云存儲中虛擬化與存儲網絡的安全技術研究

【摘要】在云存儲應用中，安全虛擬化和安全網絡為云存儲服務提供了基本的保證。研究基于云計算的虛擬化安全和存儲網絡安全，目的在于基礎設施云服務中更加合理利用網絡與存儲資源，為云存儲的安全應用提供參考和保障。

【關鍵詞】云存儲虛擬化網絡安全

一、引言

云存儲是以存儲設備為核心，通過應用軟件對外提供數據存儲和業務訪問服務[1]。云存儲安全的關鍵技術研究中，又以虛擬化安全技術和存儲網絡的安全技術為研究核心之一。

二、云存儲技術之虛擬化的安全

虛擬化技術在邏輯上分離了物理設備與操作系統和應用軟件，基于虛擬化的計算資源調配可使有限的硬件和軟件資源按需重新規劃分配，靈活擴展硬件容量，簡化軟件配置和資源的訪問與管理，提高硬件與軟件的綜合效率和應用能力[2]。

基于虛擬化的云存儲應用環境中，VM Hopping可以訪問被接入宿主機的存儲和內存；VM Escape攻擊可獲得Hypervisor的訪問權限，從而對其他虛擬機進行攻擊[3]；通過管理平臺進行跨站腳本攻擊、SQL入侵；拒絕服務攻擊會獲取宿主機資源，造成系統拒絕客戶所有請求；Rootkit能夠獲得Hypervisor的管理員級訪問控制權，進而取得整個物理機器的控制權[4]；在虛擬機遷移過程中，隨著虛擬磁盤的重建，攻擊者可改變源配置文件和虛擬機特性[3]；虛擬機的鏡像安全漏洞、生命周期的復雜性和故障會導致其承載的數據和服務不可用和控制難度。

因此，可以將所有虛擬機全部安裝防毒軟件或殺毒軟件；提高容錯監視服務器的利用率，避免服務器過載；在數據庫和應用層之間設置防火墻，防止虛擬機溢出；使用可信平臺模塊；為虛擬服務器分配獨立硬盤分區，并使用VLAN技術和網段劃分，對虛擬服務器邏輯隔離；使用VPN在虛擬服務器間通信；按計劃備份，進行虛擬化的災難恢復；監測分析網絡流量確保存儲網絡安全運行；通過可信第三方機構的安全認證和監管。

三、云存儲的安全網絡

云存儲服務的應用中，其網絡防護不當會導致用戶私密數據被非法訪問；云存儲網絡應用在服務提供商的控制下，用戶無法通過網絡監管自己的程序和數據的使用情況；網絡傳輸協議和數據移動過程容易被竊聽和分析；云存儲服務平臺中的軟硬件故障和其他災難會導致服務的異常終止和數據丟失；云存儲集中存儲的大量數據容易引起攻擊者的注意；基于虛擬化技術的訪問控制、認證和授權的實現更為困難；云存儲中大量廉價計算資源和數據資源可能成為攻擊者的工具。

由虛擬機監控器實現基于存儲區域網絡及應用層的域分割為尋址提供了邏輯隔離，可以在虛擬的網絡域執行全面的狀態監視以及其他網絡安全監測；如能承擔足夠資源開銷，可由服務提供商完成網絡訪問控制和安全防火墻服務；使用SSL、IPSec、數字簽名等技術對傳輸中的數據進行有效加密；選擇使用安全傳輸協議；加強安全日志審計和應用基于網絡的入侵檢測和防御系統；及時修補虛擬機實例配置和遷移中的管理漏洞和補丁；實現存儲網絡信任邊界的通信控制；限制訪問管理程序及其他虛擬化層面；阻止所有到虛擬服務器的端口；限制應用程序棧功能，加固鏡像，限制主機所有攻擊面；防止未授權訪問；在鏡像中除解密文件系統的密鑰外，不包含其他身份認證作證[5]；保護訪問主機私鑰，從數據所在的平臺中隔離密鑰；關閉不必要的服務。

四、結束語

隨著云服務層次的提高，基于云存儲的虛擬化安全技術與網絡存儲安全技術為云存儲的發展提供了有效的保障。研究可信的虛擬化云存儲將是提高云存儲服務的主要方向之一。

參考文獻

[1]黃曉云.基于HDFS的云存儲服務系統研究.大連海事大學.碩士論文. 2010年6月

[2]黃振華.基于云計算的虛擬化存儲技術研究.硅谷. 2012年第20期. 24，71

[3]房晶等.云計算的虛擬化安全問題.電信科學. 2012年第4期. 135-140

[4] Hanqian Wu，Yi Ding，Winer Chuck，et al.Network security for virtual machine in cloud computing.Proceedings of 5th International Conference on Computer，Sciences and Convergence Information Technology（ICCIT）. Seoul， Korea. 2010. 18-21

[5] Tim Mather，Subra Kumaraswamy，Shahed Lati. Cloud Security and Privacy.劉戈舟，楊澤明，劉寶旭譯.機械工業出版社. 2011年5月