陳如旭

（中通服咨詢設計研究院有限公司，江蘇 南京 210019）

0 引 言

云計算的發(fā)展無疑是當今時代的一項熱點，無論是在各行業(yè)領域還是在社會生活當中，云計算都正在扮演起愈發(fā)重要的角色，特別是目前云計算應用日益廣泛，人們在網絡中對于云計算的便利優(yōu)勢感受深切，顯然云計算的發(fā)展將會成為一種必然趨勢，然而同時應該看到的是，云計算現(xiàn)階段仍然處在發(fā)展之中，相關技術還需要持續(xù)不斷加以完善，尤其有關云計算網絡安全方面的問題值得給予更多重視，而如何有效應對云計算網絡安全威脅，滿足人們對于網絡安全的更高要求，已然成為云計算時代下需要重點加以研究的內容。

1 云計算的安全概述

1.1 云計算的定義與特點

在當前云計算不斷發(fā)展的同時，有關于其定義則還尚未形成統(tǒng)一的結論，目前相應定義主要是基于兩個層面：一是站在服務層面，將云計算視作為一種依使用量付費的模式，該模式可提供網絡訪問，進入可配置計算資源共享池，而相應資源可及時提供，且僅付出少量管理或同供應商較少交互；二是站在技術層面，將云計算視作為分布式計算的一種，即借助網絡“云”把龐大數(shù)據(jù)計算處理程序分解為無數(shù)小程序，再依托于由多部服務器構成的系統(tǒng)處理分析其結果，然后返回于用戶。隨著云計算發(fā)展日益受到更多認可，其自身所展現(xiàn)出的一些鮮明特點也逐漸得到了廣泛共識，包括按需與自助服務、資源共享、多終端訪問、可計量服務、部署快速與伸縮彈性等[1]。

1.2 云計算網絡安全特點

如圖1所示，傳統(tǒng)網絡以數(shù)據(jù)中心網絡安全架構為例，主要為樹形拓撲結構，根據(jù)其數(shù)據(jù)中心運行情況不難發(fā)現(xiàn)，外網入口具有單一性特點，換言之，這種網絡架構是利于進行有效掌控的，一般在外網入口簡單部署防火墻、審計設備等便可防御外部入侵。

圖1 以往數(shù)據(jù)中心網絡拓撲

如圖2所示，對比云計算網絡架構特點可以看到，其內部網絡邊界具有非常典型的模糊性特點，而廣大云用戶在共享內部資源時，也面臨來自惡意用戶方面的風險，特別是提供商往往難以審查訪問用戶虛擬機，此時這些惡意用戶往往便潛入系統(tǒng)并由內部威脅系統(tǒng)安全，而顯然傳統(tǒng)網絡安全方法對此難以發(fā)揮出針對性作用，換言之，云計算網絡安全問題要更為復雜多變，更不利于進行保護[2]。

圖2 云計算網絡結構

1.3 云計算網絡安全提升價值

針對當前云計算發(fā)展，進一步提升其網絡安全無疑有著十分重要的意義。首先，依托于云計算來達成局域網互聯(lián)需求，能夠滿足實時備份數(shù)據(jù)，這樣一方面能夠妥善保障相應用戶數(shù)據(jù)安全，另一方面則能夠防止因其他因素導致不必要損失，從而強化網絡數(shù)據(jù)安全；其次，依托于云計算技術及其輔助軟件，可以針對網絡用戶加以跟蹤及分析，讓相關網絡用戶能夠及時檢查出自身安全漏洞，優(yōu)化運行模式，通過進一步強化用戶監(jiān)控，以更好地保障其網絡安全；最后，結合云計算發(fā)展不難發(fā)現(xiàn)，其與授權、監(jiān)視有著極為緊密的聯(lián)系，特別是在網絡技術不斷取得突破的同時，用戶在處理數(shù)據(jù)、傳播信息等方面都有顯著提升，而持續(xù)完善信息共享，有利于帶動數(shù)據(jù)信息保密功能，使數(shù)據(jù)得到安全高效利用[3]。

2 云計算安全面臨的主要威脅

2.1 拒絕服務攻擊

根據(jù)云計算服務模式及發(fā)展可知，其主要是建立在寬帶網絡與Web方式的基礎上，而在其實際使用過程當中，則往往要面臨拒絕服務攻擊方面的威脅，這要求作為云計算服務的提供商能夠對此給予充分重視和投入，有針對性地落實好保護對策。此外，云計算具有快速彈性、按需自助服務等特征，它需要云計算服務提供商能夠妥善保障好網絡與服務器資源，同時能夠靈活開通業(yè)務與變更服務等，而這也使云計算服務面臨著惡意使用、濫用等威脅，如借助云計算服務搭建僵尸網絡、破解密碼等。

2.2 不安全的接口與API

對于云計算而言，無論是從其業(yè)務發(fā)展需要，還是從其技術需求的層面上看，確保足量網絡接口和應用程序編程接口（Application Programming Interface，API）都是作為云計算服務商的必然選擇與要求，然而現(xiàn)階段關于網絡接口與API的安全測試尚不是十分完善，當其開發(fā)應用后，可能會面臨安全入侵威脅，并讓這些不安全的接口與API成為安全問題的突破口[4]。

2.3 惡意的內部員工

有關于云計算方面的相關安全事件，如涉及到數(shù)據(jù)泄露、服務濫用以及由此而產生的種種犯罪行為等，實際上有非常多都是因為內部人員造成的，特別是隨著當前云計算業(yè)務快速發(fā)展，作為用戶自身方面、云計算服務供應商方面等，因各方內部員工而給云計算安全造成的威脅風險正呈現(xiàn)加劇趨勢，對此需給予必要重視。

2.4 共享技術產生的問題

對于云計算而言，其實質就在于資源虛擬池化與共享，然而在其資源共享的過程中，與之相伴的安全威脅同樣需要引起關注，特別是虛擬層軟件漏洞等相關安全威脅始終存在。由共享技術所帶來的云計算安全問題也是一大主要威脅。

2.5 數(shù)據(jù)泄露

從當前云計算特別是公共“云”的實際發(fā)展情況來看，有關數(shù)據(jù)泄露方面的問題無疑是威脅其安全的重要因素，因此針對提供商必須要通過全面分析來確保其具備足夠的能力可以有效保護數(shù)據(jù)。應該看到的是，云中數(shù)據(jù)往往會面臨各種攻擊風險，而有諸多威脅場景容易造成數(shù)據(jù)泄露與丟失。另外，密鑰管理環(huán)節(jié)同樣存在數(shù)據(jù)威脅，一旦出現(xiàn)密鑰丟失等情況則容易造成毀壞數(shù)據(jù)等問題。

2.6 賬號與服務劫持

面對云計算發(fā)展，賬號等信息一旦遭受攻擊，則網絡活動將可能遭受到竊聽，數(shù)據(jù)可能會遭受到操縱，另外還可能出現(xiàn)信息仿冒、服務“劫持”等，這些方面被攻擊者利用則會形成新的攻擊。

2.7 未知的風險場景

結合當前云計算模式發(fā)展情況來看，作為云計算用戶與云計算服務商，二者在信息方面實際上并不夠對等，而基于二者的各自需求，在雙方信息并不對稱的環(huán)境下，作為用戶一方自然會面臨更多未知風險場景，這種未知風險會顯著威脅到云計算安全。

3 云計算網絡安全問題的對策建議

面對上文所提到的云計算網絡安全問題，需要有針對性地采取相應對策措施，從而有效消減影響云計算安全的各種威脅因素。具體來說包括以下幾方面。

（1）針對拒絕服務攻擊方面的安全威脅。首先，從云計算服務設計環(huán)節(jié)，就必須要有意識地關注安全問題，特別是對于各種潛在安全威脅，應當主動加強構建場景用例，同時于業(yè)務邏輯設計時落實好相應防護；其次，針對初次注冊與驗證過程要加以妥善設計，監(jiān)控好信用卡欺詐行為與公共黑名單，以及及時響應網絡投訴及監(jiān)管機構問詢等。

（2）針對不安全的接口與API方面的安全威脅。首先，應當圍繞其功能設計、開發(fā)、測試、上線等全生命周期，進一步強化相應安全實踐；其次，還要落實好相關安全手段，如加密、認證、審計、訪問控制等，同時配套以更為全面安全測試用例。

（3）針對惡意的內部員工方面的安全威脅。首先，可以從技術層面采取一些安全措施，如加密、認證、入侵檢測、訪問控制等，利用技術手段降低此類威脅風險；其次，可以從管理層面給予相應投入，一方面各主體單位要強化內部的安全宣教，另一方面則要明確各流程安全責任，對于內部員工惡意行為必須依法依規(guī)追求其責任；最后，還應當從合同層面不斷完善對于供應商的約束與治理[5]。

（4）針對共享技術方面的安全威脅。首先，從云計算中心之初，便應當考慮基于各用戶實際業(yè)務需要，設計出能夠支撐各個安全等級與硬件分享的硬件分區(qū)以及防御措施；其次，還要于其具體運行環(huán)節(jié)，從技術上確保能夠對未授權修改以及違規(guī)活動加以有效監(jiān)控。

（5）針對數(shù)據(jù)泄露方面的安全威脅。首先，應當圍繞數(shù)據(jù)方面的各環(huán)節(jié)工作進一步強化加密與核查能力；其次，則是要對密鑰管理各環(huán)節(jié)工作完善相應策略；最后，還要以提供商合同管理來提升數(shù)據(jù)安全控制水平。

（6）針對賬號與服務劫持方面的安全威脅。首先，應當明確提供商安全策略以及SLA，同時對于賬號信息進行進一步細化管理，降低其安全威脅；其次，要落實好雙因子認證技術運用，活動授權等要做好檢查工作。

（7）針對未知風險場景方面的安全威脅。首先，站在云計算用戶的角度來看，其應當要明確自身安全情況，同時和提供商之間要保持密切交流，盡可能保障信息透明，并且掌握系統(tǒng)配置，落實好托管軟件補丁等；其次，用戶應將應對這一安全威脅視作一項長期性工作來加以處理。

4 結 論

云計算是現(xiàn)階段網絡業(yè)務發(fā)展的一項熱點內容，并且也是其未來發(fā)展的一個重要趨勢，面對云計算時代的到來，作為其相關各方顯然應該對此給予充分的重視和投入，特別是對于云計算安全方面的相關內容必須要給予更多關注，并采取更多有效的安全對策。事實上，在云計算不斷快速發(fā)展的過程，有關其網絡安全方面的問題始終都在被各界所提及，而這也一直是制約云計算發(fā)展以及應用的最大威脅因素，作為云計算服務商、用戶、安全生產廠家等相關各方，應該全面認識到云計算安全所面臨的主要威脅，從各層面入手采取有效對策來進一步應對云計算網絡安全問題，通過持續(xù)改善與提升云計算網絡安全水平，使之在應用發(fā)展中能夠貢獻更多的價值作用。