云計算安全風險與保護技術框架研究＊

陳雪

（廣州工商學院，廣東 廣州 510850）

近年來中國經濟增速放緩，產業格局迭代升級趨勢愈發明朗，以網絡科技、通信科技為依托的新興產品、技術持續涌現，物聯網、區塊鏈等新名詞不絕于耳，云計算作為其中典型代表，通用性、擴展性優勢非常明顯，解決了傳統業務處理方式下，計算能力不足、擴建成本過高的困境，促進了數據的高速流通和交互。但該種趨勢的發展也帶來了一定困擾，開放環境下數據泄露、外部攻擊風險明顯提高，有必要對其安全防護技術框架進行完善和優化。

1 云計算安全風險探析

云計算是科技理念更新、迭代的產物，能夠通過虛擬化技術，將計算任務分布到不同資源池之中，從而增大系統存儲空間，獲得計算能力上的跨越式提升，從技術架構上看，其大致可以分為3 個不同層級，其中，IaaS 層位于最底層，主要包含各類基礎設施、設備，可以將其整合成虛擬資源池，方便用戶數據存儲以及程序代碼運行；PssS 層則提供平臺、環境，可以容納多種程序接口，并為數據庫、文件系統等的測試運行提供便利；SaaS 層處于架構頂端，可以在Web 瀏覽器的支撐下，向用戶開放交互界面和軟件[1]，滿足多點訪問需求。

近年來中國網絡覆蓋率持續上升，各企業、用戶對云計算的需求量呈現出爆發式增長，云計算應用中潛在的風險因素也顯著增多，大致可以歸結為以下5點：①身份冒用風險。為確保安全，云計算虛擬平臺通常采用賬號密碼形式認證用戶身份，但部分攻擊者通過不法渠道竊取該類信息，借助冒用身份進行消費、竊聽，嚴重危害了用戶安全。②共享環境風險。云計算之所以能夠實現大規模的覆蓋和計算，關鍵在于虛擬資源池的搭建，在該種平臺組織策略下，傳統的防護墻技術很難發揮效能，惡意代碼一旦傳播擴散，必將造成更大范圍的危害。③數據泄露風險。在新常態背景下，數據作為隱形資產的價值被越來越多的人所認可，存儲于云平臺的數據一旦出現泄露、篡改、丟失等問題必然影響其固有價值。④DDoS 攻擊風險。Web 環境是云計算技術的關鍵依托，部分不法分子利用該種特征，從多個節點同時實施攻擊，占據系統大量資源，并損壞運行穩定性。⑤對內防范風險。云計算服務提供開放資源池，從合作形式看，更傾向于外包業務，租戶企業的內部員工、運營商員工、管理者等均具備接入資源池的能力，這就給內部防范工作帶來極大壓力，控制協調不當很容易導致數據異常泄露等問題。

2 云計算安全保護技術框架搭建

2.1 設計思路

云安全框架搭建環節，需要對攻擊特征、風險種類、防護需求等進行全方位分析，從既有案例來看，惡意入侵造成的波及范圍是十分廣泛的。從物理層視角上看，可能發生門禁破壞、設施破壞等問題；從網絡層、主機層視角看，又可能發生非法訪問、非法入侵等情況；針對應用層、數據層展開攻擊時，還會發生數據丟失、應用宕機等情況。因此要采用針對性分析策略，分別引進聯動預防、隔離預防、統一身份認證等技術，保障安全框架全面性和系統性。

2.2 網絡安全層

2.2.1 數據中心劃分與隔離

開放、共享是云計算平臺最為顯著的特征，其中牽涉、覆蓋的數據節點數量多、結構復雜，一旦發生惡意攻擊行為，將會在平臺內部發生大范圍擴散，因此引入網絡隔離技術，對數據中心進行分隔保護。分隔依據主要為業務功能，同時兼顧網絡安全風險，重點區域分述如下：①DMZ 區，該區域位于內外防火墻中間，可以起到緩沖、防護的作用，整體安全性能低于內網，面臨的潛在風險也非常之多，主要負責部署前置部件，管理對象包含API 網關[2]等。設計環節增加入侵檢測、攔截設備，與基礎防火墻搭配，可以起到抵御風險、保護數據安全的作用。②公共服務區，在安全框架中扮演部署、統籌角色，可以對IaaS、PaaS等層級組件進行分配，設計環節隔離等級設置為半開放，可以受限向租戶提供服務，且所有操作均要經過DMZ 區過濾。

2.2.2 業務平面劃分與隔離

云計算平臺涉及的業務種類非常多樣，為避免業務繁雜性帶來的不利影響，確保設備、資源始終處于安全防范范疇以內，還需要對相關業務項目進行劃分隔離，分隔依據包含安全風險等級、業務權限等，劃分后主要分為5 個部分，其中，租戶數據平面是主要通信渠道，可以與下設的各類虛擬機建立聯系，保障業務的正常供應；業務控制平面則提供接口服務，可以保障各類API 安全性能；平臺運維板塊則為運行、維護業務設計，可以面向網絡設備、服務器等開展管理。此外還有BMC 管理平面、數據存儲平面等，分別負責應急維護、安全存儲，業務板塊相互獨立、各自為政，同時又協調配合、相得益彰，能夠較好地防止業務數據泄露、混淆等問題。

2.3 主機安全層

2.3.1 CPU 隔離

主機板塊是整個云計算平臺的核心所在，本次設計中主要采用最小化裁切策略，對各主機設備進行分隔防護，并附帶安全加固手段，謹防惡意攻擊和入侵。在整個主機板塊的安全層設計過程中，CPU 隔離占據關鍵位置，主要以虛擬機為中心，實現其與UⅤP（Unified Ⅴirtualization Platform，統一虛擬化平臺）之間的隔離，同時相鄰虛擬機節點之間，信息也應當是相互隔離獨立的。框架搭建主要通過模式切換完成，Non-Root 模式下CPU 正常運轉，可以支持基礎的運算、交互需求，進入Root 模式后，UPⅤ對虛擬機的控制能力有所上升，可以靈活調整各類設備的訪問權限，最終實現虛擬機資源隔離，確保虛擬機節點之間相互獨立，無法獲取到其他平臺資源信息。

2.3.2 內存隔離及I/O 隔離

云計算平臺綜合處理能力強大，可以承擔數據存儲、交互等功能，由于虛擬平臺開放性較為顯著，因此海量存儲數據如何隔離、獨立就成為了重點，只有采取必要措施進行優化，使得各虛擬機能且只能訪問對應內存，才能最大限度保證安全性。為實現該種設想，設計時引入了映射策略，在虛擬機、物理內存之間，搭建起單點映射關系，訪問環節虛擬層率先運作，實現對IP 地址的轉化，確保其只能訪問對應內存。I/O設備同樣是UⅤP隔離環節，重要的關注對象包含磁盤、網卡等重要裝置，安全架構設計時采用邏輯卷策略，以虛擬磁盤設備為中心，對應關聯鏡像文件[3]，實現各對象之間的對應，確保I/O 路徑相互隔離。

2.4 應用安全層

縱觀已有的應用層安全事故，會發現其中大部分危害因素均來源于網絡，有統計的數據中甚至可以達到70%，因此安全框架設計過程中，搭設了專用的WAF（Web Application Firewall，Web 應用防火墻）進行風險抵御，運行邏輯可見。該種防火墻的增設可以實現如下4 種功能：①Web 攻擊過濾。可以識別幾種常見的惡意攻擊行為，比如SQL 注入、代碼注入以及敏感文件獲取等，主要通過參數、地址等關鍵信息的分析處理達成預期目標。②編碼還原。內部裝配了集成語義分析引擎，與原有的正則引擎搭配使用，可以實現高精度還原和識別，防止編碼混合亂入。③惡意信譽庫。這是一種基于已有經驗設計的防范模塊，通過云計算平臺與全球情報庫連接，收集了大量的惡意IP、惡意bot 等。④CC 攻擊防護。該種攻擊類型較為隱蔽，攻擊者不直接執行DDoS 攻擊，而是借助代理服務器實現偽裝，一旦成功將會嚴重影響系統穩定性，因此安全層設計中，依托WAF 完善識別功能，可以對IP、cookie 文件開展標識處理，精準識別出超閾限訪問節點，并阻斷相關攻擊行為。

2.5 數據安全層

2.5.1 訪問隔離設計

近年來高新科技產業迅猛發展，數據、信息作為無形資產的地位得到加強穩固，云計算平臺中，必須以機密性、完整性作為數據存儲、交互衡量要點，以確保云安全體系切實有效。訪問隔離設計是該體系的重要關卡，本系統中引入了IAM（Identity and Access Management，統一身份認證）技術進行優化，面向企業、個體租戶提供服務，可以實現用戶集中管理，安全憑證集中驗證等功能，除用戶賬號注冊外，還可以調整資源操作權限，從而降低系統防內壓力，確保云計算平臺安全性能。

2.5.2 傳輸通道設計

應用云計算平臺開展業務處理工作時，經常會涉及到數據傳輸問題，為確保安全主要引入了ⅤPN 技術，可以以ⅤPC 為依托，與遠端用戶建立聯系，與傳統開放渠道相比，通信路徑經過加密更加嚴謹安全，可以實現數據中心的無縫擴展。當系統中產生新的數據、信息，租戶也可以借助該通道打包上傳，啟動額外服務器增強計算能力，降低泄露風險的同時保證使用性能。在通信協議上，使用了TLS（Transport Layer Security，傳輸層安全協議）技術與證書管理，一方面可以提供REST 網絡，以RESTful 為依托，對目標API進行直接調用；另一方面開放Highway 通道，可以滿足特殊場景下的使用需求，私密性、高效性更有保障。

2.5.3 存儲安全設計

數據存儲環節引進KMS（Key Management Service，密鑰管理服務）技術，依托硬件安全模塊進行密鑰創建，避免出現密鑰泄露等問題，密鑰正式使用環節，所有操作均會被同步到日志板塊，以便后期調取審計。對數據進行刪改操作、銷毀操作時，系統會事先處理前一階段內存，通過寫“零”操作防止有效信息泄露，對于已經廢棄的數據，則開放安全刪除功能，直接在磁盤中執行相關操作，消除數據恢復讀取可能[4]。此外還搭配了自發加密功能，租戶可以根據實際需求，對上云數據進行加密，若有丟棄需求直接銷毀密鑰即可，物理磁盤報廢后，也會通過云平臺消磁，并提醒租戶折彎、破碎，以阻斷所有可能的隱私泄露渠道。

2.6 運維安全層

2.6.1 安全日志設計

從云計算平臺運行現狀來看，會發現安全防護需求基本上是逐年增長的，各類攻擊事件、泄露事件嚴重威脅著數據安全性，除了完善防護性能外，還應當做好日志記錄，以防惡意篡改刪除造成隱性數據資產損失。要結合需求劃定云安全事件，包含系統入侵、基礎設施受損、網絡掃描竊聽等，發現苗頭后及時記錄用戶名、源頭IP 地址、變更內容等，設置90 d 左右的開放查詢事件，方便回溯和修補，日志內融入大數據技術，可以將異常狀況生成可視化成果，輔助人工決策。

2.6.2 災難恢復設計

云計算平臺依托資源池完成業務計算和運行，節點宕機、損壞等均有可能影響架構運行質量，因此安全設計環節，還開辟了災難恢復模塊，異地數據中心之間相互聯通，鄰近節點互為災備，當其中一點出現故障時，數據會自動拷貝、轉移，所有傳遞操作依托高速光纖實現，以確保業務連續性。針對難以預見的自然災害、重大災難等，同樣編制了系統的連續性計劃，借助仿真平臺模擬測試，將目標區域云平臺轉換為離線狀態，模擬災難并規定處理路線，測試過程、結果被系數記錄下來，方便后續調取刪改。

3 結論

綜上所述，云計算技術具有覆蓋范圍廣、計算能力強大等優勢特征，應用于企業管理、信息傳遞時，可以顯著減少硬件資源開銷，保障資源池供應充足性，實踐環節要正視其中存在的身份冒用、數據泄露、DDoS 攻擊等風險，積極引入網絡隔離技術，對數據中心、業務平面等關鍵區域進行分隔防護，同時關注主機層安全隱患，通過權限設置、映射關系搭建等確保CPU、I/O 設備的隔離，在應用層增加Web 攻擊過濾、CC 防護攻擊等功能，最大限度保障云計算平臺應用安全性。