云計算環(huán)境下網(wǎng)絡(luò)安全策略分析

高璐 徐宗琦

摘要：隨著計算機和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，云計算技術(shù)憑借其虛擬化、高可靠性、按需服務(wù)等優(yōu)勢特性，在各個行業(yè)領(lǐng)域得到了廣泛的應(yīng)用。但云計算也面臨著各種威脅和挑戰(zhàn)，存在很多網(wǎng)絡(luò)安全技術(shù)問題。本文將從云計算面臨的網(wǎng)絡(luò)安全威脅進行分析，進而提出解決相關(guān)威脅應(yīng)采取的技術(shù)和策略。

關(guān)鍵詞：云計算;網(wǎng)絡(luò)安全;策略分析

中圖分類號：TP393 文獻標(biāo)識碼：A

文章編號：1009-3044（2020）15-0075-02

當(dāng)前隨著網(wǎng)絡(luò)通信技術(shù)和計算機技術(shù)的不斷發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)應(yīng)運而生，特別是云計算技術(shù)憑借其虛擬化、高可靠性、按需服務(wù)等特性和使用方便功能強大的優(yōu)勢更是在各個行業(yè)得到了廣泛應(yīng)用。與此同時，云計算面臨的安全問題也已成為人們關(guān)注的焦點。如：身份認證問題、數(shù)據(jù)安全問題、虛擬化系統(tǒng)問題、移動網(wǎng)絡(luò)影響問題等，因此，必須從能夠出現(xiàn)問題的方方面面進行考慮制定相應(yīng)的安全策略，才能夠保證云環(huán)境使用的安全性。

1云計算存在的安全問題分析

1.1用戶身份認證和接入

云計算能夠支持各種不同用戶終端海量用戶對資源進行訪問和使用，既要方便用戶訪問，提高用戶體驗，又要保證應(yīng)用安全，為云計算提供的用戶身份認證系統(tǒng)和接入機制提出了更高的要求和挑戰(zhàn)。目前云計算存在身份認證較為混亂、審查不充分，用戶接口和界面存在安全漏洞等威脅，可能給信息帶來更多未經(jīng)授權(quán)的訪問，造成用戶信息的泄露和丟失。

1.2數(shù)據(jù)安全性

一方面云計算采取分布式體系結(jié)構(gòu)，處于不同位置的資源協(xié)同完成計算過程，需要運用網(wǎng)絡(luò)傳遞大量中間數(shù)據(jù)，傳遞過程中，容易發(fā)生病毒植入、數(shù)據(jù)攔截、黑客人侵等問題，因此如何對數(shù)據(jù)傳輸過程實施有效保護，也是云計算面臨的安全挑戰(zhàn)。另一方面，云計算實現(xiàn)了大量數(shù)據(jù)的存儲和共享，云服務(wù)提供商應(yīng)對數(shù)據(jù)進行實時監(jiān)控和集中管理，而云計算的架構(gòu)復(fù)雜，為有效管理帶來了挑戰(zhàn)，如果不做好數(shù)據(jù)的隔離，極易在技術(shù)、資源出現(xiàn)問題時，對海量數(shù)據(jù)造成存儲威脅。此外，云計算采取多用戶租用機制，一個用戶出現(xiàn)漏洞可能造成其他用戶數(shù)據(jù)和信息的泄露;一個用戶退出云后，這個用戶所釋放的存儲空間，也要做到及時的清空，否則也存在數(shù)據(jù)泄露的可能性。

1.3虛擬化系統(tǒng)問題

一方面云計算技術(shù)在很大程度上依賴于虛擬化技術(shù)，一臺服務(wù)器可以根據(jù)用戶需求，運行多臺虛擬機，而虛擬網(wǎng)絡(luò)是一個大的二層網(wǎng)絡(luò)，虛擬機可以任意在其中遷移，那么一些二層攻擊手段，如：以太網(wǎng)端口欺騙、ARP欺騙、ARP風(fēng)暴等二層攻擊問題，會對整個虛擬化系統(tǒng)造成威脅。另一方面，攻擊者可以利用虛擬機將程序直接運行在服務(wù)器的內(nèi)存中，可利用虛擬層漏洞，完成人侵，XEN、KVM、VMware等常見虛擬化軟件，都能找到類似安全漏洞。此外，如Hypervisor虛擬化管理軟件，作為虛擬機底層如果存在漏洞，則會影響到虛擬化下面的物理機自身安全。

1.4移動用戶帶來的云安全問題

隨著智能手機的應(yīng)用和普及，移動終端安全問題對傳統(tǒng)網(wǎng)絡(luò)安全防護體系形成了挑戰(zhàn)，傳統(tǒng)防火墻可以守住服務(wù)器的端口，但到了移動網(wǎng)絡(luò)融入后，攻擊從平面變?yōu)榱Ⅲw了，使得防護體系面臨巨大挑戰(zhàn)。

綜上，云計算在各個層面都存在相應(yīng)的安全威脅和問題，那么也需要一定的安全策略來解決以上問題。

2云計算環(huán)境下網(wǎng)絡(luò)安全策略

2.1建立可信的身份認證和訪問控制

身份認證可采用實名制的方式進行處理，進而有效避免用戶對數(shù)據(jù)的非法訪問。云環(huán)境下，在確保用戶數(shù)字身份隱私性保護的前提下，通過實現(xiàn)身份聯(lián)合和用戶單點登錄支持云中企業(yè)之間共享用戶身份信息和認證服務(wù)，并減少重復(fù)認證帶來的開銷。此外，還要構(gòu)建基于云環(huán)境的訪問控制服務(wù)策略，保證用戶角色清晰，權(quán)限明確，依據(jù)用戶權(quán)限，確保數(shù)據(jù)信息的安全性、有效性，因而訪問控制是云計算安全的核心內(nèi)容。將已有的訪問控制策略進行優(yōu)化，降低訪問控制規(guī)則開銷，構(gòu)建訪問控制的模型框架，進而對訪問控制過程進行加密處理，有效整合各種策略實現(xiàn)訪問控制的最優(yōu)化。

2.2加強數(shù)據(jù)保護

一是做好隱私保護。云中數(shù)據(jù)保護涉及數(shù)據(jù)生命周期的每一個階段。無論施行何種云計算策略，都應(yīng)保護用戶數(shù)據(jù)免受未經(jīng)授權(quán)訪問，要對數(shù)據(jù)進行加密處理，控制用戶權(quán)限，確保合法用戶才能訪問和查看數(shù)據(jù)內(nèi)容。二是做好數(shù)據(jù)完整性保護。云端通過服務(wù)器集群、異地容災(zāi)和容錯等技術(shù)，做到數(shù)據(jù)不丟失，采用數(shù)據(jù)快照回滾技術(shù)，降低用戶誤刪除數(shù)據(jù)的損失。還要保護數(shù)據(jù)不受未經(jīng)授權(quán)的修改和刪除。云計算中有大量數(shù)據(jù)源和訪問方法，應(yīng)采取更為嚴(yán)格的訪問方式，授權(quán)應(yīng)確保只有被授權(quán)實體才能與數(shù)據(jù)進行交互。

2.3運用虛擬安全技術(shù)

虛擬技術(shù)是實現(xiàn)云計算的關(guān)鍵核心技術(shù)，云計算必須向客戶提供安全性和隔離保證。一是通過隔離保護托管元素，業(yè)務(wù)在云中部署，任何功能都可能受到攻擊，其托管和管理流程也變得可見易受攻擊，如果將主機和功能連接隔離在一個專用子網(wǎng)絡(luò)中，則不會受到外部訪問的困擾。二是審核和測試所有組件。運用生命周期管理手段，確保組件在生命周期的每一個階段只能訪問同一服務(wù)實例中的其他組件，減少惡意軟件在托管功能中引人風(fēng)險。三是避免服務(wù)之間的交叉。虛擬網(wǎng)絡(luò)進行更改時，都可能在不同的服務(wù)或功能部署之間建立連接，可能會產(chǎn)生數(shù)據(jù)平臺泄露，有效管理虛擬連接可以降低錯誤風(fēng)險。四是及時修補虛擬平臺依托的物理平臺的漏洞，避免發(fā)生虛擬機逃逸漏洞。

2.4綜合運用防御技術(shù)

一是病毒防御技術(shù)。云計算環(huán)境下進行殺毒特點是，云端負責(zé)病毒相關(guān)信息的分析計算，而殺毒功能依賴于殺毒軟件，所以云計算和殺毒軟件并不是一個整體，卻同時為消殺病毒發(fā)揮作用。在云環(huán)境下，不再借助客戶端的病毒特征庫，只需反病毒引擎技術(shù)就可以清理病毒，云端還需要配套相關(guān)的安全硬件設(shè)備、風(fēng)險管理軟件以及數(shù)據(jù)安全管理軟件等，進而實現(xiàn)云端控制范圍內(nèi)的病毒進行有效預(yù)防。二是防火墻技術(shù)。傳統(tǒng)防火墻部署在網(wǎng)絡(luò)邊界，只有授權(quán)人員可進入設(shè)備，網(wǎng)絡(luò)保護相對簡單。而云計算環(huán)境下，云計算的防火墻有兩種，兩種防火墻都可以檢查入站和出站數(shù)據(jù)包以阻止惡意流量，但有很大不同。一種與傳統(tǒng)防火墻功能相似，用于保護企業(yè)的網(wǎng)絡(luò)和用戶的防火墻，另一種是保護云基礎(chǔ)設(shè)施和服務(wù)，基于云的服務(wù)，運行在虛擬數(shù)據(jù)中心，保護云端應(yīng)用程序之間的流量，也稱其為下一代防火墻。三是加密技術(shù)。為確保云計算的安全性，加密技術(shù)是其中的重要一環(huán)，客戶端依據(jù)加密算法不同，可能增加解密的復(fù)雜度，給服務(wù)器端處理帶來壓力，云端可采取內(nèi)容感知加密和保格式加密的加密方法，在數(shù)據(jù)防泄漏的同時，理解數(shù)據(jù)或格式，基于策略設(shè)置加密。云服務(wù)底層使用經(jīng)國家密碼管理局認證的密碼機，通過虛擬化技術(shù)，幫助用戶滿足安全方面的要求，保護云上業(yè)務(wù)數(shù)據(jù)的隱私性要求。

云計算環(huán)境的安全涉及云環(huán)境部署的方方面面，每個提供云安全服務(wù)的企業(yè)都形成了各自的云策略架構(gòu)，綜合運用多種手段解決云安全問題，才能確保云計算帶來便利的同時，達到安全性需要。