周朝霞
(温州广播电视大学 浙江 温州 325000)
随着科学技术的飞速发展,计算机信息技术已经在各行各业中得到了广泛的应用。云计算是指用户在相同的门户上获取信息和资源,不需要对设备、时间和地点进行任何的需求,从而能够有效地利用资源[1]。但是,随着云计算技术的飞速发展,人们对网络安全的要求也随之提高,比如黑客入侵、病毒入侵、信息泄露等。所以,云计算时代来临,计算机网络的安全问题也日益引起人们的关注。
在计算机技术与资讯经济的飞速发展下,云计算已成为一种商业发展的方式,在我国的很多互联网公司中,比如阿里巴巴和腾讯都有很好的应用前景。在云计算的时代,其基本特点是:一是完整,收集使用者的个人资料和行为资料,并加以储存,在未经使用者许可的情况下,不得擅自删除或销毁资料。二是隐私,当用户在使用某个产品时,需要根据用户的约定将相关的信息上传;但是,有些资料只能被网络公司搜集,处于外部机密的状态,未经使用者同意,不得与有关单位共享。三是可操作性,对于云计算来说,需要大量的数据,其价值体现在数据的计算和处理上。在云计算的环境中,数据是一种宝贵的资源,应该在用户的许可下进行使用和处理[2]。
在云计算中,因特网与局域网之间的互联,能够有效地保存用户的资料,同时又能保护计算机的网络安全,避免数据丢失等。同时,云计算还可以对计算机网络进行追踪和分析,利用相应的软件,对网络的漏洞和缺陷进行正确的判断,从而使系统的网络安全得到有效的保障。
在云计算的基础上,实现了局域网之间的互联,可以实时地进行数据和信息的备份,在保证用户的数据安全的同时,还可以减少由于其他因素而造成的损失,提高了网络数据的安全性。
基于云计算,合理运用云计算技术,能够追踪到互联网上的用户,同时对其进行高效的分析。在这种情况下,利用相关的辅助软件,可以帮助用户及时地发现网络中的安全漏洞,并对其进行全面的检查,从而改进网络的运行模式,从而增强用户对网络的安全性。
云计算技术的应用,在很大程度上是由授权与监视所完成的,随着计算机网络技术的飞速发展,用户对数据的处理能力也得到了极大的提高,在加速信息的传播过程中,通过不断优化信息的共享,能保证计算机网络的安全,提高使用者资料及资讯的保密性,从而保障数据的利用率。
分布式拒绝服务(DDoS)仍然是云计算所面临的最大威胁,尤其是在云计算平台上的业务系统和外部攻击,都会对整个云平台网络造成威胁。传统的安全威胁,如僵尸、木马、病毒、蠕虫,这仍然是云计算平台最大的隐患,如果用户隔离和区域隔离措施不完善,那么这种威胁就会迅速蔓延到整个云平台,从而给云计算平台带来极大的安全隐患。云计算为不同的业务系统提供了支持,特别是在网络商业系统中,它依然存在着SQL注入、XSS、指令注入、跨站请求、非法下载、Web服务器/插件攻击、爬行攻击等威胁,网络shell,暴力破解等。云内拥有大量的IT主机,包括Windows、Linux、UNIX、网络交换设备、数据库和中间体,这些都存在着各种安全隐患,而传统的漏洞利用方法仍然有效[3]。
数据泄漏的危险:云中存储着大量的用户信息,这些信息的数量和价值都是巨大的,同时也会带来更大的安全隐患。所以,云计算也存在数据泄露、篡改等安全问题。
隔离失败:云计算是一种具有更强大的共享能力的平台,它可以在多用户中进行存储和网络资源的共享。若不能有效地隔离每一个用户的内存、虚拟机、路由等,那之后恶意使用者可以存取其他使用者的资料,进行修改、删除等操作。
虚拟机逃生:虚拟机逃生是利用虚拟计算机或虚拟机上的软件漏洞,对虚拟主机发起攻击,进而对其进行攻击和控制。它的目的是利用虚拟机自身或者管理程序层次的安全缺陷,在管理程序层上运行任意的代码,从而实现虚机逃脱。
虚机记忆泄漏:在虚拟机分享或重分配硬盘资源时,存在大量的安全性隐患。在虚拟机上,信息可能会泄漏。比如,如果虚拟计算机使用了更多的记忆体,但是当它被释放时并没有重新设置,那么这个新的虚拟计算机就会读取这个信息。
虚拟通信:虚机通讯方式基本上处于大二层网络中,常规的边缘探测和保护方法不能有效地处理东、西两种业务。
经营模式的风险:云计算将导致新的经营方式发生变化,各种业务资源都要根据需求灵活地进行扩充,而在应用过程中,会出现滥用云计算资源的情况,导致资源的浪费;由于云计算的地理特征和租户的流动性,使得云服务供应商的合规要求、安全监管和隐私保护变得越来越重要。
恶意承租人的危险:在云环境,所有被授权的人都能使用云计算平台的服务。在云计算服务中,恶意用户可能会利用安全漏洞,将恶意程式码上载,并非法取得使用者之资料及应用程式[4]。另外,诸如云服务提供商系统管理员和审计师等内部员工的错误或恶意攻击,更难以预防。
云计算的安全主要是由云服务提供商和用户共同承担,它们是云计算环境中的两个主要的安全主体。云计算按服务方式可划分为“软件即服务”“平台即服务”(PaaS)、“基础设施即服务”(IaaS)。在不同的服务方式下,计算资源由云服务提供商与用户所能掌控的计算资源的大小而定。
在SaaS模型中,使用者对使用者的人身安全负有责任;云服务供应商的安全问题;PaaS模式中,用户负责自己开发和部署的应用和运行环境,而其他的安全工作都是由云服务供应商负责;在IaaS模式中,由使用者负责所分配的虚拟网路的安全、操作系统的部署、运行环境及应用的安全及可靠性。云服务提供商负责对计算资源层和基础资源进行虚拟化;云计算的设备层(物理环境)、硬件层(物理设备)、资源抽象层、控制层均为云服务提供商提供全面的安全保障。应用软件层、软件平台层、虚拟化计算资源层的安全责任都要靠使用者自己来承担,越是靠近IaaS(IaaS)的云服务,就会有越多的管理和安全责任;与此形成鲜明对比的是,云服务提供商在管理和安全上的职责更大。因为云计算服务商还需要提供其他服务,比如SaaS和PaaS,因此它们很有可能要依靠IaaS服务商提供的基础资源。在这种情况下,其他的机构也会提供一定的安全保障。
4.2.1 建立完整的防火墙防护体系技术
在云的边缘配置一个网络隔离装置,有效地隔离了云计算和非信任区域。从网络防火墙技术的应用上看,它的主要作用是利用内网和外网之间的防火墙对进入的信息、端口、目标地址以及不满足的外部信息进行检测[5]。访问控制系统是指利用防火墙的方法来探测经过的业务,确保云计算网络中只有合法的业务。为了将云计算与外界的网络环境隔绝开来,防火墙被设置在了端口和核心交换机之间。
集中式防火墙是在云安全资源池中建立的一道虚拟化防火墙,由于其非云计算平台,因此必须将云安全资源导入云安全资源库中,并在云安全资源库中注入数据。在SDN技术中,SDN技术可以很容易地将保护业务注入到云安全的资源池中,因此,SDN技术的云数据中心都是采用这种方法。
分布式部署方式是将虚拟防火墙部署到每个承租人的虚拟私有网络。当VLAN(VLAN)隔离VPC时,可以在VLAN中添加虚拟主机和虚拟防火墙服务端口,还可以在相同的端口列表中添加虚拟主机和虚拟防火墙服务网口。在VPC存取其他虚拟主机时,必须使用虚拟防火墙进行网络存取,所以虚拟防火墙就是为了实现对网络的访问控制。
云计算时代,除了对网络资源的安全要求外,云平台上的虚拟机还承载着大量的Web应用,因此需要在Web应用程序中部署WAF来处理来自Web应用程序的各类威胁。为了保证网络系统的整体可用性,必须对网络应用进行严密的访问控制。在部署模式中,由于进、出流量较大,一般采用旁路方式,把IP地址的http/https流量引入WAF,WAF会过滤和转发数据,从而达到Web应用的安全保护。
4.2.2 建立完整的DDoS防护体系
云平台上存在着大量的虚拟服务器,攻击者通过利用云平台进行DoS攻击来增加网络流量,从而实现有效的攻击,因此构建一个完整的DDoS防御系统是一个很大的挑战。
在云计算网络体系结构中,在网络的出口处设置一个黑洞,以防止DDoS攻击。在DOS系统中,通过在攻击路径上设置一个路由黑洞,可以让攻击包在这个过程中被抛弃,而不会被发送到被攻击的机器上,从而避免了由于大量的数据包被访问而导致的死亡。
利用DDoS防火墙及异常流量侦测来抵御清洁装置的攻击。在应付少量的DDoS攻击时,可以通过设置一个简单的防火墙和DDoS应用程序来保护。但在处理大量网络攻击时,必须向DDoS净化装置导入数据流,并检查数据包限制的部署。在云计算网的入口处安装DDoS防火墙和业务清理装置,可以将DDoS攻击对云计算网络造成的破坏降到最低。
通常情况下,异常流量检测和清理都是采用旁路配置,旁接在中心交换机上,利用OSPF/BGP/IS-IS路由协议广播,从而自动地牵引异常业务。针对清洁后回注业务,通常采取策略路由的方法来控制回注流量的上升和下降。
在云计算中,通过对云设备和系统进行定期的漏洞扫描,可以有效地保障其安全性。漏洞扫描可以根据目标地址和端口信息,对已存在的漏洞进行扫描,以找出系统和主机是否存在可被利用的弱点。在云计算网络环境下,云计算的需求、海量的网络数据、可扩展、资源集中、访问范围广泛、多租户等特征使得云计算的安全具有独特的特征[6]。这种特性在主动缺陷扫描中的表现就是:利用单一的资源进行漏洞扫描,会造成大量的系统资源和人力浪费,因此,必须采用网络协议来构建扫描系统,只需占用少量的网络资源。因为云主机上的安全漏洞大多集中在云机应用程序上,因此安全漏洞扫描仪主要是针对云主机级的漏洞进行检测,并将其分成了分布式和集中部署两种。
在分布式部署中,我们使用了一个虚拟安全漏洞扫描软件,以保证局域网中的主机的安全。完成扫描后,将扫描的结果通过VLAN传输到安全管理平台。实际上,虚拟化的安全漏洞扫描仪可以在必要时自动产生和部署,并且一旦完成就会自动关闭或者破坏。在SDN的基础上,可以通过动态的端口进行访问。也就是说,扫描机器开始之后,扫描机器的服务扫描仪和VLAN通过SDN控制器相连。完成扫描后,通过SDN进行分离。通过这种方式,可以共享和再利用安全扫描。若使用可伸缩的虚拟LAN(vXLan),则与上面所描述的方法类似,在租赁人vXLan网络中创建一个虚拟机器的实例,并在服务和虚拟机器的工作接口上建立一个网络连接。
在集中部署模式下,必须对用户的虚拟计算机进行扫描,并以浮动IP的形式向扫描仪显示。
云计算在发展的过程中,很多新设备都会遇到默认设置、弱口令等问题,特别是在连接到外部的网络接口时,系统的管理和核心网络设备都需要进行身份验证。在管理平台上,应尽可能采用强大的密码(包括英文大小写、数字、符号,且不低于8个比特),并且每隔90天就会进行一次更新。
在云计算的边缘,需要部署IDS,通过对网络的流量进行分析,可以对网络及系统进行实时监测,并对其进行预警。同时,入侵检测也是一种纵向的旁路,在不影响正常入口的情况下,采用分光、隧道引流、镜像等方式将网络数据传输给IDS进行检测,并对异常行为进行预警。
在垂直保护方面,在路由器的底层部署了IDS,用于探测通过交换机的端口和通过路由器的端口的数据。如果使用分布式入侵检测技术,则将该系统独立部署在虚拟化云计算环境中,利用虚拟交换机将用户所需保护的业务保护起来,在此基础上,提出了一种基于VNIDS的数据流,并对该系统的安全性进行了详细的分析。若使用集中式IDS,将VNIDS集中于云安全资源池,由用户虚拟机的横向数据通过通道引入到云安全资源池中,并对其进行集中分析。
当前,网络安全系统的部署分为两类:一类是有客户端防御体系,另一类是无客户端的防御体系。反病毒的主要目标是主机,因此只保护了主机。防御模式可以按照云计算中心的防御要求进行配置。
有客户机的防毒系统,重点保护主要的虚拟化服务器。对于有必要进行病毒保护的虚拟机,在运行管理区域内配置的防病毒服务器,将其统一管理。为了满足云计算系统的防病毒需求,本文提出了一种基于Windows、Linux、Unix等多种安全操作系统的安全系统。
如果没有客户机,则无需将任何客户机安装到安全的虚拟主机上,通过在受保护的虚拟主机上安装反病毒模块,可以对对应的虚拟主机进行安全保护。一般来说,云环境都会在虚拟机上安装反病毒模块。使用者可以设定策略,在宿主主机上设置防病毒模块。
由于云计算的迅猛发展,网络业务逐渐进入云端,那么自然安全问题也不可避免,所以不管是云平台的服务商,还是专业的安全生产厂家,都应该不断地关注这一新的技术和安全技术的发展趋势,从多个角度出发,利用现有成熟的安全管理手段,充分考虑云计算的特性和设计云计算的新技术,以保证和推动云计算的发展与运作。