关于私有云的系统安全性研究
2018-01-04郭玉芝唐国城
郭玉芝 唐国城
摘要:随着云计算的普及与发展,云计算已经成为信息技术发展道路上的一个重要的里程碑,计算机相关领域都在积极探讨云端的建设思路和发展方向。云计算的高效性让整个IT界发生着巨大的变革,但是对于云计算来说目前面临最为严峻的考验就是安全问题。云计算服务自身的安全隐患随着应用的不断深入逐渐暴露出来,私有云的安全问题成为制约其发展的一个首要的关键性问题。本文从安全性角度出发,基于私有云的高可用性和数据安全的相关特点,探讨构建安全可靠的私有云。
关键词:私有云;数据安全;云计算
中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2018)30-0024-02
1 概述
信息化时代的到来,伴随着计算机网络的迅速普及与发展,信息化技术在我们日常生活中得以普及和使用,并且信息化技术带给我们的便利体现在方方面面。随着科学技术的不断进步,各种信息化技术的不断革新,传统的基于普通PC机或者无盘工作站的服务器架构已经不能满足人们的日常生活需要。由此产生了云端,云服务器、云存储、分布式计算等云端远程服务器技术大大减少了系统垃圾的产生,并且在一定的程度上提高了系统安全性,使得系统的故障率降低。
近年来,大数据的普及,分布式云存储以及云计算开始被广泛使用,由此而来的数据安全性以及服务的高可用性成为技术方面一个最大的难题。
2 云技术面临的安全问题
现如今,随着科学技术的快速发展,信息化已经成为趋势,各大企业信息化程度不断加深,需要存储的数据越来越多。与此同时,由于计算及软件的更新换代的速度太快、信息数据量太大,对于企业来说本地化的硬件与软件已经无法满足运算需求。因此,企业对于计算的要求变得更高,而私有云的出现解决了这一难题。但是随着云计算的发展,用户数据存储方式的变化,一些隐私数据交由云计算处理,将会在不同层面面临新的安全问题。
2.1 认证层面
支持移动性和分布式网络计算是云计算的重要特征,这增加了用户认证管理的难度,为了实现用户随时随地都可以访问云计算资源,就要接受来自不同位置、不同客户端的登录访问。如果认证入口被入侵者攻破,如同攻打一座城池时,攻破了大门一样,入侵者必将长驱直入,拿下这座城池了。入侵者一旦进入内部云计算系统,掌握了内部资源,就会进行破坏或者窃取,给云计算用户带来严重损失。入侵者通常利用租用的虚拟机发起攻击,或者攻击虚拟化管理平台,利用操作系统或网页漏洞,非法截获用户数据。
2.2 虚拟层面
云计算将虚拟化技术运用得淋漓尽致,虚拟化技术放大了安全威胁,将系统暴露于外界。虚拟机动态地被创建、迁移,虚拟机的安全措施必须相应地自动创建、迁移,可虚拟机本身就是可以在二层网络中任意迁移,安全防护很难针对虚拟机做防护,尤其在迁移的过程中。虚拟机在没有安全措施或安全措施没有自动创建时,容易导致接入和管理虚拟机的密钥被盗、相应的服务遭受攻击、弱密码或者无密码的账号被盗用。虚拟化增大了安全威胁,且没有很好的手段去防护。众所周知,Hypervisor为虚拟化的核心技术,可以捕获 CPU指令,为指令访问硬件控制器和外设充当中介,协调所有CPU资源分配,运行在比操作系统特权还高的最高优先级上。一旦 Hypervisor被攻击破解,在Hypervisor上的所有虚拟机将无任何安全保障,直接暴露在攻擊之下,这将给系统带来极大安全隐患。
2.3 网络层面
云计算本质就是利用网络将处于不同位置的计算资源集中起来,然后通过协同软件,让所有的计算资源一起工作完成某些计算功能。这样在云计算的运行过程中,需要大量的数据通过网络传输,在传输过程中数据私密性与完整性存在很大威胁,云计算资源需要分布式部署路由、域名配置复杂,更容易遭受网络攻击。对于IaaS,DDoS攻击不仅来自外部网络,也容易来自内部网络。包括隔离措施不当造成的用户数据泄漏,用户遭受相同物理环境下其他恶意用户攻击等等,传统网络面临的攻击在云计算环境中都存在,并且威胁被放大。
3 私有云安全的保障
私有云相对于传统云计算应用的安全性有更好的保障,但隔绝了传统的虚拟化安全问题的情况下,又产生了新的安全问题及威胁。在企业私有云环境下,有多重的多业务和多租户资源环境,业务之间和租户之间存在复杂性和企业信任等问题。
3.1 控制访问
通过制定严格的访问控制策略,完善认证机制,保证用户、租户不能访问超出自己权限的文件。以云计算的外包的服务模式造成了以虚拟化技术为基础的极大的虚拟化资源安全问题,也制约了云计算的发展。由此我们可以通过将与核心技术的相关的双重加密算法将企业“投射”到这个环境中,操作控制环境,实现特殊的目的。文件保险柜系统可用来集中存储核心文件,在访问文件保险柜需要双重身份认证,有效地保护私密文件,防止他人查看或者窃取。采用API监控结合技术的采集能力,运用数据采集的云安全设备,完善数据认证和数据访问机制。
3.2 监控管制
由于软件IT应用的生命周期的时限限制,到达一定寿命时段,企业就需对其进行云过渡、云迁移,对于刚实施云的企业来说,将数据从原有的主存储系统迁移到新的云存储系统中时,此迁移的过程则带来了极大的安全隐患和威胁,而操作的准确性和恰当性则至关重要,一次不小心的不当行为,将导致企业数据的丢失,甚至是核心资料的丢失。而对此可采用虚拟技术模拟可能发生的情况和路径,结合云计算技术中利用的虚拟化技术从云计算虚拟化安全角度出发,完善对生产、生活过程中虚拟化技术产生的数据以及相关指令结合硬件进行监管和审核。
3.3 软硬件结合
通过在云服务器中添加硬件可信模块的手段改进云安全软件监控,时刻发现网内新产生的程序、软件或数据,通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。
3.4 数据加密
采用更加高效安全的数据加密算法,对客户或租户存储于云端的数据进行加密,保证只有秘钥的持有者才可以访问加密数据,从而保障用户数据的隐私性与安全性。
3.5 恶意程序的检测
从内而外,从上至下,对难以处置的恶意程序和新发现的恶意程序第一时间感知,进一步降低威胁发现的延迟。由于不少企业的私有云服务并没有数据加密的服务,防火墙和系统被黑客用一台虚拟机模拟得到同一服务器的秘钥,所以采用虚拟化可采取双重甚至多重的防护机制可以防止黑客多次恶意攻击。
4 结语
目前,随着信息化建设的深入,市面上虚拟化技术的普及度大幅度提升,而随着云服务技术的推广与深入,市场对于云架构的需求也显著提升。私有云计算已经成为如今全球IT企业特别关注和加大投入的重点领域,其安全问题也随之成为社会各界关注的焦点和热点。随着私有云计算的应用和推广,只有将当前环境中存在的安全风险分析透彻,并通过一定科学技术和管理方法制定出相应的安全措施,才可以最大限度地保证私有云数据中心网络计算环境的安全。
参考文献:
[1] 侯利明.基于私有云数据中心网络安全的应用探讨[J].计算机光盘软件与应用, 2014(20):183-183.
[2] 罗军舟,金嘉晖,宋爱波,东方.云计算:体系架构与关键技术[J].通信学报,2011(7).
【通联编辑:张薇】