李子民

（中國移動通信集團河北有限公司，河北 石家莊 050035）

1 云計算安全概述

伴隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，云計算性能得到了突破性的改進，其主要表現(xiàn)在海量的數(shù)據(jù)得到了有效的處理。承載云計算平臺的主流數(shù)據(jù)中心目前采用傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)，有效解決了數(shù)據(jù)中心內(nèi)流量高速互聯(lián)和數(shù)據(jù)中心規(guī)模不斷擴大的問題，從而將一個復(fù)雜的、大而全的網(wǎng)絡(luò)進行有序管理。云安全是云計算的重要組成部分，戰(zhàn)略位置愈發(fā)凸顯[1]。云計算安全一般涉及網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)等安全場景，云計算系統(tǒng)由于虛擬化和多租戶等特性，涉及多種新型安全場景，包括虛擬機安全、流量安全、應(yīng)用遷移安全、云端數(shù)據(jù)安全、云邊界安全、多租戶用戶的授權(quán)和訪問管理安全等[2]。其中，平臺安全、數(shù)據(jù)安全、資源共享導(dǎo)致的系統(tǒng)安全是云計算安全架構(gòu)的關(guān)鍵組成部分。

1.1 平臺安全性更高

隨著新型基礎(chǔ)設(shè)施建設(shè)加快，通過防火墻實現(xiàn)不同的安全等級，同一數(shù)據(jù)中心內(nèi)的資源劃分為可信區(qū)和非可信區(qū)兩個安全區(qū)。云資源池網(wǎng)絡(luò)使用IPv6，IPv6是被全球公認且唯一的下一代互聯(lián)網(wǎng)商用解決方案，在超寬帶、廣連接、安全、自動化、確定性和低時延六個維度能夠全方面提升IP網(wǎng)絡(luò)能力。分布式存儲系統(tǒng)數(shù)據(jù)采用了多種策略以保障數(shù)據(jù)安全，比較常見的策略包含多副本、糾刪等，也有基于物理層進行物理隔離策略設(shè)定，這方面分布式存儲系統(tǒng)已經(jīng)做得比較完善了。

1.2 數(shù)據(jù)安全性更高

在網(wǎng)絡(luò)安全技術(shù)的保護和支持下，實現(xiàn)了對數(shù)據(jù)庫的有效防護，進一步提升了數(shù)據(jù)的安全性。數(shù)據(jù)存儲采用多重備份機制，確保每份數(shù)據(jù)均有不少于一個的副本，確保在存儲載體（如硬盤）發(fā)生故障情況下，仍可保持數(shù)據(jù)完整，對系統(tǒng)的正常運行及訪問無任何影響。云計算不僅能對數(shù)據(jù)庫中的資源進行合理的部署，還能幫助用戶在最短的時間內(nèi)找到相對應(yīng)的數(shù)據(jù)資源，體現(xiàn)出了專項通道的作用。

1.3 資源共享性更高

云平臺借助計算、存儲和網(wǎng)絡(luò)虛擬化技術(shù)實現(xiàn)資源的組織和分配，將租戶業(yè)務(wù)部署到數(shù)據(jù)中心的虛擬機上，實現(xiàn)了資源共享，大大提高了資源的利用率，實現(xiàn)了像使用水電一樣一點接入，即取即用。NFV（Network Function Virtualization，網(wǎng)絡(luò)功能虛擬化）通過使用數(shù)據(jù)中心的等通用性硬件，實現(xiàn)軟硬件解耦，解決了租戶業(yè)務(wù)煙囪式建設(shè)的問題。云操作系統(tǒng)（Cloud OS）同普通的操作系統(tǒng)一樣，實現(xiàn)對硬件資源的抽象，對上層提供服務(wù)。當前，OpenStack為各類云計算平臺提供可擴展的彈性的云計算服務(wù)，一般將OpenStack稱為云操作系統(tǒng)，把Hypervisor作為OpenStack的一部分。OpenStack屬于Cloud OS中的管理部分，應(yīng)用非常廣泛，與Hypervisor一起構(gòu)成了Cloud OS的功能[3]。

2 云計算安全風(fēng)險分析及發(fā)展趨勢

2.1 網(wǎng)絡(luò)攻擊形式更加多樣

面對當前越來越復(fù)雜的環(huán)境，安全問題越來越嚴重，越來越多網(wǎng)絡(luò)攻擊方式的侵入，導(dǎo)致網(wǎng)絡(luò)安全問題逐一暴露，攻擊的方法、渠道、形式也更加多樣化，例如，DDoS攻擊、SQL注入、惡意小程序、木馬植入等方式，使計算機網(wǎng)絡(luò)信息系統(tǒng)在很多環(huán)節(jié)都有可能受到不同方式的攻擊，從而使系統(tǒng)受到不通程度的危害[4]。

NFV技術(shù)帶來的特有安全風(fēng)險尤其需要重點關(guān)注，如NFV基礎(chǔ)設(shè)施平臺安全防護能力下降的問題。當平臺運行不可信的虛擬機時，硬件平臺的安全防護能力會整體下降[5]。

2.2 云化帶來新的安全威脅

云計算具有資源池內(nèi)部網(wǎng)絡(luò)復(fù)雜、業(yè)務(wù)部署集中度高等特點，加之公網(wǎng)出口增加暴露面，虛擬基礎(chǔ)設(shè)施管理面臨的安全威脅更復(fù)雜。包括用戶虛擬機或從管理網(wǎng)絡(luò)入侵管理虛擬機、通過管理網(wǎng)絡(luò)入侵Host OS/近端維護端口入侵Host OS/感染病毒、用戶虛擬機或從管理網(wǎng)絡(luò)非法入侵虛擬路由器管理接口、用戶虛擬機或從管理網(wǎng)絡(luò)非法訪問等。

（1）計算虛擬化安全。包括惡意VM通過Hypervisor攻擊其他VM、惡意VM攻擊HostOS或Hypervisor、VM通過Hypervisor攻擊自身GuestOS等。

（2）網(wǎng)絡(luò)虛擬化安全。包括VM攻擊VM、VM攻擊vSwitch、外網(wǎng)攻擊Host或vSwitch等。

（3）存儲虛擬化安全。包括VM存儲設(shè)備漏洞、VM惡意讀寫磁盤、存儲設(shè)備被攻擊等。（4）OpenStack安全。包括API濫用、開源軟件漏洞、管理權(quán)限濫用、惡意內(nèi)部人員等。

2.3 云原生安全形勢嚴峻

以微服務(wù)、K8S、DevOps、容器為顯著特征的云原生技術(shù)，具備開放、靈活、可編排的特性。容器作為一種資源形式，通過K8S平臺，對容器進行集中運維，使微服務(wù)框架能夠最終落地，將傳統(tǒng)業(yè)務(wù)微服務(wù)化，更符合DevOps對業(yè)務(wù)體量和架構(gòu)的需求，使業(yè)務(wù)快速迭代成為可能。云平臺一般承載著核心業(yè)務(wù)和關(guān)鍵數(shù)據(jù)，內(nèi)部的網(wǎng)絡(luò)處于全部聯(lián)通的狀態(tài)，在當前網(wǎng)絡(luò)威脅形勢下，攻擊手法持續(xù)演進升級，使得對云平臺的風(fēng)險分析必須做更加大膽的假設(shè)，一旦邊界被各類攻擊單點突破，惡意代碼的內(nèi)部傳播毫無障礙，在云平臺資源池通過大面積東西向側(cè)移，容易造成數(shù)據(jù)泄露、系統(tǒng)癱瘓等重大損失。

2.4 缺乏專業(yè)安全技術(shù)人才

計算機網(wǎng)絡(luò)技術(shù)在實際的應(yīng)用過程中，經(jīng)常遇到的網(wǎng)絡(luò)安全問題，將會給人們的生產(chǎn)和生活工作帶來一定的困擾。其主要與一部分工作人員專業(yè)能力有關(guān)，例如，網(wǎng)絡(luò)安全意識不強，導(dǎo)致這些網(wǎng)絡(luò)技術(shù)在應(yīng)用時出現(xiàn)了各種安全問題，如用戶重要信息被泄露、被盜取等。因此，專業(yè)技術(shù)人員需要掌握更專業(yè)的基礎(chǔ)知識，致力于解決計算機網(wǎng)絡(luò)中出現(xiàn)的各種安全問題，通過靈活使用多種計算機網(wǎng)絡(luò)安全技術(shù)，從而第一時間對出現(xiàn)的安全問題提出解決的對策，從而營造良好、穩(wěn)定的云計算機網(wǎng)絡(luò)環(huán)境。

2.5 安全審計信息不夠透明

目前，我國無論是網(wǎng)絡(luò)監(jiān)管方面，還是網(wǎng)絡(luò)的使用方面，都忽視了安全審計信息問題，缺少對相關(guān)數(shù)據(jù)信息的有效監(jiān)管、維護、管理等。并且由于信息數(shù)據(jù)的維護主要是在云計算服務(wù)平臺中完成的，如果信息缺乏一定的透明性，將會使網(wǎng)絡(luò)中的信息缺乏安全保障。

3 云計算安全防護方法和應(yīng)對舉措

3.1 應(yīng)用網(wǎng)絡(luò)安全隔離技術(shù)，強化云網(wǎng)絡(luò)安全防范效果

網(wǎng)絡(luò)安全隔離主要包含物理設(shè)備安全、虛擬化平臺安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全四個方面的安全隔離。云平臺的安全性和穩(wěn)定性想要得到有效保障，應(yīng)完善云計算環(huán)境的安全功能，利用入侵和識別技術(shù)對相關(guān)數(shù)據(jù)進行及時的識別，在一定程度上可避免病毒和其他攻擊的侵入。另外，對于一些已經(jīng)傳輸?shù)皆贫说臄?shù)據(jù)，需做好數(shù)據(jù)加密處理，這樣能夠有效避免入侵者直接盜取用戶的重要數(shù)據(jù)信息，使運算數(shù)據(jù)儲存更加可靠、傳輸?shù)臄?shù)據(jù)信息能被保護起來。借助網(wǎng)絡(luò)服務(wù)器安全防范技術(shù)的應(yīng)用，進一步強化了計算機網(wǎng)絡(luò)安全的有效防護，從而提升了數(shù)據(jù)安全性。

3.2 融入多種安全防護技術(shù)，構(gòu)建完善的安全防護系統(tǒng)

3.2.1 防火墻技術(shù)

防火墻是介于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，可結(jié)合特定的防火墻策略進行數(shù)據(jù)訪問需求放行。策略一般是遵循“最小化”原則，結(jié)合業(yè)務(wù)側(cè)的實際需求，細化到源IP地址、目的IP地址、源端口、目的端口等粒度。

3.2.2 防病毒技術(shù)

云計算技術(shù)運行過程中經(jīng)常會遇到網(wǎng)絡(luò)病毒的入侵和威脅。由于當前網(wǎng)絡(luò)中的病毒越來越多，其程度或者病毒的形態(tài)也都在發(fā)生著改變。因此，云計算網(wǎng)絡(luò)安全技術(shù)想要提升，應(yīng)該對出現(xiàn)的病毒進行阻隔。例如，應(yīng)用不同類型的反病毒技術(shù)，加強對病毒的有效防御。技術(shù)人員利用動態(tài)性的反病毒技術(shù)，開啟對病毒的主動防御，從而提升病毒防御的質(zhì)量和效果。

3.2.3 系統(tǒng)加密技術(shù)

由于計算機網(wǎng)絡(luò)兼具開放性的特質(zhì)，導(dǎo)致計算機網(wǎng)絡(luò)系統(tǒng)在運行過程中很容易受到各類病毒的入侵，直接影響到數(shù)據(jù)的安全性。為了能夠使得云計算環(huán)境下的網(wǎng)絡(luò)環(huán)境得到有效保障，需要利用加密技術(shù)，將其應(yīng)用到整個網(wǎng)絡(luò)系統(tǒng)之中，達到保護數(shù)據(jù)安全的目的。其中，加密系統(tǒng)能對網(wǎng)絡(luò)中潛在的風(fēng)險進行過濾，然后將惡意破壞信息消除，使得系統(tǒng)中出現(xiàn)的黑客攻擊行為、病毒入侵行為得到有效的遏制。系統(tǒng)加密技術(shù)為數(shù)據(jù)的共享等提供了有效的保障。

3.2.4 漏洞掃描技術(shù)

網(wǎng)絡(luò)漏洞為病毒入侵和黑客侵入提供了“主要條件”。因此，云計算背景下的計算機網(wǎng)絡(luò)安全技術(shù)應(yīng)用選擇使用修復(fù)技術(shù)和漏洞掃描技術(shù)，使計算機網(wǎng)絡(luò)安全風(fēng)險得到有效的控制。在使用這些掃描技術(shù)時，相關(guān)人員需要合理利用漏洞掃描技術(shù)，這樣才能使計算機系統(tǒng)更加安全。

3.2.5 防護溯源工具通過業(yè)內(nèi)數(shù)據(jù)掃描發(fā)現(xiàn)系統(tǒng)，快速高效地識別出組織內(nèi)部敏感數(shù)據(jù)及分布位置，同時借助工具對敏感數(shù)據(jù)傳播途徑進行防護；對于已發(fā)生泄密（如拍照、文檔外傳等），通過數(shù)字水印技術(shù)，可對泄密事件進行追溯。此在技術(shù)層面能對員工泄密起到震懾作用，有效預(yù)防員工泄密事件發(fā)生。

3.3 基于角色的云平臺虛擬機安全訪問控制策略

云環(huán)境下計算機網(wǎng)絡(luò)安全技術(shù)在使用過程中，可以利用控制訪問技術(shù)，對訪問進行有效的控制。針對云計算平臺中用戶之間的數(shù)據(jù)區(qū)分問題，以及惡意用戶竊取平臺中數(shù)據(jù)的問題，提出一種基于角色訪問控制策略。該策略解決了平臺訪問者客觀信任和主觀信任的問題，通過虛擬化技術(shù)，在數(shù)據(jù)隔離存儲后，為云用戶分配相應(yīng)角色，在用戶訪問過程中，對用戶密鑰證書和信任等級進行綜合驗證，更好地保證云計算平臺數(shù)據(jù)的安全性與可靠性[6]。

3.4 提升網(wǎng)絡(luò)安全應(yīng)急處置水平和專業(yè)人才能力

應(yīng)用云計算網(wǎng)絡(luò)安全技術(shù)，使網(wǎng)絡(luò)性能提升，將為更多用戶提供便利，保障云計算平臺的安全運行，提升數(shù)據(jù)的安全傳輸和安全共享。開展云服務(wù)應(yīng)急響應(yīng)機制審查，包括制度、組織、流程、實踐等方面，檢驗云服務(wù)應(yīng)急響應(yīng)水平。開展應(yīng)急預(yù)案演練，模擬云服務(wù)器運行事故，檢驗監(jiān)測預(yù)警、評估分析、應(yīng)急響應(yīng)、故障回復(fù)、信息通報等能力。

加強對計算機網(wǎng)絡(luò)安全技術(shù)人才的安全引進尤為重要，一方面，通過定期召開技術(shù)交流培訓(xùn)會，讓這些計算機網(wǎng)絡(luò)安全人員了解更多數(shù)據(jù)傳輸中存在的安全問題，從而幫助相關(guān)技術(shù)人員能在第一時間解決存在的問題。另一方面，全面加強工作人員的安全責(zé)任意識，讓他們充分認識到安全問題監(jiān)管發(fā)揮的重要作用，在技術(shù)攻克上、數(shù)據(jù)安全問題的解決上做好人力支撐。

3.5 加強安全管理和監(jiān)測，營造良好的網(wǎng)絡(luò)環(huán)境

當前，網(wǎng)絡(luò)應(yīng)用環(huán)境較為復(fù)雜，面對這一問題，云計算背景下的網(wǎng)絡(luò)安全技術(shù)在應(yīng)用時，需要發(fā)揮數(shù)據(jù)傳輸和數(shù)據(jù)信息監(jiān)管作用，結(jié)合各方的力量，全面加強安全管理，包括安全審計、傳輸安全、安全監(jiān)控、Web安全等相關(guān)內(nèi)容。致力于做好安全審計工作，并以日志的方式開展問題的監(jiān)督和防控；加強網(wǎng)絡(luò)內(nèi)部和外部的管理，致力于做好對用戶數(shù)據(jù)的有效監(jiān)管和保密措施，從而使數(shù)據(jù)更加的完整，促進數(shù)據(jù)的有效傳輸。