云計算網絡信息安全防護思路探究*

田春平，張晉源，武靖瑩

（中國電信股份有限公司云南分公司，云南 昆明 650000）

0 引 言

隨著云計算時代的發展，云應用會滲透到我們生活的方方面面，我們在盡情享受云計算帶來的便利同時，也面臨著網絡與信息安全的威脅。而且情況變得越來越嚴重，人們應該對這一問題得到認識并懂得相關的知識以提高防范意識，本文就現在云計算網絡環境下做相關的信息安全及網絡防護問題的研究與探討。

1 云計算網絡與信息安全概述

云計算是一種基于互聯網相關服務按使用量付費的模式，是一種虛擬化的資源，這種模式提供可用的、便捷的、按需的，高效的網絡訪問，使計算機各種資源實現共享（其中資源包括有數據網絡，服務器，信息存儲，應用軟件，服務，維護等等），這些資源按需快速定制，時間快、成本低。雖然云計算有以上諸多優點，但是由于云計算的開放及共享虛擬特性，存貯其上的信息必然面臨信息安全三個基本屬性中的保密性挑戰。

信息安全簡而言之就是信息的在使用中的安全程度，主要由CIA（Confidentiality、Integrity、Availability）衡量，即：保密性、完整性、可用性、。網絡與信息安全治理包含的范圍有網絡安全、運營安全、訪問控制、軟件開發安全等。網絡環境是保障信息安全的前提，只有擁有一個可靠網絡環境下的信息安全保障體系，才是保證信息系統穩定運行的關鍵所在。可以將網絡信息安全看成是多個安全單元的集合，其中每個單元都是一個整體，包含了多個特性，一般從安全特性、安全層次和系統單元去理解網絡信息安全。

云計算的誕生標志了網絡計算架構的進一步發展，在注重信息安全的同時，還需考慮如何構建一個穩固安全的云計算網絡體系。云計算網絡結構與普通網絡結構差異性在于云應用更加集中化，云計算網絡資源更加具有彈性，即用即取，避免了很多不必要的資源浪費。所以，針對云計算的網絡安全架構需要更加完整，并隨時利用網絡流量分析（Network Traffic Analyzer，NTA）、端點檢測和響應（Endpoint Detection Response，EDR）等新發展的技術進行防護。

2 云計算面臨的信息安全問題

2.1 傳統安全威脅

分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊依然是云平臺面臨的主要威脅之一，尤其是針對云平臺業務系統的攻擊行為以及由云平臺內部外發的攻擊行為，對整個云平臺大網均存在安全隱患；

包括僵尸、木馬、病毒、蠕蟲等傳統安全威脅仍然是云平臺面臨的重要風險之一，在云平臺內，如租戶隔離、區域隔離措施不當，這類威脅將會更快、更迅速的在云平臺內部進行傳播，給云平臺帶來極大安全隱患；

云承載著各類業務系統，尤其是Web業務系統，仍然面臨著包括SQL注入、XSS、命令注入、跨站請求偽造、非法上傳下載、Web服務器/插件漏洞攻擊、爬蟲攻擊、Webshell、暴力破解等傳統的Web應用攻擊威脅；

云內IT主機非常多，包括Windows系統、Linux系統、UNIX系統、網絡交換設備、數據庫及中間件等都面臨著各類安全漏洞風險，傳統的漏洞利用方式攻擊手段依然有效。

2.2 云計算特有風險

數據泄露風險：云計算內存儲著大量的用戶數據，數據量越大、價值越高安全威脅也就越高。因此云平臺內面臨著數據泄露、篡改等安全隱患。

隔離失效風險：在云計算環境中，計算能力、存儲與網絡在多個用戶之間共享。如果不能對不同用戶的存儲、內存、虛擬機、路由等進行有效隔離，惡意用戶就可能訪問其他用戶的數據并進行修改、刪除等操作。

虛機逃逸：虛擬機逃逸是指利用虛擬機軟件或者虛擬機中運行的軟件的漏洞進行攻擊，以達到攻擊或控制虛擬機宿主操作系統的目的。主要利用虛機本身或Hypervisor層的安全漏洞造成在Hypervisor層執行任意代碼，進而實現虛機逃逸；

虛機內存泄露：當虛擬機共享或者重新分配硬件資源時會造成很多的安全風險。信息可能會在虛擬機之間被泄露。例如，如果虛擬機占用了額外的內存，然而在釋放的時候沒有重置這些區域，分配在這塊內存上的新的虛擬機就可以讀取到敏感信息；

虛機動態遷移：利用虛擬化技術能快速實現VM的動態遷移，同時帶來新的安全風險包括安全策略不能實時協同調整、數據明文傳輸被監聽、內存信息泄露、地址解析協議（Address Resolution Protocol，ARP）攻擊等；

虛擬化通信：虛機通信模式基本在大二層網絡環境中，傳統的網絡邊界檢測及防護手段在應對東西向流量通信時無法提供有效檢測及處置。

運營模式風險：云計算帶來新的運營模式的改變，各類業務資源需要按需彈性擴展提供，在使用的過程中可能存在云計算資源能力的濫用造成資源的浪費；用戶側失去對資源的直接控制，云計算的地域特性及租戶的流動性為云服務提供商合規性要求、安全監管以及隱私保護提出了更高的要求。

惡意租戶風險：在云環境下，授權用戶可享受云計算服務。惡意用戶利用云計算服務的安全漏洞，上傳惡意攻擊代碼，非法獲取或破壞其他用戶的數據和應用。此外，內部工作人員（例如云服務商系統管理員與審計員）的失誤或惡意攻擊更加難于防范。

3 云計算網絡信息安全防護思路

不同于普通網絡架構，云計算網絡架構更龐大，存儲容量更多，用戶數量也就越多，所以面臨的安全防護問題也就越廣。云計算環境下加密方式沒有變化，但是網絡安全邊界類以及系統安全類有著很大不同，云服務提供商不能有效像傳統一樣進行系統軟件的掌握，這就造成了虛擬系統運行存在漏洞，可能對網絡環境造成很大的安全威脅[1]。因此，一個健全有效的云計算網絡安全防護體系的建立就顯得很有必要。

3.1 建立完整的信息安全保障體系

建立重要信息備份審計機制。重要信息保護包括重要信息備份、重要系統備份、網絡接口設置主備等，并且需要做好賬號審計工作，對修改、查看、刪除重要信息的操作日志進行記錄。由于云計算網絡的特殊性，大量的數據集群在云端，做備份和審計工作會增加系統資源消耗和財產資源消耗，但是如果云網絡癱瘓且沒有良好的備份，那么將會造成不可彌補的巨大損失。

建立信息安全保護體系。信息安全保護工作有定期進行漏洞掃描工作，及時對有問題的設備打補丁；與公網接口地址處謹慎開放端口，若是必要端口需要進行相關安全策略的防護；做好網絡設備安全加固工作，設置防火墻策略、設置訪問控制列表（Access Control List，ACL）策略等；系統數據包中傳輸的數據使用密文加密后傳輸；數據庫重要數據或個人隱私數據進行加密存儲。

3.2 建立完整的防火墻防護體系和DDoS攻擊防護體系

3.2.1 建立完整的防火墻防護體系

在云平臺邊界部署網絡隔離設備，將云計算數據中心與不信任域進行有效地隔離與訪問控制。從網絡防火墻技術應用方面，主要是內外網設置防火墻，能檢測進入信息協議以及端口和目的地址等，過濾到不符規定的外來信息[2]。訪問控制系統主要指的就是防火墻，根據防火墻上的策略檢查經過的流量，保證只有合法流量才能訪問云計算網絡。防火墻部署在出口路由器和核心交換機之間，用于隔離云計算網絡和外部網絡環境。整個防火墻的策略應該遵循最小化原則，才能切實發揮防火墻的隔離作用。針對云計算網絡環境中的虛擬化環境進行防護，可以采用虛擬防火墻來實現，虛擬防火墻分為分布式防火墻和集中式防火墻。

集中式防火墻將虛擬防火墻集中在云安全資源池中，旁掛在云計算環境之外，此方式要想防護到目的流量，需要將云計算網絡中的流量牽引到云安全資源池，流量經過虛擬防火墻后再注回原云計算網絡中。其中軟件定義網絡（Software Defined Network，SDN）技術能夠方便的實現將被防護流量注回云安全資源池中，所以一般有SDN技術的云數據中心，通常采用此種方式。

分布式部署方式將虛擬防火墻部署在每個租戶虛擬私有網絡（Virtual Private Cloud，VPC）邊界。不同的VPC用虛擬局域網（Virtual Local Area Network，VLAN）隔離的情況下，可以把虛擬主機和虛擬化防火墻的業務網口加入同一個VLAN，或者用安全組隔離的情況下，可以把虛擬主機和虛擬防火墻的業務網口加入同一端口組列表。該VPC內的虛擬主機在訪問其它區域的虛擬主機的時候，流量就必須經過虛擬化防火墻，需要虛擬化防火墻作為網關來做訪問控制。如圖1所示為云計算網絡中的防火墻部署拓撲。

在云計算網絡環境中，不僅僅是網絡資源需要防火墻的防護，云平臺的虛擬機中承載著大量的Web應用服務，所以還需部署網站應用級入侵防御系統（Web Application Firewall，WAF）來應對各種通過Web應用傳入的威脅。通過嚴格的訪問控制，防止Web應用被入侵，以保護整個系統的可用性。對于部署方式，由于出入口的流量較大，所以常采用旁路的方式旁掛在出口路由器上，將特定網絡地址（Internet Protocol Address，IP）的http/https流量引導到WAF上，WAF對流量進行過濾轉發，最終實現Web應用安全防護。

3.2.2 建立完整的DDoS防護體系

云平臺上分布著大量虛擬服務器，攻擊者針對云計算架構的DoS攻擊在流量上提高了攻擊當量來達到攻擊效果[3]。所以建立一個完整的DDoS防護體系是一個巨大的挑戰。

圖1 云計算網絡防火墻部署圖（分布式、集中式）

在云計算網絡架構的網絡出口處建立黑洞路由進行防護，這是對抗DDoS攻擊比較好的方法。當DOS攻擊進行時，在攻擊路徑上設置路由黑洞，能夠使得攻擊數據包在此丟棄而不送往受害機器，避免了受害機器因不斷接收巨量數據包導致掛死。

使用DDoS防火墻和異常流量檢測與清洗設備對抗攻擊。當應對小流量的DDoS攻擊時，設置簡單的防火墻策略和DDoS應用軟件就能夠進行防護。但是當應對大流量大規模的攻擊事件時，需要將流量引入DDoS清洗設備并檢查分組限流的部署情況。在云計算網絡入口出口處設置DDoS防火墻和流量清洗設備，能夠最大限度防止DDoS攻擊對云計算網絡的影響。

異常流量檢測與清洗一般采用旁路部署的模式，旁掛在核心交換機上，通過OSPF/BGP/IS-IS路由協議廣播路由的方式，實現對異常流量的自動化牽引。對于清洗后的回注流量，一般采用策略路由的方式來控制流量上行或下行。如圖2為異常流量監測與清洗設備部署方案。

3.3 利用漏洞掃描主動防御

在云計算網絡安全防護過程中，定期進行云端設備及系統的漏洞掃描能起到良好的防御效果。漏洞掃描根據目的地址及端口信息，利用已知漏洞信息進行掃描，主動探測系統或主機是否存在可被利用的漏洞。在云計算網絡中，面向的是巨量的網絡數據，云計算按需自服務，彈性可擴展，資源池化，廣泛網絡接入，多租戶等特性造就了云計算網絡在安全防護中的特殊性。這一特殊性在主動漏洞掃描中體現在于使用單機資源的漏洞掃描技術會浪費大量的系統資源和人力資源，所以需要的是利用網絡協議建立掃描系統，少量地耗費網絡資源去做掃描的工作。

圖2 異常流量監測與清洗系統部署方案

由于安全漏洞主要出現在云主機應用程序中，所以安全漏洞掃描器主要針對的是云主機層面的漏洞掃描，且分為兩種部署方式：分布式部署和集中式部署。

分布式部署方案中，虛擬化安全漏洞掃描器分別部署在不同的VLAN中，實現對本VLAN中所有主機的安全掃描工作。掃描結束后，通過VLAN Security將掃描結果傳給安全管理平臺。在實際的運用情況中，虛擬化安全漏洞掃描器可以根據需要動態生成及部署，使用完成后進行下線或銷毀。

集中式部署方案中，安全漏洞掃描器會集中部署在某一個資源池或區域。其業務掃描端口可以靜態的接入不同的VLAN中（要求不同的VLAN的IP地址不能重合），或者通過建立多協議標簽交換（Multi-Protocol Label Switching，MPLS）通道的方式將掃描器的業務掃描端口與被掃描的VLAN連通，實現安全掃描。

對于實現了SDN的云平臺，也可采用動態端口接入的方式。即在掃描器啟動時，在SDN控制器的配合下，將掃描器的業務掃描端口與被掃描的VLAN連通。掃描結束后，再由SDN控制斷開連接。這樣就實現了安全掃描器的共享和復用。

如果網絡采用可擴展虛擬局域網（Virtual eXtensible LAN，vXLan）的方式，分布式部署與上述方案相似，只需將虛擬機實例生成在租戶vXLan網絡內部并打通業務口和虛擬機工作口的網絡連接即可。對于集中式的部署方案，需要將租戶內部需要掃描的虛擬機，通過浮動IP的方式暴露給掃描器。安全掃描器部署策略如圖3所示。

圖3 安全掃描器部署策略

3.4 利用多重身份認證技術

云計算網絡處于發展過程中，對于諸多新接入的設備，默認設置、弱口令等問題也比較普遍，尤其是與外部網絡的接口處的身份認證就顯得至關重要，例如系統對外的管理平臺，核心網絡設備等。對于管理平臺，盡量使用強口令（包含英文大小寫、數字、符號且不少于8位）且定期（一般為90天）更換一次，除此之外需要多重身份認證，包含但不限于手機號碼驗證或指紋識別認證技術。

3.5 建立完整入侵檢測體系

在云計算網絡邊界需部署入侵檢測系統，通過分析網絡流量，對網絡及系統的運行狀況進行實時的監測，及時發現正在進行的惡意攻擊并告警。入侵檢測系統同樣是縱向采用旁路監聽的方式部署，橫向采用分布式或集中式部署，不影響正常的出入口流量，網絡流量通過線路分光、隧道引流或者端口鏡像的方式將流量發送到入侵檢測系統中進行檢測，對異常行為流量進行告警。圖4為入侵檢測系統部署策略。

圖4 入侵檢測系統部署策略（橫向及縱向）

縱向防護中，入侵檢測系統（Intrusion Detection Systems，IDS）部署在路由器下級，檢測經過交換機出口或者經過路由器入口的流量。橫向防護中若采用分布式入侵檢測，系統是單獨部署在虛擬化的云環境中的，通過配置虛擬交換設備將租戶需要防護的流量通過鏡像引流的方式引流到虛擬網絡入侵檢測系統（Virtual Network Intrusion Detection System，VNIDS）中進行流量入侵檢測，并通過系統管理相關安全日志及告警信息。若采用的是集中式的入侵檢測，VNIDS集中到云安全資源池中，租戶虛擬機上的橫向流量通過隧道引流的方式進入云安全資源池，通過云安全資源池的集中式分析進行流量入侵分析檢測。

3.6 建立防病毒防護體系

病毒防護系統主要有兩種部署方式：有客戶端的網絡病毒防護系統和無客戶端的病毒防護系統。防病毒主要針對到主機中，所以僅對主機層面進行防護。防護方式可根據云數據中心的防護需求來選擇部署相應的病毒防護系統。防病毒系統部署策略如圖5所示。

有客戶端的網絡病毒防護體系，對關鍵虛擬化服務器進行重點的病毒防護。對需要進行病毒防護的虛擬主機安裝客戶端，通過部署于運行管理區的防病毒服務器統一進行病毒防護策略管理。針對云數據中心防病毒的要求，對基于Windows、Linux、Unix平臺的虛擬化服務器提供全方位的病毒防護能力。

無客戶端的病毒防護系統不需要在被防護的虛擬主機上安裝任何客戶端，只需要在被防護的虛擬主機所在宿主機上安裝防病毒模塊就可以實現對相應虛擬主機的防護。通常防病毒模塊也是用虛擬機的方式安裝在云環境中，用戶可以配置策略，對已安裝防病毒模塊的宿主機上的任意虛擬主機進行病毒防護。

對于云計算網絡安全的整個防護架構，只要在網絡入口處把好關，做到相關防護工作，網絡內部結構合理，橫向主機之間做好權限管理以及流量管理，日常維護管理及使用行為做到規范化就能夠維持云計算網絡的安全穩定運行。通過建立以防火墻、異常流量檢測與清洗、入侵檢測、漏洞掃描、防病毒組成的完整云計算網絡安全防護架構，能夠最大程度保障整個云計算環境的穩定運行。

圖5 防病毒系統部署策略

4 結 語

現代計算機技術發展太快，云計算服務把整個世界都結合在了一起。也把以前很多不相干的事物也結合起來了，很好地運用了網絡為我們提供便利，但在為我們提供各種便利的同時也暴露了很多安全性問題。信息的共享性無法保證信息的保密程度，導致很多信息泄漏在網絡上也是常有的事，所以網絡安全相關技術發展對當今社會也非常的重要，在大型企業或者集團對網絡安全的需求就非常的大，因為它牽連的利益更大。每個人都應該提升信息安全意識，建立良好的安全意識從而維護自身利益。

信息的保密性和完整性可以為社會生活帶來高效的服務，網絡的互通性和自由性可以為社會生活帶來便捷的服務。但是信息的不可控性和流動性又給社會生活帶來一定信息安全危害，網絡的開放性和虛擬性給社會生活帶來了信息泄露的威脅。所以說包含萬千信息的網絡是一把雙刃劍，基于云計算的網絡信息體系更是有利有弊。我們應該合理地利用信息及網絡為生活提供便利的服務，提高網絡與信息安全防護技術，提高個人信息安全防范意識，才能造就一個完整可靠的網絡信息環境。