云計算安全風險分析與防護方法研究

李子民

（中國移動通信集團河北有限公司，河北 石家莊 050035）

1 云計算安全概述

伴隨著網絡技術的不斷發展，云計算性能得到了突破性的改進，其主要表現在海量的數據得到了有效的處理。承載云計算平臺的主流數據中心目前采用傳統三層網絡架構，有效解決了數據中心內流量高速互聯和數據中心規模不斷擴大的問題，從而將一個復雜的、大而全的網絡進行有序管理。云安全是云計算的重要組成部分，戰略位置愈發凸顯[1]。云計算安全一般涉及網絡、主機、應用和數據等安全場景，云計算系統由于虛擬化和多租戶等特性，涉及多種新型安全場景，包括虛擬機安全、流量安全、應用遷移安全、云端數據安全、云邊界安全、多租戶用戶的授權和訪問管理安全等[2]。其中，平臺安全、數據安全、資源共享導致的系統安全是云計算安全架構的關鍵組成部分。

1.1 平臺安全性更高

隨著新型基礎設施建設加快，通過防火墻實現不同的安全等級，同一數據中心內的資源劃分為可信區和非可信區兩個安全區。云資源池網絡使用IPv6，IPv6是被全球公認且唯一的下一代互聯網商用解決方案，在超寬帶、廣連接、安全、自動化、確定性和低時延六個維度能夠全方面提升IP網絡能力。分布式存儲系統數據采用了多種策略以保障數據安全，比較常見的策略包含多副本、糾刪等，也有基于物理層進行物理隔離策略設定，這方面分布式存儲系統已經做得比較完善了。

1.2 數據安全性更高

在網絡安全技術的保護和支持下，實現了對數據庫的有效防護，進一步提升了數據的安全性。數據存儲采用多重備份機制，確保每份數據均有不少于一個的副本，確保在存儲載體（如硬盤）發生故障情況下，仍可保持數據完整，對系統的正常運行及訪問無任何影響。云計算不僅能對數據庫中的資源進行合理的部署，還能幫助用戶在最短的時間內找到相對應的數據資源，體現出了專項通道的作用。

1.3 資源共享性更高

云平臺借助計算、存儲和網絡虛擬化技術實現資源的組織和分配，將租戶業務部署到數據中心的虛擬機上，實現了資源共享，大大提高了資源的利用率，實現了像使用水電一樣一點接入，即取即用。NFV（Network Function Virtualization，網絡功能虛擬化）通過使用數據中心的等通用性硬件，實現軟硬件解耦，解決了租戶業務煙囪式建設的問題。云操作系統（Cloud OS）同普通的操作系統一樣，實現對硬件資源的抽象，對上層提供服務。當前，OpenStack為各類云計算平臺提供可擴展的彈性的云計算服務，一般將OpenStack稱為云操作系統，把Hypervisor作為OpenStack的一部分。OpenStack屬于Cloud OS中的管理部分，應用非常廣泛，與Hypervisor一起構成了Cloud OS的功能[3]。

2 云計算安全風險分析及發展趨勢

2.1 網絡攻擊形式更加多樣

面對當前越來越復雜的環境，安全問題越來越嚴重，越來越多網絡攻擊方式的侵入，導致網絡安全問題逐一暴露，攻擊的方法、渠道、形式也更加多樣化，例如，DDoS攻擊、SQL注入、惡意小程序、木馬植入等方式，使計算機網絡信息系統在很多環節都有可能受到不同方式的攻擊，從而使系統受到不通程度的危害[4]。

NFV技術帶來的特有安全風險尤其需要重點關注，如NFV基礎設施平臺安全防護能力下降的問題。當平臺運行不可信的虛擬機時，硬件平臺的安全防護能力會整體下降[5]。

2.2 云化帶來新的安全威脅

云計算具有資源池內部網絡復雜、業務部署集中度高等特點，加之公網出口增加暴露面，虛擬基礎設施管理面臨的安全威脅更復雜。包括用戶虛擬機或從管理網絡入侵管理虛擬機、通過管理網絡入侵Host OS/近端維護端口入侵Host OS/感染病毒、用戶虛擬機或從管理網絡非法入侵虛擬路由器管理接口、用戶虛擬機或從管理網絡非法訪問等。

（1）計算虛擬化安全。包括惡意VM通過Hypervisor攻擊其他VM、惡意VM攻擊HostOS或Hypervisor、VM通過Hypervisor攻擊自身GuestOS等。

（2）網絡虛擬化安全。包括VM攻擊VM、VM攻擊vSwitch、外網攻擊Host或vSwitch等。

（3）存儲虛擬化安全。包括VM存儲設備漏洞、VM惡意讀寫磁盤、存儲設備被攻擊等。（4）OpenStack安全。包括API濫用、開源軟件漏洞、管理權限濫用、惡意內部人員等。

2.3 云原生安全形勢嚴峻

以微服務、K8S、DevOps、容器為顯著特征的云原生技術，具備開放、靈活、可編排的特性。容器作為一種資源形式，通過K8S平臺，對容器進行集中運維，使微服務框架能夠最終落地，將傳統業務微服務化，更符合DevOps對業務體量和架構的需求，使業務快速迭代成為可能。云平臺一般承載著核心業務和關鍵數據，內部的網絡處于全部聯通的狀態，在當前網絡威脅形勢下，攻擊手法持續演進升級，使得對云平臺的風險分析必須做更加大膽的假設，一旦邊界被各類攻擊單點突破，惡意代碼的內部傳播毫無障礙，在云平臺資源池通過大面積東西向側移，容易造成數據泄露、系統癱瘓等重大損失。

2.4 缺乏專業安全技術人才

計算機網絡技術在實際的應用過程中，經常遇到的網絡安全問題，將會給人們的生產和生活工作帶來一定的困擾。其主要與一部分工作人員專業能力有關，例如，網絡安全意識不強，導致這些網絡技術在應用時出現了各種安全問題，如用戶重要信息被泄露、被盜取等。因此，專業技術人員需要掌握更專業的基礎知識，致力于解決計算機網絡中出現的各種安全問題，通過靈活使用多種計算機網絡安全技術，從而第一時間對出現的安全問題提出解決的對策，從而營造良好、穩定的云計算機網絡環境。

2.5 安全審計信息不夠透明

目前，我國無論是網絡監管方面，還是網絡的使用方面，都忽視了安全審計信息問題，缺少對相關數據信息的有效監管、維護、管理等。并且由于信息數據的維護主要是在云計算服務平臺中完成的，如果信息缺乏一定的透明性，將會使網絡中的信息缺乏安全保障。

3 云計算安全防護方法和應對舉措

3.1 應用網絡安全隔離技術，強化云網絡安全防范效果

網絡安全隔離主要包含物理設備安全、虛擬化平臺安全、網絡安全、數據安全四個方面的安全隔離。云平臺的安全性和穩定性想要得到有效保障，應完善云計算環境的安全功能，利用入侵和識別技術對相關數據進行及時的識別，在一定程度上可避免病毒和其他攻擊的侵入。另外，對于一些已經傳輸到云端的數據，需做好數據加密處理，這樣能夠有效避免入侵者直接盜取用戶的重要數據信息，使運算數據儲存更加可靠、傳輸的數據信息能被保護起來。借助網絡服務器安全防范技術的應用，進一步強化了計算機網絡安全的有效防護，從而提升了數據安全性。

3.2 融入多種安全防護技術，構建完善的安全防護系統

3.2.1 防火墻技術

防火墻是介于內部網絡與外部網絡之間的網絡安全系統，可結合特定的防火墻策略進行數據訪問需求放行。策略一般是遵循“最小化”原則，結合業務側的實際需求，細化到源IP地址、目的IP地址、源端口、目的端口等粒度。

3.2.2 防病毒技術

云計算技術運行過程中經常會遇到網絡病毒的入侵和威脅。由于當前網絡中的病毒越來越多，其程度或者病毒的形態也都在發生著改變。因此，云計算網絡安全技術想要提升，應該對出現的病毒進行阻隔。例如，應用不同類型的反病毒技術，加強對病毒的有效防御。技術人員利用動態性的反病毒技術，開啟對病毒的主動防御，從而提升病毒防御的質量和效果。

3.2.3 系統加密技術

由于計算機網絡兼具開放性的特質，導致計算機網絡系統在運行過程中很容易受到各類病毒的入侵，直接影響到數據的安全性。為了能夠使得云計算環境下的網絡環境得到有效保障，需要利用加密技術，將其應用到整個網絡系統之中，達到保護數據安全的目的。其中，加密系統能對網絡中潛在的風險進行過濾，然后將惡意破壞信息消除，使得系統中出現的黑客攻擊行為、病毒入侵行為得到有效的遏制。系統加密技術為數據的共享等提供了有效的保障。

3.2.4 漏洞掃描技術

網絡漏洞為病毒入侵和黑客侵入提供了“主要條件”。因此，云計算背景下的計算機網絡安全技術應用選擇使用修復技術和漏洞掃描技術，使計算機網絡安全風險得到有效的控制。在使用這些掃描技術時，相關人員需要合理利用漏洞掃描技術，這樣才能使計算機系統更加安全。

3.2.5 防護溯源工具通過業內數據掃描發現系統，快速高效地識別出組織內部敏感數據及分布位置，同時借助工具對敏感數據傳播途徑進行防護；對于已發生泄密（如拍照、文檔外傳等），通過數字水印技術，可對泄密事件進行追溯。此在技術層面能對員工泄密起到震懾作用，有效預防員工泄密事件發生。

3.3 基于角色的云平臺虛擬機安全訪問控制策略

云環境下計算機網絡安全技術在使用過程中，可以利用控制訪問技術，對訪問進行有效的控制。針對云計算平臺中用戶之間的數據區分問題，以及惡意用戶竊取平臺中數據的問題，提出一種基于角色訪問控制策略。該策略解決了平臺訪問者客觀信任和主觀信任的問題，通過虛擬化技術，在數據隔離存儲后，為云用戶分配相應角色，在用戶訪問過程中，對用戶密鑰證書和信任等級進行綜合驗證，更好地保證云計算平臺數據的安全性與可靠性[6]。

3.4 提升網絡安全應急處置水平和專業人才能力

應用云計算網絡安全技術，使網絡性能提升，將為更多用戶提供便利，保障云計算平臺的安全運行，提升數據的安全傳輸和安全共享。開展云服務應急響應機制審查，包括制度、組織、流程、實踐等方面，檢驗云服務應急響應水平。開展應急預案演練，模擬云服務器運行事故，檢驗監測預警、評估分析、應急響應、故障回復、信息通報等能力。

加強對計算機網絡安全技術人才的安全引進尤為重要，一方面，通過定期召開技術交流培訓會，讓這些計算機網絡安全人員了解更多數據傳輸中存在的安全問題，從而幫助相關技術人員能在第一時間解決存在的問題。另一方面，全面加強工作人員的安全責任意識，讓他們充分認識到安全問題監管發揮的重要作用，在技術攻克上、數據安全問題的解決上做好人力支撐。

3.5 加強安全管理和監測，營造良好的網絡環境

當前，網絡應用環境較為復雜，面對這一問題，云計算背景下的網絡安全技術在應用時，需要發揮數據傳輸和數據信息監管作用，結合各方的力量，全面加強安全管理，包括安全審計、傳輸安全、安全監控、Web安全等相關內容。致力于做好安全審計工作，并以日志的方式開展問題的監督和防控；加強網絡內部和外部的管理，致力于做好對用戶數據的有效監管和保密措施，從而使數據更加的完整，促進數據的有效傳輸。