云計算中IaaS層信息網絡安全防護技術分析

◆莫懷海

（國家計算機網絡應急技術處理協調中心廣東分中心 廣東 510665）

0 引言

在云計算市場和技術高速增長過程中，云安全的防護難度急劇上升，除了要面對傳統信息網絡環境的各種威脅，還面對云計算虛擬技術及虛擬環境需要應對的威脅。此外，還要保障云計算和云數據存儲的信息安全。IaaS作為云計算基礎的服務模式，在云計算服務平臺中提供核心資源和虛擬核心資源的基礎設施服務，其信息網絡安全的防護問題對我們來說是一個嚴峻的挑戰。

1 云計算與IaaS

1.1 云計算

云計算是基于公開的標準和服務，將計算任務分布在大量計算機組成的資源池上,通過互聯網按需給各種應用提供動態可伸縮的計算能力、數據存儲能力以及信息服務。云計算能夠利用分布式計算和虛擬資源管理等技術，通過網絡將分散的信息資源集中起來形成共享的資源池，并以動態按需和可度量的方式向用戶提供服務，是分布式計算、互聯網技術、大規模資源管理等技術的融合與發展[1]。云計算的核心理念是資源池，具有規模大、通用性強、虛擬化、高可靠性、快速便捷性、高伸縮性、資源按需分配等特點。

云計算有三種層次的服務模式，即 IaaS：Infrastructure as a Service(基礎設施即服務)、PaaS: Platformas a Service(平臺即服務)、SaaS: Software as a Service(軟件即服務)。

1.2 IaaS

IaaS（基礎設施即服務），指的是用戶通過互聯網從云計算中心獲得虛擬主機、存儲服務、網絡服務等計算機基礎設施服務實現計算，即服務、存儲即服務、網絡即服務。IaaS云計算實現機制是指用戶使用 Web服務的方式提供交互接口，根據用戶的需求通過管理平臺分配恰當的資源，提供可使用的服務目錄，并進行相應的監視和統計。

IaaS關鍵支撐技術有：服務器虛擬化、存儲虛擬化、網絡虛擬化以及云管理平臺。

（1）服務器虛擬化

服務器虛擬化把服務器的CPU、內存、存儲、I/O（網卡）等物理資源抽象成邏輯資源，將物理服務器群組構建成虛擬化資源方式，使服務器資源使用不再受限于物理的界限。

（2）存儲虛擬化

存儲虛擬化將各個分散的存儲系統進行整合和統一管理，并提供了方便用戶調用資源的接口，構建具有統一邏輯視圖的存儲資源池供用戶按需使用[2]。

（3）網絡虛擬化

網絡虛擬化使用虛擬交換機、路由器等網絡虛擬化技術構建虛擬的網絡，以便為云計算平臺上的每臺虛擬服務器使用專門指定的虛擬網絡設備和虛擬網絡進行通信。

（4）云管理平臺

云計算管理平臺是指資源池的智能化管理平臺，將所有的虛擬硬件實現安全可靠的資源池化統一管理。

2 IaaS面臨的主要安全威脅術

IaaS信息網絡安全主要保護各級交換機、路由器、防火墻、周邊網絡設備、服務器、服務器上承載的業務以及虛擬化的計算資源、存儲資源和網絡資源組成的核心資源。

2.1 傳統的安全威脅

IaaS平臺下的防火墻、交換機、路由器、VPN以及周邊網絡設備、服務器等基礎架構資源存在傳統的網絡安全威脅，代表性的有：

（1）惡意掃描

外部攻擊者通過 IP及其端口惡意掃描網絡和服務器設備，意圖通過服務漏洞等方式入侵設備。

（2）非法入侵

外部針對服務器、網絡設備等非法的攻擊，主要攻擊方式有：暴力破解root、web、mail、ftp、ssh等賬號的密碼；利用操作系統、數據庫、網絡、應用系統等漏洞進行入侵。

（3）DDoS攻擊

DoS攻擊即拒絕服務服務攻擊，利用網絡協議棧、操作系統及應用的漏洞對計算機發起攻擊，造成目標網絡以及計算機無法提供正常的服務或資源訪問。DDoS即分布式拒絕服務，是指集群多個計算機作為攻擊平臺，對目標發動DoS攻擊，這樣可成倍的提高DoS攻擊威力。

云計算IaaS平臺DDoS攻擊常見形式是內部的服務器、網絡資源被植入木馬病毒，成為“肉雞”，被控制而由內往外進行DDoS攻擊，嚴重影響云計算系統資源，影響上行帶寬，導致云計算服務中斷。

（4）網絡資源擁堵

由于網絡設計不合理、網絡邊界不清晰、未合理劃分安全域、網絡安全配置不當，云計算系統可能由于單一業務運行獨占資源而導致計算機和網絡資源被占滿，從而整個系統性能嚴重下降。

（5）網絡設備單點故障

基礎的網絡設備未做冗余部署，單點網絡設備發生故障，造成云計算核心資源對外服務中止。

（6）操作系統漏洞、身份驗證及訪問控制機制問題

操作系統本身漏洞、身份驗證以及訪問控制等問題會造成主機層出現一些常見安全問題。

2.2 虛擬化層安全威脅

與傳統的計算系統比較，云計算系統在操作系統和平臺上增加了一層軟件（管理模塊或虛擬機監控器），即增加了一層虛擬化的計算資源、存儲資源和網絡資源。虛擬化層受到的安全威脅主要有：

（1）虛擬機之間的非法數據訪問；

（2）攻擊在虛擬機之間的擴大蔓延；

（3）虛擬機竊聽竊取其他虛擬機的數據資源；

（4）虛擬機監控器面臨監控器后門及惡意代碼攻擊等來自自身的威脅；

（5）來自網絡對虛擬機監控器的DDoS攻擊；（6）虛擬機入侵虛擬機監控器后，竊取其他虛擬機數據；（7）惡意虛擬機擠占服務器資源以及對其他虛擬機發動非法入侵；

（8）針對虛擬機上部署的操作系統的安全攻擊。

3 IaaS安全關鍵防護技術措施

針對 IaaS的安全威脅，需要加強硬安全池和軟安全池的安全建設，并優化云計算系統及網絡的配置，下面分析IaaS云計算安全防護的關鍵技術以及措施。

3.1 防火墻技術

防火墻是一種高級訪問控制設備，是不同網絡安全域間通信流的唯一通道，其根據訪問控制規則決定進出網絡的行為，是保護網絡安全的基礎性設施。

傳統防火墻可分為包過濾型和代理型。傳統的防火墻只能對網絡周邊提供保護，而對網絡內部的攻擊無能為力，分布式防火墻則能夠解決這一問題。分布式防火墻駐留在網絡主機并對主機系統進行安全防護，它以網絡安全防護軟件為基礎，主要供企業或者單位內部使用，包括網絡防火墻和主機防火墻兩大類[3]。

IaaS云計算平臺應在網絡架構建設中合理部署防火墻進行整體防護，并針對個體設備需求部署分布式防火墻進行個性防護。虛擬化設備應同時考慮部署虛擬化分布式防火墻，合理部署分布式防火墻，實現網絡安全域隔離。

3.2 防病毒技術

在新型及變種病毒層出不窮的背景下, 在 IaaS云計算系統中部署防病毒墻、防病毒軟件，以及在虛擬機上安裝殺毒軟件進行病毒檢測和病毒查殺，是云計算信息安全防御的必要手段。

3.3 IPS技術

IPS（Intrusion Prevention System，入侵防御系統）是網絡設備架構中對防火墻和防病毒系統的補充，IPS可提供OSI模型第二至第七層全面的防御能力，能夠監視網絡或網絡設備的網絡資料傳輸行為。

IPS在IaaS云計算系統中應根據業務需求部署在網絡核心、核心業務子網、DMZ、網絡邊界、外聯網等業務節點。

3.4 WAF技術

WAF (Web Application Firewall，Web應用防護系統）在OSI模型應用層能解析HTTP請求，進行規則檢測，做出相應的防御動作，并將防御過程記錄下，WAF技術可有效防御SQL注入、XSS跨站腳本、后門上傳、非授權訪問等各種常見Web攻擊，并且可以有效防止Web各類應用層攻擊，保證云計算Web服務交互接口的安全。

3.5 VLAN技術

VLAN虛擬局域網技術能將一個物理的LAN在邏輯上劃分成多個廣播域，可以隔離沖突域和廣播域。它是IaaS云計算信息安全防范中必不可少的技術。合理劃分 IaaS云計算系統的安全域，實現VLAN合理劃分，可以有效防止網絡資源擁堵，防范在云計算環境下虛擬機之間的非法數據訪問、攻擊在虛擬機之間擴大蔓延、竊聽竊取虛擬機數據資源等新型的網絡安全威脅。

3.6 部署冗余基礎網絡設備

部署網絡冗余設備可以有效防范云計算系統基礎網絡的單點故障。

3.7 安全加固技術

（1）部署操作系統的安全加固產品，加強身份認證技術防護，加固安全配置策略，加固管理員及用戶權限管理；

（2）加強虛擬監控機的補丁升級管理，加固虛擬機上的操作系統；

（3）加固虛擬機上的安全配置策略，加強虛擬機管理員的系統權限管理和審計。

4 結束語

本文闡述了云計算、IaaS及其虛擬化技術，針對IaaS面臨的信息網絡安全威脅，研究分析了云計算 IaaS信息網絡安全防護的關鍵技術，目前，云計算的服務模式仍在不斷演進，IaaS的安全防范工作也應與時俱進。