多层次云平台安全防护体系相关技术

何冰

本章为相关技术分析，对各个云平台安全防护技术进行了总结和分析，主要包括Amazon Web Service、微软 Azure和Google Cloud。由于传统的网络安全方案在开放的云计算平台上有很多的不适应，加上云计算平台的复杂架构和技术使得云计算平台的安全一直都没有较为成熟的方案。

【关键词】云平台 多层次网络安全防护 面向切面

1 云平台服务模型

云计算就是通过大规模的分布式计算为消费者提供相关服务，云平台由集群的虚拟化计算机组成，通过统一的接口以面向服务的形式为用户提供服务，在现阶段，云计算平台提出了三种服务模式，即基础设施即服务、平台即服务和软件即服务，基础设施即服务提供包括数据处理、存储等服务，平台即服务提供给用户按自身需求在云服务提供商的平台上构建主机应用，软件即服务软件即服务即通过云平台使用软件服务提供商提供的服务。

2 云平台安全概述

云平台的搭建是需要很多支撑技术的，如：主流操作系统文件、加密通信技术、身份认证技术、虚拟化技术和开源代码库等，还需要各种基本组件、核心组件等。云平台如此众多的支撑技术，相关的漏洞这个刚被堵塞，另一个新的漏洞又被发现，漏洞总是难以避免的，这就要求一个多层次的云平台安全防护体系是必要的，以使云平台某个漏洞被利用，某层防护被突破的时候却无法突破云平台下一层的安全防护。

云平台除了复杂的架构和众多的支撑技术容易出现漏洞以外，云平台对外提供的大量开放式服务也为云平台的安全防护带来很大的挑战，例如，用户上传自己的服务代码和数据、用户需要网络连接、用户需要访问磁盘、用户需要使用数据库等等，这些都是云平台提供的对外开放式服务，云平台的安全防护需要多层次的防护同时还需要能够灵活的配置和功能扩展。

3 云平台安全防护技术分析

目前主流的云平台主要有亚马逊的 Web Service、谷歌的 Cloud以及微软的Azure等，我国在这方面虽然有些落后，但也出现了阿里云、新浪SAE等综合云服务平台。本节主要分析一下这些主流云平台的安全防护策略。

3.1 亚马逊Web Service

亚马逊Web Service云计算平台是现阶段市场占有率最大的云计算平台，其防护策略主要包括以下几个主要方面： Https安全网络通信技术用以保证用户和云平台之间的网络通信安全；防火墙规则用于防范拒绝服务攻击等，另外，防火墙规则可由用户自行设定从而使用户可自行灵活配置访问策略；亚马逊的AWS通过 Identity and Access Management （IAM）授权管理工具来对用户的访问进行管理；多重认证；允许用户创建私有子网，私有子网的网络安全防护可由用户自行設置，这是额外增加的一层安全防护；支持用户数据加密和密钥管理，另外还可对密钥进行加密存储Trusted Advisor服务监控用于监控用户操作和云平台资源、配置可能存在的漏洞；支持专用数据连接。

3.2 各平台安全防护总结和分析

综合分析亚马逊的AWS，微软的Azure和谷歌的 Cloud的云安全防护措施，它们都拥有很多的共性，都是提供镜像隔离机制和一些已有的安全技术进行安全防护，对某些关键点加强防护。这些防护措施已经能起到很好的效果，有一定的多层次深度防御特性，但也存在不少缺点：

（1）亚马逊的AWS，微软的Azure和谷歌的 Cloud都使用了大量的支撑技术和开源代码，这些支撑技术和开源代码大多未考虑在云计算场景下的安全需求，这就使得在云计算场景下，这些支撑技术和开源代码本身就存在一些漏洞，有的漏洞还未被发现，云计算平台在未来有可能会因为这些漏洞被逐渐发现而受到攻击，也就是说，云计算平台应该对这些支撑技术进行改进以使其适应开放的云计算平台；

（2）传统的安全防护方案在云计算平台下有些可以直接使用，但有的并不能直接适用，从安全模式来看，在云环境下，每一个节点都可能会受到攻击，而对传统网络安全来说，一般有防火墙和入侵检测就能够满足要求。从数据存储来看，在云环境下，数据存储在云端比在内网的网络数据安全更加难以控制。从技术差异来看，云平台是建立在虚拟化技术基础之上的，而传统网络是没有虚拟化技术的。传统企业安全防护方案重在对通信安全防护和阻止外部攻击，对于来自内部其他用户的隔离防护以及内部人员的恶意攻击行为防护较少。

4 结语

本章为相关技术分析，对各个云平台安全防护技术进行了总结和分析，主要包括Amazon Web Service、微软 Azure和Google Cloud。

云计算就是通过大规模的分布式计算为消费者提供相关服务，云平台由集群的虚拟化计算机组成，通过统一的接口以面向服务的形式为用户提供服务，在现阶段，云计算平台提出了三种服务模式，即基础设施即服务、平台即服务和软件即服务，基础设施即服务提供包括数据处理、存储等服务，平台即服务提供给用户按自身需求在云服务提供商的平台上构建主机应用，软件即服务即通过云平台使用软件服务提供商提供的服务。

当前，基础设施即服务，平台即服务，软件即服务之间的界限已经越来越模糊，三种模型有日趋融合之势，云服务商大多也开始从提供单一服务向提供多种服务转变。综合的云平台比单一的云平台面临更多的安全问题，任何一个组件或者支撑技术出现安全问题都可能会影响到整个云平台的安全。

参考文献

[1]李程远.云平台信息安全整体保护技术研究[J].信息安全与技术，2011（09）：1-5.

[2]孔丹.基于云平台的安全审计系统设计与实现[J].信息安全与通信保密，2013（10）：6.

[3]吴文典.云平台信息安全整体保护技术研究[J].信息安全与技术，2014（02）：12-13.

[4]LM Kaufman.Data security in the world of cloud computing. Security & Privacy，2009，14（01）：33-38.

作者单位

东北师范大学 吉林省长春市 130000