多層次云平臺安全防護體系相關技術

何冰

本章為相關技術分析，對各個云平臺安全防護技術進行了總結和分析，主要包括Amazon Web Service、微軟 Azure和Google Cloud。由于傳統的網絡安全方案在開放的云計算平臺上有很多的不適應，加上云計算平臺的復雜架構和技術使得云計算平臺的安全一直都沒有較為成熟的方案。

【關鍵詞】云平臺 多層次網絡安全防護 面向切面

1 云平臺服務模型

云計算就是通過大規模的分布式計算為消費者提供相關服務，云平臺由集群的虛擬化計算機組成，通過統一的接口以面向服務的形式為用戶提供服務，在現階段，云計算平臺提出了三種服務模式，即基礎設施即服務、平臺即服務和軟件即服務，基礎設施即服務提供包括數據處理、存儲等服務，平臺即服務提供給用戶按自身需求在云服務提供商的平臺上構建主機應用，軟件即服務軟件即服務即通過云平臺使用軟件服務提供商提供的服務。

2 云平臺安全概述

云平臺的搭建是需要很多支撐技術的，如：主流操作系統文件、加密通信技術、身份認證技術、虛擬化技術和開源代碼庫等，還需要各種基本組件、核心組件等。云平臺如此眾多的支撐技術，相關的漏洞這個剛被堵塞，另一個新的漏洞又被發現，漏洞總是難以避免的，這就要求一個多層次的云平臺安全防護體系是必要的，以使云平臺某個漏洞被利用，某層防護被突破的時候卻無法突破云平臺下一層的安全防護。

云平臺除了復雜的架構和眾多的支撐技術容易出現漏洞以外，云平臺對外提供的大量開放式服務也為云平臺的安全防護帶來很大的挑戰，例如，用戶上傳自己的服務代碼和數據、用戶需要網絡連接、用戶需要訪問磁盤、用戶需要使用數據庫等等，這些都是云平臺提供的對外開放式服務，云平臺的安全防護需要多層次的防護同時還需要能夠靈活的配置和功能擴展。

3 云平臺安全防護技術分析

目前主流的云平臺主要有亞馬遜的 Web Service、谷歌的 Cloud以及微軟的Azure等，我國在這方面雖然有些落后，但也出現了阿里云、新浪SAE等綜合云服務平臺。本節主要分析一下這些主流云平臺的安全防護策略。

3.1 亞馬遜Web Service

亞馬遜Web Service云計算平臺是現階段市場占有率最大的云計算平臺，其防護策略主要包括以下幾個主要方面： Https安全網絡通信技術用以保證用戶和云平臺之間的網絡通信安全；防火墻規則用于防范拒絕服務攻擊等，另外，防火墻規則可由用戶自行設定從而使用戶可自行靈活配置訪問策略；亞馬遜的AWS通過 Identity and Access Management （IAM）授權管理工具來對用戶的訪問進行管理；多重認證；允許用戶創建私有子網，私有子網的網絡安全防護可由用戶自行設置，這是額外增加的一層安全防護；支持用戶數據加密和密鑰管理，另外還可對密鑰進行加密存儲Trusted Advisor服務監控用于監控用戶操作和云平臺資源、配置可能存在的漏洞；支持專用數據連接。

3.2 各平臺安全防護總結和分析

綜合分析亞馬遜的AWS，微軟的Azure和谷歌的 Cloud的云安全防護措施，它們都擁有很多的共性，都是提供鏡像隔離機制和一些已有的安全技術進行安全防護，對某些關鍵點加強防護。這些防護措施已經能起到很好的效果，有一定的多層次深度防御特性，但也存在不少缺點：

（1）亞馬遜的AWS，微軟的Azure和谷歌的 Cloud都使用了大量的支撐技術和開源代碼，這些支撐技術和開源代碼大多未考慮在云計算場景下的安全需求，這就使得在云計算場景下，這些支撐技術和開源代碼本身就存在一些漏洞，有的漏洞還未被發現，云計算平臺在未來有可能會因為這些漏洞被逐漸發現而受到攻擊，也就是說，云計算平臺應該對這些支撐技術進行改進以使其適應開放的云計算平臺；

（2）傳統的安全防護方案在云計算平臺下有些可以直接使用，但有的并不能直接適用，從安全模式來看，在云環境下，每一個節點都可能會受到攻擊，而對傳統網絡安全來說，一般有防火墻和入侵檢測就能夠滿足要求。從數據存儲來看，在云環境下，數據存儲在云端比在內網的網絡數據安全更加難以控制。從技術差異來看，云平臺是建立在虛擬化技術基礎之上的，而傳統網絡是沒有虛擬化技術的。傳統企業安全防護方案重在對通信安全防護和阻止外部攻擊，對于來自內部其他用戶的隔離防護以及內部人員的惡意攻擊行為防護較少。

4 結語

本章為相關技術分析，對各個云平臺安全防護技術進行了總結和分析，主要包括Amazon Web Service、微軟 Azure和Google Cloud。

云計算就是通過大規模的分布式計算為消費者提供相關服務，云平臺由集群的虛擬化計算機組成，通過統一的接口以面向服務的形式為用戶提供服務，在現階段，云計算平臺提出了三種服務模式，即基礎設施即服務、平臺即服務和軟件即服務，基礎設施即服務提供包括數據處理、存儲等服務，平臺即服務提供給用戶按自身需求在云服務提供商的平臺上構建主機應用，軟件即服務即通過云平臺使用軟件服務提供商提供的服務。

當前，基礎設施即服務，平臺即服務，軟件即服務之間的界限已經越來越模糊，三種模型有日趨融合之勢，云服務商大多也開始從提供單一服務向提供多種服務轉變。綜合的云平臺比單一的云平臺面臨更多的安全問題，任何一個組件或者支撐技術出現安全問題都可能會影響到整個云平臺的安全。

參考文獻

[1]李程遠.云平臺信息安全整體保護技術研究[J].信息安全與技術，2011（09）：1-5.

[2]孔丹.基于云平臺的安全審計系統設計與實現[J].信息安全與通信保密，2013（10）：6.

[3]吳文典.云平臺信息安全整體保護技術研究[J].信息安全與技術，2014（02）：12-13.

[4]LM Kaufman.Data security in the world of cloud computing. Security & Privacy，2009，14（01）：33-38.

作者單位

東北師范大學 吉林省長春市 130000