云计算中IaaS层信息网络安全防护技术分析

2019-12-24莫怀海

网络安全技术与应用 2019年4期

◆莫怀海

（国家计算机网络应急技术处理协调中心广东分中心广东 510665）

0 引言

在云计算市场和技术高速增长过程中，云安全的防护难度急剧上升，除了要面对传统信息网络环境的各种威胁，还面对云计算虚拟技术及虚拟环境需要应对的威胁。此外，还要保障云计算和云数据存储的信息安全。IaaS作为云计算基础的服务模式，在云计算服务平台中提供核心资源和虚拟核心资源的基础设施服务，其信息网络安全的防护问题对我们来说是一个严峻的挑战。

1 云计算与IaaS

1.1 云计算

云计算是基于公开的标准和服务，将计算任务分布在大量计算机组成的资源池上,通过互联网按需给各种应用提供动态可伸缩的计算能力、数据存储能力以及信息服务。云计算能够利用分布式计算和虚拟资源管理等技术，通过网络将分散的信息资源集中起来形成共享的资源池，并以动态按需和可度量的方式向用户提供服务，是分布式计算、互联网技术、大规模资源管理等技术的融合与发展[1]。云计算的核心理念是资源池，具有规模大、通用性强、虚拟化、高可靠性、快速便捷性、高伸缩性、资源按需分配等特点。

云计算有三种层次的服务模式，即 IaaS：Infrastructure as a Service(基础设施即服务)、PaaS: Platformas a Service(平台即服务)、SaaS: Software as a Service(软件即服务)。

1.2 IaaS

IaaS（基础设施即服务），指的是用户通过互联网从云计算中心获得虚拟主机、存储服务、网络服务等计算机基础设施服务实现计算，即服务、存储即服务、网络即服务。IaaS云计算实现机制是指用户使用 Web服务的方式提供交互接口，根据用户的需求通过管理平台分配恰当的资源，提供可使用的服务目录，并进行相应的监视和统计。

IaaS关键支撑技术有：服务器虚拟化、存储虚拟化、网络虚拟化以及云管理平台。

（1）服务器虚拟化

服务器虚拟化把服务器的CPU、内存、存储、I/O（网卡）等物理资源抽象成逻辑资源，将物理服务器群组构建成虚拟化资源方式，使服务器资源使用不再受限于物理的界限。

（2）存储虚拟化

存储虚拟化将各个分散的存储系统进行整合和统一管理，并提供了方便用户调用资源的接口，构建具有统一逻辑视图的存储资源池供用户按需使用[2]。

（3）网络虚拟化

网络虚拟化使用虚拟交换机、路由器等网络虚拟化技术构建虚拟的网络，以便为云计算平台上的每台虚拟服务器使用专门指定的虚拟网络设备和虚拟网络进行通信。

（4）云管理平台

云计算管理平台是指资源池的智能化管理平台，将所有的虚拟硬件实现安全可靠的资源池化统一管理。

2 IaaS面临的主要安全威胁术

IaaS信息网络安全主要保护各级交换机、路由器、防火墙、周边网络设备、服务器、服务器上承载的业务以及虚拟化的计算资源、存储资源和网络资源组成的核心资源。

2.1 传统的安全威胁

IaaS平台下的防火墙、交换机、路由器、VPN以及周边网络设备、服务器等基础架构资源存在传统的网络安全威胁，代表性的有：

（1）恶意扫描

外部攻击者通过 IP及其端口恶意扫描网络和服务器设备，意图通过服务漏洞等方式入侵设备。

（2）非法入侵

外部针对服务器、网络设备等非法的攻击，主要攻击方式有：暴力破解root、web、mail、ftp、ssh等账号的密码；利用操作系统、数据库、网络、应用系统等漏洞进行入侵。

（3）DDoS攻击

DoS攻击即拒绝服务服务攻击，利用网络协议栈、操作系统及应用的漏洞对计算机发起攻击，造成目标网络以及计算机无法提供正常的服务或资源访问。DDoS即分布式拒绝服务，是指集群多个计算机作为攻击平台，对目标发动DoS攻击，这样可成倍的提高DoS攻击威力。

云计算IaaS平台DDoS攻击常见形式是内部的服务器、网络资源被植入木马病毒，成为“肉鸡”，被控制而由内往外进行DDoS攻击，严重影响云计算系统资源，影响上行带宽，导致云计算服务中断。

（4）网络资源拥堵

由于网络设计不合理、网络边界不清晰、未合理划分安全域、网络安全配置不当，云计算系统可能由于单一业务运行独占资源而导致计算机和网络资源被占满，从而整个系统性能严重下降。

（5）网络设备单点故障

基础的网络设备未做冗余部署，单点网络设备发生故障，造成云计算核心资源对外服务中止。

（6）操作系统漏洞、身份验证及访问控制机制问题

操作系统本身漏洞、身份验证以及访问控制等问题会造成主机层出现一些常见安全问题。

2.2 虚拟化层安全威胁

与传统的计算系统比较，云计算系统在操作系统和平台上增加了一层软件（管理模块或虚拟机监控器），即增加了一层虚拟化的计算资源、存储资源和网络资源。虚拟化层受到的安全威胁主要有：

（1）虚拟机之间的非法数据访问；

（2）攻击在虚拟机之间的扩大蔓延；

（3）虚拟机窃听窃取其他虚拟机的数据资源；

（4）虚拟机监控器面临监控器后门及恶意代码攻击等来自自身的威胁；

（5）来自网络对虚拟机监控器的DDoS攻击；（6）虚拟机入侵虚拟机监控器后，窃取其他虚拟机数据；（7）恶意虚拟机挤占服务器资源以及对其他虚拟机发动非法入侵；

（8）针对虚拟机上部署的操作系统的安全攻击。

3 IaaS安全关键防护技术措施

针对 IaaS的安全威胁，需要加强硬安全池和软安全池的安全建设，并优化云计算系统及网络的配置，下面分析IaaS云计算安全防护的关键技术以及措施。

3.1 防火墙技术

防火墙是一种高级访问控制设备，是不同网络安全域间通信流的唯一通道，其根据访问控制规则决定进出网络的行为，是保护网络安全的基础性设施。

传统防火墙可分为包过滤型和代理型。传统的防火墙只能对网络周边提供保护，而对网络内部的攻击无能为力，分布式防火墙则能够解决这一问题。分布式防火墙驻留在网络主机并对主机系统进行安全防护，它以网络安全防护软件为基础，主要供企业或者单位内部使用，包括网络防火墙和主机防火墙两大类[3]。

IaaS云计算平台应在网络架构建设中合理部署防火墙进行整体防护，并针对个体设备需求部署分布式防火墙进行个性防护。虚拟化设备应同时考虑部署虚拟化分布式防火墙，合理部署分布式防火墙，实现网络安全域隔离。

3.2 防病毒技术

在新型及变种病毒层出不穷的背景下, 在 IaaS云计算系统中部署防病毒墙、防病毒软件，以及在虚拟机上安装杀毒软件进行病毒检测和病毒查杀，是云计算信息安全防御的必要手段。

3.3 IPS技术

IPS（Intrusion Prevention System，入侵防御系统）是网络设备架构中对防火墙和防病毒系统的补充，IPS可提供OSI模型第二至第七层全面的防御能力，能够监视网络或网络设备的网络资料传输行为。

IPS在IaaS云计算系统中应根据业务需求部署在网络核心、核心业务子网、DMZ、网络边界、外联网等业务节点。

3.4 WAF技术

WAF (Web Application Firewall，Web应用防护系统）在OSI模型应用层能解析HTTP请求，进行规则检测，做出相应的防御动作，并将防御过程记录下，WAF技术可有效防御SQL注入、XSS跨站脚本、后门上传、非授权访问等各种常见Web攻击，并且可以有效防止Web各类应用层攻击，保证云计算Web服务交互接口的安全。

3.5 VLAN技术

VLAN虚拟局域网技术能将一个物理的LAN在逻辑上划分成多个广播域，可以隔离冲突域和广播域。它是IaaS云计算信息安全防范中必不可少的技术。合理划分 IaaS云计算系统的安全域，实现VLAN合理划分，可以有效防止网络资源拥堵，防范在云计算环境下虚拟机之间的非法数据访问、攻击在虚拟机之间扩大蔓延、窃听窃取虚拟机数据资源等新型的网络安全威胁。