云存儲(chǔ)中虛擬化與存儲(chǔ)網(wǎng)絡(luò)的安全技術(shù)研究

【摘要】在云存儲(chǔ)應(yīng)用中，安全虛擬化和安全網(wǎng)絡(luò)為云存儲(chǔ)服務(wù)提供了基本的保證。研究基于云計(jì)算的虛擬化安全和存儲(chǔ)網(wǎng)絡(luò)安全，目的在于基礎(chǔ)設(shè)施云服務(wù)中更加合理利用網(wǎng)絡(luò)與存儲(chǔ)資源，為云存儲(chǔ)的安全應(yīng)用提供參考和保障。

【關(guān)鍵詞】云存儲(chǔ)虛擬化網(wǎng)絡(luò)安全

一、引言

云存儲(chǔ)是以存儲(chǔ)設(shè)備為核心，通過應(yīng)用軟件對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問服務(wù)[1]。云存儲(chǔ)安全的關(guān)鍵技術(shù)研究中，又以虛擬化安全技術(shù)和存儲(chǔ)網(wǎng)絡(luò)的安全技術(shù)為研究核心之一。

二、云存儲(chǔ)技術(shù)之虛擬化的安全

虛擬化技術(shù)在邏輯上分離了物理設(shè)備與操作系統(tǒng)和應(yīng)用軟件，基于虛擬化的計(jì)算資源調(diào)配可使有限的硬件和軟件資源按需重新規(guī)劃分配，靈活擴(kuò)展硬件容量，簡(jiǎn)化軟件配置和資源的訪問與管理，提高硬件與軟件的綜合效率和應(yīng)用能力[2]。

基于虛擬化的云存儲(chǔ)應(yīng)用環(huán)境中，VM Hopping可以訪問被接入宿主機(jī)的存儲(chǔ)和內(nèi)存；VM Escape攻擊可獲得Hypervisor的訪問權(quán)限，從而對(duì)其他虛擬機(jī)進(jìn)行攻擊[3]；通過管理平臺(tái)進(jìn)行跨站腳本攻擊、SQL入侵；拒絕服務(wù)攻擊會(huì)獲取宿主機(jī)資源，造成系統(tǒng)拒絕客戶所有請(qǐng)求；Rootkit能夠獲得Hypervisor的管理員級(jí)訪問控制權(quán)，進(jìn)而取得整個(gè)物理機(jī)器的控制權(quán)[4]；在虛擬機(jī)遷移過程中，隨著虛擬磁盤的重建，攻擊者可改變?cè)磁渲梦募吞摂M機(jī)特性[3]；虛擬機(jī)的鏡像安全漏洞、生命周期的復(fù)雜性和故障會(huì)導(dǎo)致其承載的數(shù)據(jù)和服務(wù)不可用和控制難度。

因此，可以將所有虛擬機(jī)全部安裝防毒軟件或殺毒軟件；提高容錯(cuò)監(jiān)視服務(wù)器的利用率，避免服務(wù)器過載；在數(shù)據(jù)庫(kù)和應(yīng)用層之間設(shè)置防火墻，防止虛擬機(jī)溢出；使用可信平臺(tái)模塊；為虛擬服務(wù)器分配獨(dú)立硬盤分區(qū)，并使用VLAN技術(shù)和網(wǎng)段劃分，對(duì)虛擬服務(wù)器邏輯隔離；使用VPN在虛擬服務(wù)器間通信；按計(jì)劃備份，進(jìn)行虛擬化的災(zāi)難恢復(fù)；監(jiān)測(cè)分析網(wǎng)絡(luò)流量確保存儲(chǔ)網(wǎng)絡(luò)安全運(yùn)行；通過可信第三方機(jī)構(gòu)的安全認(rèn)證和監(jiān)管。

三、云存儲(chǔ)的安全網(wǎng)絡(luò)

云存儲(chǔ)服務(wù)的應(yīng)用中，其網(wǎng)絡(luò)防護(hù)不當(dāng)會(huì)導(dǎo)致用戶私密數(shù)據(jù)被非法訪問；云存儲(chǔ)網(wǎng)絡(luò)應(yīng)用在服務(wù)提供商的控制下，用戶無法通過網(wǎng)絡(luò)監(jiān)管自己的程序和數(shù)據(jù)的使用情況；網(wǎng)絡(luò)傳輸協(xié)議和數(shù)據(jù)移動(dòng)過程容易被竊聽和分析；云存儲(chǔ)服務(wù)平臺(tái)中的軟硬件故障和其他災(zāi)難會(huì)導(dǎo)致服務(wù)的異常終止和數(shù)據(jù)丟失；云存儲(chǔ)集中存儲(chǔ)的大量數(shù)據(jù)容易引起攻擊者的注意；基于虛擬化技術(shù)的訪問控制、認(rèn)證和授權(quán)的實(shí)現(xiàn)更為困難；云存儲(chǔ)中大量廉價(jià)計(jì)算資源和數(shù)據(jù)資源可能成為攻擊者的工具。

由虛擬機(jī)監(jiān)控器實(shí)現(xiàn)基于存儲(chǔ)區(qū)域網(wǎng)絡(luò)及應(yīng)用層的域分割為尋址提供了邏輯隔離，可以在虛擬的網(wǎng)絡(luò)域執(zhí)行全面的狀態(tài)監(jiān)視以及其他網(wǎng)絡(luò)安全監(jiān)測(cè)；如能承擔(dān)足夠資源開銷，可由服務(wù)提供商完成網(wǎng)絡(luò)訪問控制和安全防火墻服務(wù)；使用SSL、IPSec、數(shù)字簽名等技術(shù)對(duì)傳輸中的數(shù)據(jù)進(jìn)行有效加密；選擇使用安全傳輸協(xié)議；加強(qiáng)安全日志審計(jì)和應(yīng)用基于網(wǎng)絡(luò)的入侵檢測(cè)和防御系統(tǒng)；及時(shí)修補(bǔ)虛擬機(jī)實(shí)例配置和遷移中的管理漏洞和補(bǔ)丁；實(shí)現(xiàn)存儲(chǔ)網(wǎng)絡(luò)信任邊界的通信控制；限制訪問管理程序及其他虛擬化層面；阻止所有到虛擬服務(wù)器的端口；限制應(yīng)用程序棧功能，加固鏡像，限制主機(jī)所有攻擊面；防止未授權(quán)訪問；在鏡像中除解密文件系統(tǒng)的密鑰外，不包含其他身份認(rèn)證作證[5]；保護(hù)訪問主機(jī)私鑰，從數(shù)據(jù)所在的平臺(tái)中隔離密鑰；關(guān)閉不必要的服務(wù)。

四、結(jié)束語(yǔ)

隨著云服務(wù)層次的提高，基于云存儲(chǔ)的虛擬化安全技術(shù)與網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)為云存儲(chǔ)的發(fā)展提供了有效的保障。研究可信的虛擬化云存儲(chǔ)將是提高云存儲(chǔ)服務(wù)的主要方向之一。

參考文獻(xiàn)

[1]黃曉云.基于HDFS的云存儲(chǔ)服務(wù)系統(tǒng)研究.大連海事大學(xué).碩士論文. 2010年6月

[2]黃振華.基于云計(jì)算的虛擬化存儲(chǔ)技術(shù)研究.硅谷. 2012年第20期. 24，71

[3]房晶等.云計(jì)算的虛擬化安全問題.電信科學(xué). 2012年第4期. 135-140

[4] Hanqian Wu，Yi Ding，Winer Chuck，et al.Network security for virtual machine in cloud computing.Proceedings of 5th International Conference on Computer，Sciences and Convergence Information Technology（ICCIT）. Seoul， Korea. 2010. 18-21

[5] Tim Mather，Subra Kumaraswamy，Shahed Lati. Cloud Security and Privacy.劉戈舟，楊澤明，劉寶旭譯.機(jī)械工業(yè)出版社. 2011年5月