浅析云计算中面临的计算机安全防护对策
2018-03-06邓丽慧
◆邓丽慧
浅析云计算中面临的计算机安全防护对策
◆邓丽慧
(69064 部队 新疆 841000)
随着分布式应用技术的高速发展,云计算的优点逐步显现,并取得了大规模的运用。云计算将庞大的计算机运算能力和存储能力相整合,在实现跨地区资源共享的同时,也为计算机用户提供一种高效、快捷的按需服务。云计算的不断普及也给计算机安全带来了新的挑战,如何有针对性地改善云服务下的安全隐患成为了云服务发展过程中急需解决的问题。本文通过对云计算入侵手段和云计算构架建设两个角度,分析当下云计算面临的各类安全隐患,浅析基于云计算安全防护对策。
云计算;入侵手段;安全防护对策
0 前言
2017年2月24日名云安全服务商Cloudflare被爆泄露用户 HTTPS 网络会话中的加密数据长达数月,其中不乏我们所熟知的优步(Uber)、OKCupid、Fibit。为此,云计算的安全问题再次成为了焦点,由于云计算处于异构虚拟环境当中,基于主机和网络的入侵检测的防护手段已经不能直接采用,因此必须展开异构虚拟环境下的云计算新型安全防护研究工作,将防护手段作出进一步的提升,来满足新形势下的计算机安全。
1 云计算综述
云计算作为一种运用较为广泛的商业计算模型,其原理是将传统的分布式计算、网络存储、负载均衡、效用计算、虚拟化等计算机网络技术相结合,在其基础上利用互联网将成本低廉的本地计算机进行整合成为一套功能强大的系统。云计算通过互联网向计算机用户提供定制的按需服务并给予快速响应,同时也为用户带来良好的经济效益。形成了以用户为核心,资源向用户共享的新型商业计算服务模式。云计算模型通常包含:虚拟化、超大规模、可靠性、通用性、可拓展性、按需服务、价格低廉七大特征,云计算模式分为:基础架构即时服务(Iaas)、软件及服务(SaaS)、平台即服务(Paas)三类云计算服务模型。
2 云计算的安全隐患
云计算的安全防护策略应给予实际业务需求和等级保护要求,部署一套完善的安全防护策略,在防止非法用户对核心业务访问的同时也要保护数据的安全储存和传输。由于云计算虚拟异构且无边界的特点,使得云计算在互联网中面临更多安全威胁,相比传统主机,云环境下的入侵攻击速度更快,破坏性更强,黑客一旦利用云计算的大带宽发起DDos攻击,将会给企业及云计算服务器造成严重的损失。目前常见的云计算入侵行为有:非法授权访问、误用和滥用、漏洞攻击、基于主机或基于网络的攻击等。以下具体探析几种常见的入侵行为造成的危害。
2.1拒绝服务攻击
由于网络协议本身的安全缺陷,拒绝服务攻击成为了攻击者最喜爱的攻击手段,传统的DOS攻击很少能对云服务造成威胁,但黑客为了造成云计算无法提供正常的服务,采用了分布较为广泛、网络资源利用率更大的分布式拒绝攻击(DDOS),攻击者集合许多网络带宽同时对一个目标反复发送大量看似合理的请求,使目标资源耗尽,造成目标服务器网络拥塞、无法与外界通讯。
2.2端口扫描
端口扫描可以使攻击者在不留痕迹的情况下向目标主机发送一串端口扫描代码,掌握目标服务器提供的网络服务协议类型,通过分析目标服务器对外开放的多种服务端口,找到适合攻击的薄弱点。使得一个看似正常的通讯通道变成一条隐蔽的入侵通道,从而达到窃取数据的目的。
2.3 SQL注入攻击
攻击者利用目标服务器安全漏洞,向目标服务器中的Web应用程序注入SQL代码取得服务器数据库的管理权限,通过数据库管理权限提升操作系统用户权限,最终达到控制服务器操作系统、获取用户数据信息及私密文件的目的。由于SQL代码本身并不带有病毒特征,因此对于绝大多数的防火墙来说,SQL攻击“合法”,不易于发现,从而导致系统的用户做出错误的决策,造成更大的危害。
3 云计算安全防护策略探究
在设计安全防护策略时,要充分考虑到流动性强、种类丰富、面向大众及虚拟化异构环境下的安全防护需求,结合云服务的自身特点,建立一个多层次、多方面的安全防护体系,才能对云计算体系中的信息安全和体统稳定性起到保护作用。
3.1搭建算法可信的云架构
目前,云计算以服务角度来划分,分为五种:私有云、公有云、混合云、行业云、移动云,无论用户使用的是哪一种云服务都离不开超文本传输协议(HTTP),以互联网交易支付为例,为了加强传输的安全性而采用了以安全为目的的通道—HTTPS通道,通过加入SSL层提供身份验证与加密通讯,分析研究发现HTTPS 最重要的数据就是 SSL 的私钥,一旦私钥泄露,整个通讯握手过程就可能被劫持,签名可能被伪造,从而使整个 HTTPS 传输传输过程变的毫无安全可言。传统的私钥使用方案就是将私钥和应用程序绑定在一起。这种方案让私钥部署在云端或者内容分发网络(CDN)中存在较大的安全隐患,造成信息泄露。为了降低私钥泄露的可能性,考虑在云端应用中实现无密钥加载架构确保用户对私钥的绝对控制,迫使云端接触不到私钥,从而降低泄露风险。接入时用户首先发起HTTPS握手请求,当涉及到私钥计算的时候,云端输入输出单元将私钥运算请求通过加密的协议传递到用户自己的私钥服务器上,私钥服务器调用用户的私钥完成计算,完成后将计算结果返回给云端输入输出单元,云端输入输出单元继续进行请求处理。整个过程中云端服务器接触HTTPS私钥从而可以更好地实现用户的私钥安全性。
3.2加强云端安全管理
加强云端安全管理主要为了防止云计算平台的物理环境免遭地震、火灾、鼠害、水灾等隐患以及内部人员人为行为导致的破坏。主要措施包括:服务器安防的选择、建立严格的物理访问控制、确保防盗窃、防破坏、防雷、防火、防水、防静电、防尘、防电磁干扰、供电安全、通讯线路安全,防止云端服务器遭到内部破坏。
3.3加强威胁发现管理
众所周知,防火墙一般是互联网最常见的安全防护措施,防火墙根据事先制定的规则,对进出防火墙内部网络的数据进行一一比对,比对成功相互匹配的则放行通过,对比失败的则被认定为有害数据予以拦截,从而起到安全防护作用,虽然如此防火墙拦截功能也有其局限性,它只能对外部数据包进行分析检测,对内部发生的入侵行为则束手无策。为解决此类问题,引入入侵检测系统对云端安全防护至关重要,入侵检测系统(IDS)通过对网络中的多个关键点去收集信息并进行适当的分析,从中发现是否存在黑客恶意攻击和破坏计算机以及网络系统资源的行为并进行相应的处理。传统的IDS存在对未知入侵行为检测效果不理想,以及难以检测出专业人员攻击和蓄意破坏的行为。为此,在云端进行IDS部署时,应当将传统的网络入侵检测和主机入侵检测相结合形成一个新型分布式检测结构,针对云计算环境下未知的攻击行为制定一套BP神经网络的异常检测体系来保障云计算的信息安全。
3.4构建安全防护体系
云计算服务器安全防护部署一般采用分区规划、分层部署的方式进行,分区与分区之间采用VPN进行数据传输,分区边界上部署防DDOS攻击,异构多重防火墙,IDS以及负载均衡做到数据信息安全防护,在用户管理上应当建立规则一致的云服务身份管理及安全审计策略,通过分区域严格把控权限的控制机制来实现跨区域间的身份认证、访问控制及授权行为。在数据传输加密上尽可能与用户采取DES对称加密算法,确保数据在网络传输过程中的安全及存储安全。在数据灾备上依托开源Xen平台采用后端磁盘存储的方式,通过Linux命令对数据进行备份和恢复。
4 结束语
随着云计算的不断发展和运用,云计算中的各类系统和应用依然会面对各类病毒和恶意黑客的攻击,不断完善云服务平台的安全性和稳定性会是一个长久的问题,因此当面临新的安全威胁时,只有不断探索开发和完善安全技术,并引入新的安全技术来解决云计算模式下所特有的安全问题,才能推动云计算安全发展。
[1]张继平.云存储解析[M].人民邮电出版社,2013.
[2]谭湘.基于防火墙的企业网络安全设计与实现[D].西安电子科技大学,2013.
[3]李彦宾.云计算数据中心网络安全防护部署[J].网络与信息,2012.
[4]纪祥敏,景林,舒兆港.下一代互联网络入侵检测系统研究[J].计算机仿真,2013.
[5]张亚琦.教育云平台应用服务架构建模与实现[D].武汉理工大学,2014.