云计算背景下的网络安全技术实现路径
2020-12-03李景清
李景清
(中国电信集团系统集成有限责任公司 北京市 100082)
对于云计算背景下的网络安全来说,内部工作人员风险、资源共享威胁、滥用和恶意使用云计算环境、虚拟化级别攻击威胁、数据存储安全威胁均属于威胁网络安全的主要风险。为保证云计算背景下的网络安全,传统的防火墙技术、加密技术需得到充分应用,各类新型网络安全技术的应用也需要得到重视。
1 云计算背景下的网络安全技术
1.1 云网络安全态势感知技术
云网络安全态势感知技术属于典型的云计算背景下网络安全技术,该技术能够获取云网络安全态势要素,并以此开展云网络安全态势评估及预测。基于获取云网络安全态势要素进行分析可以发现,在云计算机网络环境下,运行大量虚拟机的物理机会部署防火墙、IDS 等多种安全设备,以此实现监控和防护,而通过利用入侵检测设备、防火墙等网络安全设备,即可获取云网络的安全态势要素,网络中重要影响因素和态势数据的实时采集、挖掘可由此实现。通过针对性预处理采集的数据,关键的态势要素可顺利获得,具体可采用粗糙集理论、灰色关联法等技术;基于评估云网络安全态势进行分析可以发现,这一评估需要以云网络环境中的用户行为、网络行为、各种网络设备运行状况等因素为前提,以此融合、关联分析网络安全态势要素,具体分析需采用数学模型或数学工具,如层次分析法、贝叶斯网络、模糊逻辑、神经网络、支持向量机,以此对整体网络的运行状态开展综合评价。作为云网络安全态势感知的核心,针对性的评估能够为云计算背景下的网络安全保障提供有力支持;基于预测云网络安全态势进行分析可以发现,作为态势评估的后续工作,预测需要以态势评估为基础,并结合当前网络状态和历史数据,以此对未来的网络发展趋势进行预测,即可为网络管理人员的相关决策提供依据,网络的风险或安全状态可由此直观传达给网络管理人员,各类防御措施的优选也能够实现,神经网络预测、灰色理论预测、时间序列预测均属于典型的云网络安全态势预测技术[1]。
1.2 云环境入侵检测技术
云端存储数据很容易受到安全威胁,为设法应对这种威胁,云环境入侵检测技术所发挥的作用必须得到重视,该技术可依托入侵检测系统较好保护云计算背景下的网络安全,大数据检测在实时性层面存在的缺陷也能够由此弥补,云环境受到攻击和侵害的几率将大幅下降。在云环境入侵检测技术的具体应用中,可建立由用户交互接口模块、系统管理模块、容忍模块、数据采集预处理模块、检测分析模块组成的云环境入侵检测模型,该模型同时包括云服务资源池、网络数据采集预处理器等构成,该模型可由此提升云系统抵抗入侵攻击的能力,并同时协助云技术开展数据的分析、处理和挖掘,更好保证云计算下的网络安全。用户交互接口模块主要负责提供云服务接口,客户可在该接口支持下实现对服务器等云服务资源的直接访问,各种服务对象可通过云服务目录显示,客户可由此优选服务类型;系统管理模块负责各模块间通信以及资源分配,同时还负责IDS 管理模块调用、云服务资源池管理,对于定时连续提出检测请求的IDS 模块,准备就绪的系统管理会发送消息给IDS,具体分析基于数据采集模块调用开展,采集模块负责存储预处理后的数据,基于各模块当前的服务情况,系统会动态分配任务;容忍模块负责在网络或系统受到攻击入侵、出现错误情况下,保证全部或部分功能继续运行或提供服务,服务可由此在故障或入侵发生时在一定时间内持续完成。不同于传统安全技术,入侵容忍技术属于故障发生后的一种生存能力,具备系统重新配置、自身修复能力;数据采集预处理模块可围绕网络数据包应用软件工具进行采集,网络中的数据包可在该模块启动后进行监听和截取,网络流量测试也可由此实现。来自Libpcap 函数库的Snort、dump、tcp-均属于现阶段较为流行的网络采集工具,系统云平台可得到Libpcap 提供的用户编程接口支持,如具备网络功能、高安全性、跨平台等特性的JAVA 类库,程序代码可由此直接编写;检测分析模块可较好应对猛增的网络流量,保证采集数据的全面、准确、可靠、安全。基于启动的IDS 管理模块,采集到的样本数据可通过检测分析模块进行运行检测,云环境异常行为是否存在可由此判断,云环境入侵检测技术也能够由此更好服务于云计算背景下的网络安全保障[2]。
1.3 云计算网络雪崩效应防御技术
云计算网络攻击下的雪崩效应会直接影响云计算背景下的网络安全,这种雪崩效应源于应用服务间逻辑耦合效应的连带影响,网络健壮性会受到雪崩效应的直接威胁,整个网络会因此在很短时间内停止服务。为有效抵抗云计算网络雪崩效应,基于网络关键节点保护的云计算网络雪崩效应防御技术必须得到重视。在云计算网络雪崩效应防御技术的应用中,需基于节点度的大小选取关键点,相较于较小度的节点,较大度的节点能够更好提升网络健壮性。为深入了解云计算网络雪崩效应防御技术,可假设受保护节点可实现对网络攻击的完全免疫,这种情况下受到保护的节点便能够在雪崩扩散的过程中有效阻止其扩散。以选择度最高的关键位置节点为例,通过赋予该节点免疫网络攻击的能力,免疫节点加入后大联通子图的规模即可相应增大,因此云计算网络的健壮稳定性能可在关键节点保护后有效提升,复杂的网络攻击也能够更好抵抗。相较于在云计算内移至传统网络安全设备的方法,云计算网络雪崩效应防御技术可针对性分析云计算网络,以此对其中的关键节点进行针对性保护,整个云计算网络健全性可在较少成本投入前提下得到保障。云计算网络面临的威胁可通过云计算网络雪崩效应防御技术有效解决,由此提出的新型方法也能够通过建立虚拟网络与物理网络的拓扑,更为深入的分析复杂云计算网络下的威胁,并最终选用科学合理的解决办法[3]。
2 云计算背景下网络安全技术的具体应用
2.1 节点保护方法
在云计算网络雪崩效应防御技术的具体应用中,被动节点保护方法的选用极为关键,具体的选用需结合虚拟安全设备。虚拟化计算可实现网络、存储、计算数据库、防火墙、IDS 等设施的虚拟,SDN 技术则能够对网络拓扑结构进行针对性探测,这种情况下所有节点度大小可由此快速获得。通过利用便利化程度较高的虚拟化网络安全设备,即可对度较高的关键节点进行保护,FWaaS 为网络组件OpenStack 带有的虚拟化网络安全设备,这种虚拟防火墙的应用可实现网络数据包的过滤流入和流出,虚拟防火墙所在的物理主机可由针对性处理数据,并在完成处理后将其发送至虚拟主机。通过部署虚拟防火墙于网络中的关键节点,即可基于数据包过滤的能力在一定程度上保证云计算背景下的网络安全,但对于云计算提供商来说,缺乏对应联系的不同虚拟防火墙将导致关键节点位置优势无法发挥;主动节点保护方法也需要得到重视,该方法以自身加固为基础,通过分离安全服务与业务,即可保证两台虚拟机分别负责安全服务与业务的运行,由此组成一个子网,辅以反向代理服务,即可真正在内部不同虚拟机上分离安全数据和业务,安全系统与业务互不影响目的可顺利实现。云计算提供商的安全防御设施部署可在对用户透明的前提下实现,由于同样采用虚拟机作为安全节点,安全节点的开启和关闭开销较小,可云计算网络动态特性需求可由此较好满足[3]。
2.2 云计算网络安全防御系统架构
每个虚拟机在云计算中均可视作具备简单日志分析和处理能力的节点,因此每个虚拟机可允许一个轻量的、可裁剪的系统监控与告警程序,系统运行状态感知可由此实现,监控程序的优化和裁剪可结合虚拟机的处理性能实现。对于负载较重或性能较弱的机器,监控软件可仅负责CPU、网络流量、内存等基本信息分析,处理能力较强或负载较轻主机的监控软件则需要对运行进程信息、数据指纹、网络IP 等信息进行记录,虚拟机节点在运行监控程序后可被称作传感器节点。传感器节点可同时实现免疫处理模块能力启动,结合具体防御策略,节点即可拦截和阻塞网络病毒、恶意软件,保护云计算背景下的网络安全。此外,还需要建立防御策略生成节点,该节点负责监控数据处理和防御策略生成,每个传感器节点发送的日志和告警数据可通过防御策略生成节点负责收集和汇聚,以此开展针对性分析,辅以监控黑名单、防御规则匹配,即可科学选择防御策略并下发,相应的防御机制可由接收策略的传感器节点启动。可基于传感器节点与防御策略生成节点建设云计算网络防御系统,虚拟机可由此分别负责逻辑业务运行,以及分析、生成、下发防御策略。防御策略生成节点包含安全响应与业务处理两部分,因此防御策略生成节点可基于安全响应节点的升级较为便利获得。
在云计算网络安全防御系统的具体应用中,该系统的威胁处理由四部分组成,即:“检测威胁→上报日志→处理威胁→部署防御规则”。相较于传统的威胁处理,云计算下的威胁处理具备较高特殊性,这是由于不同用户的逻辑子网可能成为云计算的攻击目标,因此相关处理需要合并处理类别相同的攻击。如存在己知攻击,被攻击的节点和未被攻击的节点均需要得到保护,同时云计算平台规模带来的影响也不容忽视。在云计算网络安全防御系统的具体应用中,整个防御处理以检测威胁和上报日志为第一部分,产生异常的被攻击节点可触发监测程序的告警系统,以此检测威胁,防御策略生成节点即可接收告警信息,针对性进行威胁分类,辅以规则集匹配,最终向规则产生器发送匹配的结果,相应的规则即可生成,防御规则的针对性部署也可由此获得依据,系统防御策略生成优化也能够顺利实现,云计算背景下的网络安全自然可得到更好保障。
2.3 云计算网络安全防御系统的具体应用
在检测威胁环节,云计算网络安全防御系统可基于传感器节点通过事件触发模式和轮询模式进行数据采集,一个或多个触发事件的针对性设置、基于一定时间间隔的关键信息扫描和采集属于其中关键,传感器节点威胁检测流程可概括为:“开始扫描→登录用户、进程、端口等基本信息扫描→判断是否存在超过阈值的负载→是/否→结束/围绕数据包、内存进行高级扫描→结束”;在上报日志环节,云计算网络安全防御系统需初步分析威胁,以此决定是否上报,决定上报后需针对性开展数据预处理,预处理包括合并和去重数据、过滤数据、压缩数据,以此去除重复数据、过滤正常触发的威胁告警,数据压缩可结合实际情况考虑是否采用;在处理威胁环节,云计算网络安全防御系统需针对性分类威胁、汇总威胁、生成规则、下发规则。在针对性分类威胁的过程中,可按照HTTP 攻击、网络攻击、恶意软件进行分类。在汇总威胁的过程中,相关的攻击信息合并属于其中关键,如在一次DDoS 攻击中,可汇总相关传感器节点的报告的威胁,后续的处理流程简化也由此获得支持。在生成规则的过程中,系统基于自我学习和手动定义形成的规则集属于其中关键,通过对各类威胁处理方法进行定义,即可更好服务于云计算网络安全防御。下发规则需在防御部署节点开始前,以此优选下发路径和下发选路算法,如广度优先算法、Dijkstra 算法,即可适应不同任务需要,如Dijkstra 算法适用于紧急任务,广度优先算法适用于策略接收端较多的任务;在部署防御规则环节,云计算网络安全防御系统可基于下发的防御规则进行解压缩处理,传感器节点可由此向自身规则集中导入防御程序,规则中关联的防御软件可基于防御程序的导入而调动,更好保护云计算背景下的网络安全。
3 结论
综上所述,云计算背景下的网络安全技术具备较高应用价值。在此基础上,本文涉及的云网络安全态势感知技术、云环境入侵检测技术、云计算网络雪崩效应防御技术等内容,则提供了可行性较高的云计算背景下网络安全技术应用路径。为更好适应云计算发展现状,相关网络安全技术的研发和应用还需要结合大数据等新型技术,智能化的相关探索也需要引起重视。