tái)安全防護(hù)建設(shè)方案

隨著云計(jì)算平臺(tái)安全形勢愈發(fā)嚴(yán)峻，為適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要，國家發(fā)布的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本，在2019年12月1日正式生效。信息安全等級(jí)保護(hù)1.0版本主要強(qiáng)調(diào)物理主機(jī)、應(yīng)用、數(shù)據(jù)、傳輸，而信息安全等級(jí)保護(hù)2.0版本增加了對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)新應(yīng)用的全覆蓋[5]。國家要求對(duì)新建的且用于提供運(yùn)營的云計(jì)算平臺(tái)必須達(dá)到信息安全等級(jí)保護(hù)三級(jí)2.0標(biāo)準(zhǔn)，即滿足安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心的要求。云平臺(tái)安全防護(hù)架構(gòu)如圖3所示。

根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本要求，對(duì)云平臺(tái)進(jìn)行安全防護(hù)離不開增加必要的安全設(shè)備。圖3中有三角號(hào)標(biāo)識(shí)的設(shè)備為在云計(jì)算平臺(tái)架構(gòu)基礎(chǔ)上新增的安全設(shè)備。詳細(xì)說明如下：

下一代防火墻(2臺(tái))：部署在邊界安全防護(hù)區(qū)。它能夠?yàn)橛脩籼峁?yīng)用層一體化安全防護(hù)的高性能防火墻，能夠準(zhǔn)確識(shí)別用戶、應(yīng)用、內(nèi)容和威脅，并且集成了多種安全防護(hù)功能，包括入侵防御和防病毒功能。

Web安全防護(hù)系統(tǒng)(2臺(tái))：簡稱WAF，部署在邊界安全防護(hù)區(qū)。當(dāng)訪問流量經(jīng)過WAF時(shí)，根據(jù)已設(shè)置的策略，能有效識(shí)別訪問云計(jì)算平臺(tái)上承載的網(wǎng)站非法行為，從而進(jìn)行阻斷。WAF主要功能為阻止Web攻擊、防入侵、防止掛馬、防通報(bào)、防爬蟲、防CC攻擊、防WebShell攻擊等。

日志審計(jì)系統(tǒng)(1臺(tái))：部署在云平臺(tái)管理區(qū)。維護(hù)人員通過配置日志審計(jì)系統(tǒng)，把服務(wù)器、存儲(chǔ)、交換機(jī)、安全設(shè)備、虛擬機(jī)等系統(tǒng)日志自動(dòng)存到日志服務(wù)器上，并自動(dòng)進(jìn)行日志分析，從而及時(shí)發(fā)現(xiàn)異常日志。根據(jù)信息安全等級(jí)保護(hù)2.0的規(guī)定，日志審計(jì)服務(wù)器需保證日志留存時(shí)間不少于180天，且能防止日志被篡改，能夠向管理員提出警告。

堡壘機(jī)(1臺(tái))：部署在云平臺(tái)管理區(qū)。維護(hù)人員把云計(jì)算平臺(tái)中需要管理和運(yùn)維的設(shè)備配置到堡壘機(jī)中，就可通過堡壘機(jī)對(duì)各個(gè)設(shè)備進(jìn)行運(yùn)維管理。運(yùn)用堡壘機(jī)本身技術(shù)手段，監(jiān)控和記錄維護(hù)人員對(duì)云平臺(tái)中各種設(shè)備的操作行為，以便報(bào)警、及時(shí)發(fā)現(xiàn)和處理異常操作、審計(jì)時(shí)的責(zé)任認(rèn)定等。

安全態(tài)勢感知平臺(tái)(1臺(tái))：部署在云平臺(tái)管理區(qū)。安全態(tài)勢感知平臺(tái)一般包含安全態(tài)勢感知探針和安全態(tài)勢感知系統(tǒng)。探針通過鏡像流量的方式把核心交換機(jī)上的業(yè)務(wù)流量進(jìn)行收集，并在安全態(tài)勢感知系統(tǒng)上進(jìn)行分析和結(jié)果展現(xiàn)。安全態(tài)勢感知系統(tǒng)以全流量分析為核心，結(jié)合威脅情報(bào)、行為分析建模，UEBA、失陷主機(jī)檢測、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)，對(duì)全網(wǎng)流量實(shí)現(xiàn)全網(wǎng)威脅可視化、攻擊與可疑流量可視化等，在高級(jí)威脅入侵之后，損失發(fā)生之前及時(shí)發(fā)現(xiàn)威脅[6]。

網(wǎng)管系統(tǒng)(1臺(tái))：部署在云平臺(tái)管理區(qū)。網(wǎng)管系統(tǒng)能夠?qū)υ破脚_(tái)中的服務(wù)器的CPU、內(nèi)存、文件系統(tǒng)、硬盤、存儲(chǔ)的LUN使用率、交換機(jī)端口DOWN/UP等進(jìn)行性能監(jiān)控，能夠根據(jù)設(shè)置的閾值及時(shí)發(fā)現(xiàn)設(shè)備性能異常，起到報(bào)警作用。

漏洞掃描設(shè)備(1臺(tái))：部署在云平臺(tái)管理區(qū)。定期使用漏洞掃描工具對(duì)云平臺(tái)的網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、主機(jī)等進(jìn)行漏洞掃描，并將發(fā)現(xiàn)的漏洞及時(shí)進(jìn)行修復(fù)。

數(shù)據(jù)庫審計(jì)系統(tǒng)(1臺(tái))：旁掛在匯聚交換機(jī)上，維護(hù)人員可以通過對(duì)數(shù)據(jù)庫審計(jì)系統(tǒng)配置實(shí)現(xiàn)對(duì)SQLServer數(shù)據(jù)庫、MySQL數(shù)據(jù)庫和Oracle數(shù)據(jù)庫等主流數(shù)據(jù)庫進(jìn)行操作審計(jì)。當(dāng)出現(xiàn)非法人員對(duì)數(shù)據(jù)篡改等違規(guī)操作時(shí)，數(shù)據(jù)庫審計(jì)系統(tǒng)會(huì)提示、報(bào)警。根據(jù)信息安全等級(jí)保護(hù)三級(jí)2.0的規(guī)定，數(shù)據(jù)庫審計(jì)信息留存時(shí)間不少于180天。

其他安全要求：對(duì)全網(wǎng)內(nèi)交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，用命令行登錄的要設(shè)置成SSH登錄，通過Web登錄的要使用HTTPS登錄，同時(shí)相關(guān)設(shè)備的登錄要設(shè)置ACL，限制特定用戶登錄。

綜上，根據(jù)信息安全等級(jí)保護(hù)2.0要求，對(duì)云計(jì)算平臺(tái)安全防護(hù)進(jìn)行規(guī)劃和設(shè)計(jì)，通過新增安全設(shè)備和策略配置，能夠保證及時(shí)發(fā)現(xiàn)和處理安全事件，從而保證云平臺(tái)的安全穩(wěn)定運(yùn)行。

4 結(jié)語

云計(jì)算技術(shù)改變了原有IT基礎(chǔ)架構(gòu)和IT服務(wù)模式，越來越多的業(yè)務(wù)部署到云計(jì)算平臺(tái)上，平臺(tái)則面臨惡意程序、安全漏洞、DDoS攻擊、網(wǎng)頁被篡改等安全風(fēng)險(xiǎn)。安全防護(hù)建設(shè)方案必須充分考慮從安全發(fā)現(xiàn)、安全處置、安全溯源等多個(gè)層面進(jìn)行建設(shè)，從而保證云計(jì)算平臺(tái)可不間斷地對(duì)外提供服務(wù)，保證業(yè)務(wù)的連續(xù)性。