陳霄

摘要：云計(jì)算具有強(qiáng)大的數(shù)據(jù)處理功能，可以滿足安全高效的信息服務(wù)、高通量信息服務(wù)等多種應(yīng)用需求，并可根據(jù)需要擴(kuò)展存儲(chǔ)容量和計(jì)算能力。但在云計(jì)算網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)面臨著許多網(wǎng)絡(luò)安全的問(wèn)題，這些安全問(wèn)題在一定程度上限制了云計(jì)算技術(shù)的推廣，本文簡(jiǎn)要介紹了云計(jì)算環(huán)境對(duì)網(wǎng)絡(luò)安全領(lǐng)域的影響，討論了云計(jì)算技術(shù)在各行業(yè)應(yīng)用中遇到的各種安全問(wèn)題，提出了加強(qiáng)云計(jì)算技術(shù)安全的策略。

關(guān)鍵詞：云環(huán)境;網(wǎng)絡(luò)安全;安全管理;安全防御機(jī)制

中圖分類號(hào)： TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）30-0028-02

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和云計(jì)算的高可用性、易擴(kuò)展性、低服務(wù)成本等優(yōu)點(diǎn)，云計(jì)算技術(shù)越來(lái)越受到計(jì)算機(jī)業(yè)界的關(guān)注，越來(lái)越多的企業(yè)用戶愿意把企業(yè)的重要應(yīng)用和業(yè)務(wù)放在云上。在傳統(tǒng)的數(shù)據(jù)中心中，防火墻和其他為服務(wù)器提供安全保護(hù)的設(shè)備是基于安全策略的，并且為特定的服務(wù)器進(jìn)行固定配置，在現(xiàn)在云計(jì)算時(shí)代，數(shù)據(jù)中心集成的趨勢(shì)進(jìn)一步發(fā)展，但是，云計(jì)算的安全問(wèn)題隨著云計(jì)算的應(yīng)用越來(lái)越廣泛也變得越來(lái)越重要，這已經(jīng)成為云計(jì)算技術(shù)在各行業(yè)應(yīng)用中急需解決的問(wèn)題。

1 云計(jì)算應(yīng)用安全挑戰(zhàn)

隨著云計(jì)算技術(shù)的迅速發(fā)展，云計(jì)算技術(shù)的使用和云計(jì)算安全問(wèn)題日益重要，對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)生了重大影響。如何解決與云端數(shù)據(jù)聚集、處理和網(wǎng)絡(luò)傳輸數(shù)據(jù)、入侵檢測(cè)和防御有關(guān)的安全問(wèn)題，都是應(yīng)作為云計(jì)算應(yīng)用及安全問(wèn)題時(shí)需要重點(diǎn)優(yōu)先考慮的。

與普通主機(jī)的入侵行為相比，入侵云計(jì)算機(jī)環(huán)境的速度和破壞性比入侵普通主機(jī)要快，入侵者可以很快讓企業(yè)服務(wù)器癱瘓，給企業(yè)造成巨大損失。與傳統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題相比，云端網(wǎng)絡(luò)存在更多的網(wǎng)絡(luò)安全問(wèn)題，根據(jù)SPI（Saas、PaaS、IaaS）的部署模型、服務(wù)交付模式和云的本質(zhì)特征，云計(jì)算所面臨的安全問(wèn)題受到了一些挑戰(zhàn)（見(jiàn)圖1），如在SPI部署模型里，有數(shù)據(jù)泄密、惡意攻擊、服務(wù)劫持等網(wǎng)絡(luò)威脅和挑戰(zhàn)、這些安全問(wèn)題主要存在于包括網(wǎng)絡(luò)級(jí)，主機(jī)級(jí)和應(yīng)用級(jí)在內(nèi)的基礎(chǔ)設(shè)施中。

2 云計(jì)算環(huán)境下對(duì)網(wǎng)絡(luò)安全領(lǐng)域的影響

目前，企業(yè)防御和安全的主要應(yīng)用是建立了一個(gè)包括防火墻、虛擬專用網(wǎng)絡(luò)和入侵防御系統(tǒng)等的多層次的防御威脅系統(tǒng)。隨著云計(jì)算技術(shù)的飛速發(fā)展，很多企業(yè)都愿意將應(yīng)用部署到云上，但問(wèn)題是如何保護(hù)云端的安全？舊的安全威脅并不是為了保護(hù)云端網(wǎng)絡(luò)的，沒(méi)有專門針對(duì)云應(yīng)用程序的安全威脅防御的方法和手段。以下是云計(jì)算環(huán)境下網(wǎng)絡(luò)安全領(lǐng)域的可能出現(xiàn)的安全問(wèn)題。

1）堡壘總是最容易從內(nèi)部攻破，網(wǎng)絡(luò)管理人員最經(jīng)常忽視的問(wèn)題之一就是網(wǎng)絡(luò)內(nèi)部的安全。如果網(wǎng)絡(luò)管理員的權(quán)限被盜取，系統(tǒng)可能被管理數(shù)據(jù)的這種特權(quán)用戶的權(quán)限繞過(guò)法規(guī)控制內(nèi)部流程，以從企業(yè)內(nèi)部獲取敏感數(shù)據(jù)為目標(biāo)造成安全的風(fēng)險(xiǎn)。

2）由于云計(jì)算使用了分布式虛擬存儲(chǔ)技術(shù)，因此無(wú)法確定數(shù)據(jù)托管的位置，還有由于多用戶數(shù)據(jù)存儲(chǔ)在一個(gè)共享空間中而會(huì)導(dǎo)致數(shù)據(jù)分離，數(shù)據(jù)的隔是必須做的，在發(fā)生服務(wù)器故障或斷電等意外時(shí)，數(shù)據(jù)恢復(fù)服務(wù)提供商能否而服務(wù)的完全恢復(fù)，也會(huì)影響數(shù)據(jù)的安全性。

3）云計(jì)算資源的完整性對(duì)網(wǎng)絡(luò)安全起著重要的作用。在發(fā)生安全事故時(shí)，許多企業(yè)的基本數(shù)據(jù)被儲(chǔ)存在一個(gè)網(wǎng)絡(luò)中，這樣網(wǎng)絡(luò)被攻擊或破壞時(shí)，企業(yè)的一些關(guān)鍵數(shù)據(jù)的泄露和丟失可能損害企業(yè)的利益。

云計(jì)算環(huán)境下網(wǎng)絡(luò)安全領(lǐng)域中出現(xiàn)的安全問(wèn)題還有在計(jì)算機(jī)濫用、共享技術(shù)漏洞、賬號(hào)和服務(wù)劫持、不安全的程序接口，數(shù)據(jù)丟失和泄漏、內(nèi)部人員的蓄意危害以及其他未知的風(fēng)險(xiǎn)等，我們應(yīng)該采取針對(duì)云端的網(wǎng)絡(luò)安全技術(shù)來(lái)保護(hù)云端網(wǎng)絡(luò)和云端的數(shù)據(jù)安全。

3 云環(huán)境下網(wǎng)絡(luò)安全的應(yīng)對(duì)策略

為了有效地提高云端網(wǎng)絡(luò)的應(yīng)用安全，必須結(jié)合云計(jì)算應(yīng)用系統(tǒng)的主要特點(diǎn)，在加強(qiáng)互聯(lián)網(wǎng)系統(tǒng)基本安全管理和監(jiān)控的基礎(chǔ)上，除了全面結(jié)合存儲(chǔ)安全、身份認(rèn)證、虛擬專用網(wǎng)、數(shù)據(jù)加密等多種安全技術(shù)措施，還需應(yīng)用以下云端網(wǎng)絡(luò)安全策略，建立完善的云計(jì)算應(yīng)用系統(tǒng)的安全防護(hù)體系。

3.1 設(shè)置虛擬防火墻

以動(dòng)態(tài)服務(wù)計(jì)算為基礎(chǔ)是云計(jì)算的主要技術(shù)特征，并以靈活的服務(wù)合同為基礎(chǔ)，這是信息技術(shù)領(lǐng)域的一個(gè)重大變革。這一變革在網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)生了重大影響。針對(duì)虛擬化環(huán)境和云平臺(tái)下的網(wǎng)絡(luò)安全邊界服務(wù)，可以使用虛擬防火墻產(chǎn)品。虛擬防火墻產(chǎn)品是基于下一代防火墻技術(shù)的虛擬化產(chǎn)品。它部署在租戶邊界或網(wǎng)絡(luò)邊界、關(guān)鍵業(yè)務(wù)或應(yīng)用程序前端。提供網(wǎng)絡(luò)邊界安全服務(wù)，解決不同安全域之間的訪問(wèn)控制、網(wǎng)絡(luò)攻擊和入侵防御：不僅提供傳統(tǒng)的安全控制功能，而且在基本網(wǎng)絡(luò)功能上與云安全服務(wù)形成有效互補(bǔ)，應(yīng)用識(shí)別、VPN服務(wù)、入侵防范、網(wǎng)絡(luò)攻擊防范、防病毒等，為虛擬私有云（VPV）租戶提供更全面、更可靠的安全服務(wù)。

3.2 保證虛擬化安全

虛擬化技術(shù)是云計(jì)算技術(shù)的一個(gè)重要應(yīng)用。虛擬化技術(shù)能夠動(dòng)態(tài)地管理和部署物理資源，并為多個(gè)用戶提供獨(dú)立的計(jì)算機(jī)環(huán)境。虛擬機(jī)和虛擬網(wǎng)絡(luò)將直接影響云平臺(tái)的安全性，因此，虛擬安全對(duì)于確保云端環(huán)境的安全至關(guān)重要。

在云計(jì)算時(shí)代，在服務(wù)器虛擬化之后，數(shù)據(jù)中心的集成趨勢(shì)進(jìn)一步發(fā)展，從先前的服務(wù)集中到目前基于虛擬化技術(shù)的服務(wù)器集成。虛擬機(jī)操作系統(tǒng)和虛擬網(wǎng)絡(luò)層被添加到服務(wù)器中后，帶來(lái)三個(gè)問(wèn)題：（1）云平臺(tái)內(nèi)部流量不可見(jiàn)。在虛擬環(huán)境中，通過(guò)虛擬開(kāi)關(guān)直接傳輸內(nèi)部交互中的多個(gè)虛擬機(jī)的流量，因此無(wú)法看到所有內(nèi)部交互流。如果沒(méi)有對(duì)內(nèi)部流量的深入可視化，我們就無(wú)法找到內(nèi)部威脅，更不用說(shuō)控制它們了。傳統(tǒng)的防火墻部署在出口處，無(wú)法識(shí)別虛擬機(jī)之間的流量。當(dāng)新的內(nèi)部流量增加或改變時(shí)，出口防火墻無(wú)法感受到內(nèi)部變化，因此無(wú)法采取相應(yīng)的措施;（2）虛擬機(jī)和虛擬機(jī)之間缺乏安全隔離。同一物理服務(wù)器上的多個(gè)虛擬機(jī)可以通過(guò)服務(wù)器內(nèi)部的虛擬網(wǎng)絡(luò)進(jìn)行通信，這就縮短了傳統(tǒng)數(shù)據(jù)中心防火墻的安全保護(hù)。在傳統(tǒng)的數(shù)據(jù)中心中，不同的應(yīng)用程序分布在不同的物理服務(wù)器上。防火墻等安全裝置被部署在物理服務(wù)器附近，以提供防護(hù)、狀態(tài)保護(hù)、入侵檢測(cè)等。每個(gè)支持不同應(yīng)用的虛擬機(jī)，同時(shí)，一個(gè)新的虛擬網(wǎng)絡(luò)層，特別是一個(gè)虛擬開(kāi)關(guān)，由于需要虛擬化，將不同虛擬機(jī)之間在同一物理服務(wù)器上的速率直接通過(guò)內(nèi)部虛擬開(kāi)關(guān)傳輸。用戶期望監(jiān)控應(yīng)用之間的通信情況時(shí)，也就無(wú)法實(shí)現(xiàn)。（3）云安全對(duì)云平臺(tái)彈性擴(kuò)展和動(dòng)態(tài)遷移的適應(yīng)：在同一數(shù)據(jù)中心不同服務(wù)器之間或跨數(shù)據(jù)中心站點(diǎn)遷移時(shí)，傳統(tǒng)數(shù)據(jù)中心防火墻上預(yù)先配置的安全策略無(wú)法遵循，會(huì)帶來(lái)安全漏洞。在傳統(tǒng)的數(shù)據(jù)中心中，防火墻和其他為服務(wù)器提供安全保護(hù)的設(shè)備是基于安全策略的，并且為特定的服務(wù)器進(jìn)行固定配置。在虛擬化數(shù)據(jù)中心中，為了達(dá)到負(fù)載平衡、動(dòng)態(tài)資源調(diào)整、高可用性、服務(wù)器硬件維護(hù)甚至節(jié)能的目的，虛擬機(jī)會(huì)在數(shù)據(jù)中心中手動(dòng)或動(dòng)態(tài)遷移，即虛擬機(jī)從一個(gè)物理服務(wù)器遷移到另一個(gè)物理服務(wù)器。此時(shí)，外部防火墻無(wú)法感知虛擬機(jī)的位置變化。因此，針對(duì)具體應(yīng)用的安全策略無(wú)法遵循，這將導(dǎo)致新的安全漏洞。如IBM 提出了一種安全Hypervisor 架構(gòu)sHype，較好地解決了虛擬化安全的問(wèn)題，資源共享主要通過(guò)強(qiáng)制訪問(wèn)虛擬機(jī)資源和虛擬機(jī)之間的信息流動(dòng)來(lái)實(shí)現(xiàn)。

3.3 健全云計(jì)算安全防御機(jī)制

建造云計(jì)算安全防御機(jī)制可以解決如網(wǎng)絡(luò)攻擊、病毒入侵等安全問(wèn)題。云計(jì)算安全防御機(jī)制的建立可以確保云計(jì)算各種應(yīng)用的安全運(yùn)行，為了更好地保護(hù)自己，云服務(wù)提供者需要一個(gè)實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，對(duì)病毒的有效防護(hù)和網(wǎng)絡(luò)技術(shù)的部署以解決與云計(jì)算相關(guān)的安全問(wèn)題，除了數(shù)據(jù)傳輸?shù)陌踩酝?，還需要提高數(shù)據(jù)傳輸?shù)男?。在云?jì)算系統(tǒng)中建立網(wǎng)絡(luò)安全機(jī)制可以防止黑客的攻擊，當(dāng)遇到安全問(wèn)題時(shí)，云計(jì)算系統(tǒng)可以立即激活抗病毒模式并降低感染的風(fēng)險(xiǎn)。

3.4 健全網(wǎng)絡(luò)安全規(guī)范條例

隨著互聯(lián)網(wǎng)及網(wǎng)絡(luò)技術(shù)的發(fā)展，人們對(duì)網(wǎng)絡(luò)安全的防范意識(shí)還很不足。為了解決這個(gè)問(wèn)題，我們必須制定新的網(wǎng)絡(luò)安全法規(guī)和完善不合時(shí)宜的網(wǎng)絡(luò)安全法規(guī)。從國(guó)家的角度來(lái)看，網(wǎng)絡(luò)的健康發(fā)展需要制定一系列的網(wǎng)絡(luò)安全規(guī)范條例，通過(guò)立法，使企業(yè)和個(gè)人遵守國(guó)家法律法規(guī)。從企業(yè)的角度看，為了確保網(wǎng)上信息安全，企業(yè)必須制定公司的規(guī)章制度，強(qiáng)有力的規(guī)章制度，使工作人員能夠遵守企業(yè)的規(guī)章制度，及時(shí)報(bào)告對(duì)企業(yè)發(fā)展構(gòu)成威脅的網(wǎng)絡(luò)安全問(wèn)題，企業(yè)自身不能解決時(shí)應(yīng)及時(shí)求助于有關(guān)部門。

4 結(jié)語(yǔ)

本文主要分析云計(jì)算環(huán)境下、云計(jì)算應(yīng)用與安全的挑戰(zhàn)、網(wǎng)絡(luò)安全問(wèn)題、云應(yīng)用安全系統(tǒng)分析與研究，并提出云端應(yīng)用安全戰(zhàn)略和建議。云計(jì)算技術(shù)已經(jīng)成為不可或缺的計(jì)算機(jī)技術(shù)之一，所以加強(qiáng)云計(jì)算應(yīng)用的安全控制具有重要的意義，我們必須考慮到各種網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，繼續(xù)發(fā)展網(wǎng)絡(luò)安全防御技術(shù)、安全防范的機(jī)制和健全網(wǎng)絡(luò)安全規(guī)范條例，并為今后的云安全研究與發(fā)展進(jìn)行有益的探索。

參考文獻(xiàn)：

[1] 段翼真，王曉程，劉忠.云計(jì)算安全：概念、現(xiàn)狀與關(guān)鍵技術(shù)[J].信息網(wǎng)絡(luò)安全，2012（8）：86-89.

[2] 楊韜，鄧紅莉.云計(jì)算對(duì)我國(guó)網(wǎng)絡(luò)安全的影響以及對(duì)策研究[J].信息與電腦（理論版），2015（3）：43-44.

[3] 荊宜青.云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題及應(yīng)對(duì)措施探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（9）：75-76.

[4] 羅承陽(yáng).虛擬化安全建設(shè)[J].信息與電腦（理論版），2016（12）：123-124.

[5] 曾振東.云環(huán)境對(duì)傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域的影響及應(yīng)對(duì)研究[J].無(wú)線互聯(lián)科技，2017（15）：35-36.

【通聯(lián)編輯：唐一東】