淺析云計算平臺的安全防護

宋婷婷

(福州理工學院，福建 福州 350508)

隨著信息化技術和架構不斷演進，云計算技術應運而生。該技術給各行各業的應用帶來了便利，又具有降低能耗，節省成本等優勢。但由于云計算的集中管理和大規模應用，易成為黑客攻擊的重點對象。近幾年習主席多次強調：“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障[1]?！?019年12月1日正式實施的信息安全等級保護2.0成了各云計算平臺合格驗收的硬性條件?？梢?，云計算平臺的安全問題愈發受到重視。

1 云計算平臺

1.1 云計算平臺服務模式

云計算是利用虛擬化軟件把許多計算資源整合起來，實現自動化管理，通過互聯網就能快速提供相關資源。其服務有三種模式，如圖1，分別是 IaaS、PaaS、SaaS。

圖1 IaaS、PaaS、SaaS架構圖

IaaS：基礎設施即服務，提供對包括CPU、內存、網絡、存儲等所有計算基礎設施的應用服務。

PaaS：平臺即服務，提供開發語言(如Java，python, .Net等)和工具開發的應用程序在云計算環境中部署。使用者可直接應用云計算環境中的開發語言和工具等，而不需要控制包括網絡、宿主機、存儲等云計算基礎設施。

SaaS：軟件即服務，提供的服務是運行在云計算基礎設施上的應用程序，使用者可在各種設備上通過客戶端界面訪問(如瀏覽器)，而不需要管理任何云計算基礎設施[2]。

1.2 云計算平臺架構

為更清楚地介紹云計算平臺的安全防護，需要了解云平臺架構。目前不論是公有云、私有云還是混合云，根據云平臺需求規模和將來部署在云平臺上的應用需求，來選擇不同部署方式。如果應用系統要求讀寫快、高性能、高安全、高可靠，則可選擇FCSAN集中式存儲部署。如中小規模的政務云、中小企業或學校的私有云等。若應用系統要求高擴展、易運維和上線快，則可選擇分布式存儲部署平臺，如中國電信的大型公有云平臺、天翼云等。

圖2 云資源池平臺通用架構圖

下面以FCSAN集中式存儲方式部署云平臺為例，進行云平臺架構的介紹。如圖2，云資源池平臺一般由FC存儲、光纖交換機、服務器、接入交換機、匯聚交換機、核心交換機和防火墻搭建而成。當然根據運營商接入數量和業務訪問級別，視情況需要增加鏈路負載均衡和服務器負載均衡等設備。

在云平臺搭建過程中須充分考慮冗余，以保證應用業務的連續性。所以光纖交換機、接入交換機、匯聚交換機和核心交換機一般是兩臺堆疊，服務器雙鏈路和相應的交換機互聯。FC存儲上不同控制器的前端端口和兩臺光纖交換機要交叉互聯，同時為了使業務、管理和存儲流量相互隔離，在云平臺設計時要考慮業務網、管理網和存儲網分開。

2 云計算平臺安全防護必要性

一般的云計算平臺防護比較脆弱，基本上靠防火墻等安全設備對云平臺和其承載的應用業務進行安全防護。由于安全防護弱，再加上云平臺集中承載應用業務和大量數據，一旦受到攻擊，影響面就非常大，所以很容易成為黑客攻擊的對象。因此做好云平臺的安全防護是十分必要。目前云計算平臺面臨的主要安全威脅方式如下：

1．惡意程序。惡意程序是一段帶有攻擊目的的程序，主要有特洛伊木馬、蠕蟲病毒等。2019 年全年捕獲計算機惡意程序樣本數量超過 6200 萬個，日均傳播次數達 824 萬余次，涉及計算機惡意程序家族 66 萬余個。惡意程序對云平臺和應用的安全危害風險可見一斑。

2．安全漏洞。安全漏洞是指計算機硬件、操作系統、應用程序、中間件和數據庫在開發時，受到技術限制或無意中留下的入口。它會使計算機遭受病毒和黑客攻擊。常見的安全漏洞有代碼注入，緩存區溢出，會話固定，路徑訪問，跨站漏洞等。2019年國家信息安全漏洞共享平臺(CNVD)收錄安全漏洞數量創下歷史新高，收錄安全漏洞數量同比增長了 14.0%，共計16193個。

3．DDoS攻擊。分布式拒絕服務攻擊(DDoS)是指在不同地方的攻擊者同時向目標發動攻擊，通常會造成出口網絡擁塞，云主機無法訪問，很多大型網站都無法進行操作等現象。最常見的攻擊方式是SYN Flood，它是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式[3]。2019年抽樣監測發現我國境內峰值超過10Gbps 的大流量分布式拒絕服務攻擊(DDoS 攻擊)事件數量平均每日220起，同比增加40%。

4．網站安全。網站安全主要面臨網站仿冒，網站后門和網頁篡改等風險。攻擊者主要利用Web服務器的漏洞和網頁漏洞發起攻擊。2019 年監測發現約 8.5萬個針對我國境內網站的仿冒頁面，頁面數量較 2018年增長了59.7%；監測網站植入后門，境內外對我國境內約 8.5萬個網站植入后門，比2018年增長超過2.59倍；監測網頁篡改的網站有約18.6萬個。

5．云平臺安全。2019年發生在我國云平臺上的網絡安全事件相比2018年進一步加劇。首先，我國主流云平臺上發生DDoS 攻擊次數占境內目標被攻擊次數的74.0%、被植入后門鏈接數量占境內全部被植入后門鏈接數量的86.3%、被篡改網頁數量占境內被篡改網頁數量的87.9%；其次，攻擊者經常利用我國云平臺發起網絡攻擊[4]。云平臺作為控制端發起DDoS攻擊次數占境內控制發起DDoS攻擊次數的86.0%，作為木馬和僵尸網絡惡意程序控制的被控端IP地址數量占境內全部被控端IP地址數量的89.3%，承載的惡意程序種類數量占境內互聯網上承載的惡意程序種類數量的81.0%。

可見，云平臺安全形勢日益嚴重，加強云計算平臺安全防護刻不容緩，云計算平臺的安全防護則顯得十分重要。

3 云計算平臺安全防護建設方案

隨著云計算平臺安全形勢愈發嚴峻，為適應新技術的發展，解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要，國家發布的《信息安全技術網絡安全等級保護基本要求》2.0版本，在2019年12月1日正式生效。信息安全等級保護1.0版本主要強調物理主機、應用、數據、傳輸，而信息安全等級保護2.0版本增加了對云計算、移動互聯、物聯網、工業控制和大數據等新技術新應用的全覆蓋[5]。國家要求對新建的且用于提供運營的云計算平臺必須達到信息安全等級保護三級2.0標準，即滿足安全通信網絡、安全區域邊界、安全計算環境和安全管理中心的要求。云平臺安全防護架構如圖3所示。

根據《信息安全技術網絡安全等級保護基本要求》2.0版本要求，對云平臺進行安全防護離不開增加必要的安全設備。圖3中有三角號標識的設備為在云計算平臺架構基礎上新增的安全設備。詳細說明如下：

下一代防火墻(2臺)：部署在邊界安全防護區。它能夠為用戶提供應用層一體化安全防護的高性能防火墻，能夠準確識別用戶、應用、內容和威脅，并且集成了多種安全防護功能，包括入侵防御和防病毒功能。

Web安全防護系統(2臺)：簡稱WAF，部署在邊界安全防護區。當訪問流量經過WAF時，根據已設置的策略，能有效識別訪問云計算平臺上承載的網站非法行為，從而進行阻斷。WAF主要功能為阻止Web攻擊、防入侵、防止掛馬、防通報、防爬蟲、防CC攻擊、防WebShell攻擊等。

日志審計系統(1臺)：部署在云平臺管理區。維護人員通過配置日志審計系統，把服務器、存儲、交換機、安全設備、虛擬機等系統日志自動存到日志服務器上，并自動進行日志分析，從而及時發現異常日志。根據信息安全等級保護2.0的規定，日志審計服務器需保證日志留存時間不少于180天，且能防止日志被篡改，能夠向管理員提出警告。

堡壘機(1臺)：部署在云平臺管理區。維護人員把云計算平臺中需要管理和運維的設備配置到堡壘機中，就可通過堡壘機對各個設備進行運維管理。運用堡壘機本身技術手段，監控和記錄維護人員對云平臺中各種設備的操作行為，以便報警、及時發現和處理異常操作、審計時的責任認定等。

安全態勢感知平臺(1臺)：部署在云平臺管理區。安全態勢感知平臺一般包含安全態勢感知探針和安全態勢感知系統。探針通過鏡像流量的方式把核心交換機上的業務流量進行收集，并在安全態勢感知系統上進行分析和結果展現。安全態勢感知系統以全流量分析為核心，結合威脅情報、行為分析建模，UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術，對全網流量實現全網威脅可視化、攻擊與可疑流量可視化等，在高級威脅入侵之后，損失發生之前及時發現威脅[6]。

網管系統(1臺)：部署在云平臺管理區。網管系統能夠對云平臺中的服務器的CPU、內存、文件系統、硬盤、存儲的LUN使用率、交換機端口DOWN/UP等進行性能監控，能夠根據設置的閾值及時發現設備性能異常，起到報警作用。

漏洞掃描設備(1臺)：部署在云平臺管理區。定期使用漏洞掃描工具對云平臺的網絡設備、數據庫、主機等進行漏洞掃描，并將發現的漏洞及時進行修復。

數據庫審計系統(1臺)：旁掛在匯聚交換機上，維護人員可以通過對數據庫審計系統配置實現對SQLServer數據庫、MySQL數據庫和Oracle數據庫等主流數據庫進行操作審計。當出現非法人員對數據篡改等違規操作時，數據庫審計系統會提示、報警。根據信息安全等級保護三級2.0的規定，數據庫審計信息留存時間不少于180天。

其他安全要求：對全網內交換機、防火墻等網絡設備，用命令行登錄的要設置成SSH登錄，通過Web登錄的要使用HTTPS登錄，同時相關設備的登錄要設置ACL，限制特定用戶登錄。

綜上，根據信息安全等級保護2.0要求，對云計算平臺安全防護進行規劃和設計，通過新增安全設備和策略配置，能夠保證及時發現和處理安全事件，從而保證云平臺的安全穩定運行。

4 結語

云計算技術改變了原有IT基礎架構和IT服務模式，越來越多的業務部署到云計算平臺上，平臺則面臨惡意程序、安全漏洞、DDoS攻擊、網頁被篡改等安全風險。安全防護建設方案必須充分考慮從安全發現、安全處置、安全溯源等多個層面進行建設，從而保證云計算平臺可不間斷地對外提供服務，保證業務的連續性。