基于云計算的安全管理技術探究

高彥 陳曉燕

摘要：隨著科技的發展，云計算已經廣泛應用于各個領域，不僅可以高效采集、傳輸、處理海量數據，還可以通虛擬化技術提高資源的利用率，為用戶提供高性能的服務。如此重要的云計算，其安全管理問題就成了重中之重，只有保證云計算平臺的安全，才能保證信息系統和數據的安全。

關鍵詞：云計算;訪問控制;安全監控;補丁漏洞

中圖分類號：TP393.08? 文獻標識碼：A? 文章編號：1672-9129（2020）02-0024-01

Abstract： With the development of science and technology， cloud computing has been widely used in various fields. It can not only efficiently collect， transmit and process massive data， but also improve the utilization rate of resources through virtualization technology to provide users with high-performance services. Such an important cloud computing， its security management has become the top priority， only to ensure the security of cloud computing platform， to ensure the security of information system and data.

Key words： cloud computing; Access control; Safety monitoring; Patch holes

引言：云計算安全管理是指通過一定安全技術措施和管理手段，確保云計算資源的保密性、可用性、完整性、可控制性、抗抵賴性，保證不會導致云計算系統以及所含信息不會泄露或破壞。

1? 安全管理框架

從傳統上來看，安全管理在安全的網絡建設中發揮著重要作用。通過安全管理平臺，可以實現對安全設備的集中管理與控制、直觀的實時事件監控、安全事件綜合分析，并能夠提供清晰全面的統計報告，方便用戶隨時掌控當前網絡安全狀況，在增強整網安全可視化的同時，通過集中的策略管理，簡化多臺設備安全策略部署工作，節省維護成本。其安全需求可由底向上可分為物理設備的安全性、網絡的安全性、平臺應用進程的安全性、數據信息的安全性和租戶身份授權與認證。同時根據每個層次的安全特性，有相應的安全管理技術來保證該層次的安全，由底向上分別是可用性管理、網關控制、安全監控、恢復補丁漏洞安全和訪問控制。

2? 安全管理技術

2.1安全恢復機制、安全漏洞、補丁及配置?；謴蜋C制是保證服務可靠性和可用性的重要手段，是典型的事后反應機制。系統恢復是惡意軟件防御中的一個重要方向，可以采用回滾和重放技術，通過記錄進程內存狀態以及進程與系統的交互關系實現回滾和重放，保證系統的安全性。漏洞管理可以幫助保護主機、網絡設備和應用程序避免遭針對已知的漏洞的攻擊。成熟機構一般會建立完善的漏洞管理過程，其中包括對連接到機構網絡的系統進行例行掃描、評估漏洞對機構的風險、解決風險的加固過程。技術漏洞管理應當以有效、系統且可重復的方式實施，并采取側量措施以確保其有效性。這些考慮應將操作系統和其他使用的應用程序包含在內。安全補丁管理與漏洞管理類似，在保護主機、網絡設備和應用程序進免未授權用戶針對已知漏洞的攻擊方面，安全補丁管理也是一個重要的威脅管理要素。補丁管理過程遵循變更管理框架，并直接從用戶漏洞管理程序得到反饋，從而降低來自機構內部和外部的威脅。安全配置管理可以保護主機和網絡設備免遭未收錢用戶利用配置弱點實施的攻擊。安全配置管理與漏洞管理程序密切相關，是整體安全配置管理的一部分。

2.2訪問控制。訪問控制管理為用戶和系統管理員提供一系列資源訪問管理功能，包括訪問網絡、系統和應用程序資源等。主要解決如下問題：一是用戶權限的分配;二是用戶工作職能和責任的權限分配;三是訪問權限的認證方法和認證強度;四是核實權限分配的審計和報告。在云計算中，網絡訪問控制表現為云計算防火墻策略，這個策略在云計算的出入口處執行基于主機的訪問控制，并對云計算內部的實例進行邏輯分組。通常是使用基于標準TCP/IP協議參數的策略實現，包括IP，源端口、目的IP及目的端口等。云計算的訪問控制與基于網絡的訪問控制相比，云計算用戶訪問控制尤為重要，因為它是將用戶身份與云計算資源綁定在一起的重要手段。通過對用戶身份的訪問控制，可以確保其真實身份，防止惡意用戶違規使用云計算平臺，保障云計算的安全。

2.3可用性管理。云計算服務也不可避免地會出現停機，停機的情況不同，影響用戶的嚴重程度和范圍也不同。計算服務的彈性和可用性取決于幾個因素：云計算服務提供商的數據中心架構（負載均衡、網絡、系統）、應用程序架構、主機位置冗余、多個互聯網服務提供商，以及數據存儲架構等。對于云計算平臺系統，通過虛擬機HA熱遷移高可用性技術，可以避免因”計劃內停機”而導致業務中斷。通過監控主機IPMI數據，在物理機出現故障預警時動態遷移該節點上的虛擬機至健康的主機節點上。采用虛擬內存同步技術和IO多路徑熱轉移技術，實現客戶虛擬機系統在冗余的物理機節點間雙活同步運行，即使是計劃外停機，運行在上面的虛擬機遷移恢復時間也可以控制在幾分鐘以內，保障業務連續運行。

2.4網關控制。網關控制是為用戶提供了一個控制點，讓用戶能夠很好地控制用戶與“云”的連接以及“云”環境中和企業數據中心內應用訪問的安全防護。虛擬化環境下的安全網關要針對云計算復雜環境的綜合防御系統，融合遠程安全接入、安全訪問控制、抗拒絕服務攻擊、入侵防御、Web安全等技術，具備檢測、分析、決策、響應相結合的聯動防御能力，有效抵御來自物理硬件層、虛擬層、調度管理層、應用層等各個層次的威脅。通過網關控制，可以更好地保障云計算網絡的安全特性，使安全攻擊被網關阻隔在云計算之外，更大程度上保障內部數據的安全。

2.5安全監控。監控是租戶及時知曉服務狀態以及提供商了解系統運行狀態的必要手段，可以為系統安全運行提供數據支撐。常見的監控機制包括軟件內部監控和虛擬化環境監控兩種。云計算安全監控與傳統軟件運行環境不同，云計算分布式、去中心化的等特性對軟件監測技術帶來了挑戰，監控系統應提供對并行和云計算分布式系統的運行時監控支持，通過跟蹤運行時軟件調用路徑的方法，進行系統性能瓶頸的分析，達到軟件內部安全問題的監控。在日常維護過程中，可以將安全監控工具部署在hypervisor中，能夠實現對每臺再用的虛擬機的運行情況、內在屬性使用率、動態遷移性能和安全狀態的監控，在出現負載過大或收到安全攻擊時可以及時的得到信息從而采取相關措施來對虛擬機進行保護。

參考文獻：

[1]倪志宏. 基于云計算的網絡安全及管理應用研究[J]. 電腦知識與技術：學術交流（5期）：3021-3022.