云計算平臺安全風險防護技術研究

伍曉泉 胡春潮 尤毅 曾杰

廣東電科院能源技術有限責任公司 廣東 廣州 510030

1 云計算平臺的內涵

云計算(Cloud Computing)是由分布式計算(Distributed Computing)、并行處理(Parallel Computing)、網格計算(Grid Computing)發展來的，是一種新興的商業計算模型。云計算平臺廠商通過建立網絡服務器集群，向各種不同類型客戶提供在線軟件服務、硬件租借、數據存儲、計算分析等不同類型的服務。近幾年，隨著虛擬化、邊緣計算、人工智能、容器和區塊鏈計數的高速發展，云計算平臺憑借響應快速、部署方便靈活、高可用性、成本低廉等優勢，在網絡服務中得以廣泛應用[1]。

2 云計算平臺的安全風險和主要威脅

（1）鏡像篡改。云主機的部署通常采用同一個鏡像以期獲得統一的運行環境和應用軟件，從而避免復雜的配置過程，但如果該鏡像被惡意篡改，如被植入病毒，那么后續基于此鏡像創建的云主機都會遭到破壞。確保鏡像的完整性不受破壞是整個云主機安全的基石，尤為重要。

（2）越權的操作和訪問。對系統和數據的訪問管理和控制不力往往導致非法（越權）訪問，例如憑據保護不足、缺乏自動輪換密鑰密碼和證書的功能、未使用多因素身份驗證、未使用強密碼等導致關鍵密鑰密碼的容易被竊取或者暴力破解，從而對云計算主機造成破壞或者被攻擊者非法使用，如托管惡意軟件，發起DDoS攻擊，分發網絡釣魚電子郵件，挖掘數字貨幣，執行自動點擊欺詐或進行暴力攻擊以竊取憑據。另一方面，若云主機配置的變更控制不力，內部人員可能有意或無意地使系統和數據面臨風險。例如運維人員錯誤地配置了資源權限而意外地泄露了機密數據。

（3）資源遷移。在虛擬環境中，虛擬機的遷移很常見。在虛擬資源遷移過程中，需要采取校驗或密碼技術等措施保證虛擬資源數據的完整性，并在檢測到完整性受到破壞時也應該采取必要的恢復措施。

（4）主機越權。提供虛擬資源的主機上通常存在管理組件，如Hypervisor，這些組件可以說是當前虛擬化的核心。由于它們可以協調各種硬件資源的分配，因此它的權限非常之大。云服務商也可能會使用其他云服務商的服務，使用第三方的功能、性能組件，造成云計算平臺復雜且動態變化。隨著復雜性的增加，云計算平臺實施有效的數據保護措施更加困難，客戶數據被未授權訪問、篡改、泄露和丟失的風險增大。如果管理組件或主機操作系統被攻擊，則運行在虛擬化組件之上的所有虛擬資源都會被波及。

（5）數據泄露。數據泄露是云計算平臺應用中面臨的一項重大安全威脅。其原因在于數據泄露可能會嚴重損害企業的聲譽和財產安全，甚至導致重大的法律責任。數據泄露威脅包括存儲數據泄露和傳輸數據泄露。在SaaS模式，企業數據存儲在供應商的數據中心，企業應采取措施保障數據安全，防止由于應用程序漏洞或者惡意特權用戶泄漏敏感信息。在一個多租戶SaaS的部署中，多個企業的數據可能會保存在相同的存儲位置，也會出現數據泄露問題。企業和提供商之間的數據流在傳輸過程中必須得到保護，以防止敏感信息外泄。

3 提升計算云平臺的安全性的防護技術

（1）敏感信息數據的存儲和訪問控制。數據的存儲安全性通過數據隔離和數據加密配合數據訪問控制手段進行提升。隔離管理數據和業務數據，分開存儲敏感數據和普通數據，只將敏感數據如密鑰密碼和用戶鑒別信息等加密存儲，可以兼顧服務效率和數據的機密性。當云主機處理的數據大部分是敏感數據時，加密處理會對服務器性能造成損害，此時則考慮使用專用加密設備來提升，誰有權訪問數據是解決數據保護的關鍵問題，對于訪問管理，管理員賬戶應采用雙因素認證，并配合程序化、集中式方法進行密鑰輪換。隔離和細分資源訪問權限，對于數據按照最低特權原則進行訪問，未使用的憑據和訪問權限及時刪除。管理員修改信息資源的訪問控制權限時，需要二次確認，并定期審核和修復云計算主機的配置，監控云計算主機是否受到濫用。

（2）數據傳輸過程中的信息安全。傳輸的數據分為機密數據和普通數據。對于普通數據，僅需保證其在傳輸過程中不被篡改，數據的完整性不被破壞。普通的云主機鏡像和資源遷移就屬于此類數據。而對于機密數據，還需進一步加密處理。對于行業內私有平臺內部相關數據和信息資源，采用公鑰基礎設施和數字簽名證書技術的專有協議加密傳輸的數據。專有協議需考慮到機密性、不可抵賴性、數據完整性以及抗重放攻擊。機密性遵循“一次一密”的原則，并能定時更新；不可抵賴性則主要依靠PKI（公鑰基礎設施）技術；數據完整性則依賴于摘要算法如SM3等；抗重放攻擊則通過在報文中添加時間戳解決。由于使用了專用的加密傳輸協議，破解難度極大，安全性極高，可很好地解決傳輸過程中的數據泄露問題。

（3）操作系統加固。云主機應對操作系統進行定制裁剪處理，禁用不必要的和危險的系統服務，對常用服務進行安全加固；調整內核參數。對系統鏡像進行簽名，確保其完整性不受破壞。

（4）日志審計。一個完整的信息安全技術保障體系應由檢測、保護和響應三部分組成，而日志審計是檢測安全事件的不可或缺重要手段之一。日志審計是一種被動防護手段，作為主動防護手段的補充。目前，大部分信息系統的所依賴的IDS/IPS系統只能檢測部分來之網絡的攻擊事件，對運維人員的違規操作、系統運行異常、設備故障等安全事件缺乏監控能力，而這些異常事件恰恰是對內部信息系統安全威脅的最大部分。日志審計通過分析系統、應用、數據庫產生的運行日志，能夠及時發現入侵檢測系統檢測到的各類安全隱患，并及時發出告警，從而避免安全事件的發生；即使安全事件不幸發生了，也可通過日志審計做到追本溯源，有助于找到問題的根本原因，厘清責任。

4 結束語

相信隨著云計算的深入發展，國內云計算安全標準化工作的推進，各種安全實踐會不斷成熟，將進一步豐富和完善云計算平臺的安全防護技術。