云计算安全风险与保护技术框架研究*
2023-04-06陈雪
陈雪
(广州工商学院,广东 广州 510850)
近年来中国经济增速放缓,产业格局迭代升级趋势愈发明朗,以网络科技、通信科技为依托的新兴产品、技术持续涌现,物联网、区块链等新名词不绝于耳,云计算作为其中典型代表,通用性、扩展性优势非常明显,解决了传统业务处理方式下,计算能力不足、扩建成本过高的困境,促进了数据的高速流通和交互。但该种趋势的发展也带来了一定困扰,开放环境下数据泄露、外部攻击风险明显提高,有必要对其安全防护技术框架进行完善和优化。
1 云计算安全风险探析
云计算是科技理念更新、迭代的产物,能够通过虚拟化技术,将计算任务分布到不同资源池之中,从而增大系统存储空间,获得计算能力上的跨越式提升,从技术架构上看,其大致可以分为3 个不同层级,其中,IaaS 层位于最底层,主要包含各类基础设施、设备,可以将其整合成虚拟资源池,方便用户数据存储以及程序代码运行;PssS 层则提供平台、环境,可以容纳多种程序接口,并为数据库、文件系统等的测试运行提供便利;SaaS 层处于架构顶端,可以在Web 浏览器的支撑下,向用户开放交互界面和软件[1],满足多点访问需求。
近年来中国网络覆盖率持续上升,各企业、用户对云计算的需求量呈现出爆发式增长,云计算应用中潜在的风险因素也显著增多,大致可以归结为以下5点:①身份冒用风险。为确保安全,云计算虚拟平台通常采用账号密码形式认证用户身份,但部分攻击者通过不法渠道窃取该类信息,借助冒用身份进行消费、窃听,严重危害了用户安全。②共享环境风险。云计算之所以能够实现大规模的覆盖和计算,关键在于虚拟资源池的搭建,在该种平台组织策略下,传统的防护墙技术很难发挥效能,恶意代码一旦传播扩散,必将造成更大范围的危害。③数据泄露风险。在新常态背景下,数据作为隐形资产的价值被越来越多的人所认可,存储于云平台的数据一旦出现泄露、篡改、丢失等问题必然影响其固有价值。④DDoS 攻击风险。Web 环境是云计算技术的关键依托,部分不法分子利用该种特征,从多个节点同时实施攻击,占据系统大量资源,并损坏运行稳定性。⑤对内防范风险。云计算服务提供开放资源池,从合作形式看,更倾向于外包业务,租户企业的内部员工、运营商员工、管理者等均具备接入资源池的能力,这就给内部防范工作带来极大压力,控制协调不当很容易导致数据异常泄露等问题。
2 云计算安全保护技术框架搭建
2.1 设计思路
云安全框架搭建环节,需要对攻击特征、风险种类、防护需求等进行全方位分析,从既有案例来看,恶意入侵造成的波及范围是十分广泛的。从物理层视角上看,可能发生门禁破坏、设施破坏等问题;从网络层、主机层视角看,又可能发生非法访问、非法入侵等情况;针对应用层、数据层展开攻击时,还会发生数据丢失、应用宕机等情况。因此要采用针对性分析策略,分别引进联动预防、隔离预防、统一身份认证等技术,保障安全框架全面性和系统性。
2.2 网络安全层
2.2.1 数据中心划分与隔离
开放、共享是云计算平台最为显著的特征,其中牵涉、覆盖的数据节点数量多、结构复杂,一旦发生恶意攻击行为,将会在平台内部发生大范围扩散,因此引入网络隔离技术,对数据中心进行分隔保护。分隔依据主要为业务功能,同时兼顾网络安全风险,重点区域分述如下:①DMZ 区,该区域位于内外防火墙中间,可以起到缓冲、防护的作用,整体安全性能低于内网,面临的潜在风险也非常之多,主要负责部署前置部件,管理对象包含API 网关[2]等。设计环节增加入侵检测、拦截设备,与基础防火墙搭配,可以起到抵御风险、保护数据安全的作用。②公共服务区,在安全框架中扮演部署、统筹角色,可以对IaaS、PaaS等层级组件进行分配,设计环节隔离等级设置为半开放,可以受限向租户提供服务,且所有操作均要经过DMZ 区过滤。
2.2.2 业务平面划分与隔离
云计算平台涉及的业务种类非常多样,为避免业务繁杂性带来的不利影响,确保设备、资源始终处于安全防范范畴以内,还需要对相关业务项目进行划分隔离,分隔依据包含安全风险等级、业务权限等,划分后主要分为5 个部分,其中,租户数据平面是主要通信渠道,可以与下设的各类虚拟机建立联系,保障业务的正常供应;业务控制平面则提供接口服务,可以保障各类API 安全性能;平台运维板块则为运行、维护业务设计,可以面向网络设备、服务器等开展管理。此外还有BMC 管理平面、数据存储平面等,分别负责应急维护、安全存储,业务板块相互独立、各自为政,同时又协调配合、相得益彰,能够较好地防止业务数据泄露、混淆等问题。
2.3 主机安全层
2.3.1 CPU 隔离
主机板块是整个云计算平台的核心所在,本次设计中主要采用最小化裁切策略,对各主机设备进行分隔防护,并附带安全加固手段,谨防恶意攻击和入侵。在整个主机板块的安全层设计过程中,CPU 隔离占据关键位置,主要以虚拟机为中心,实现其与UⅤP(Unified Ⅴirtualization Platform,统一虚拟化平台)之间的隔离,同时相邻虚拟机节点之间,信息也应当是相互隔离独立的。框架搭建主要通过模式切换完成,Non-Root 模式下CPU 正常运转,可以支持基础的运算、交互需求,进入Root 模式后,UPⅤ对虚拟机的控制能力有所上升,可以灵活调整各类设备的访问权限,最终实现虚拟机资源隔离,确保虚拟机节点之间相互独立,无法获取到其他平台资源信息。
2.3.2 内存隔离及I/O 隔离
云计算平台综合处理能力强大,可以承担数据存储、交互等功能,由于虚拟平台开放性较为显著,因此海量存储数据如何隔离、独立就成为了重点,只有采取必要措施进行优化,使得各虚拟机能且只能访问对应内存,才能最大限度保证安全性。为实现该种设想,设计时引入了映射策略,在虚拟机、物理内存之间,搭建起单点映射关系,访问环节虚拟层率先运作,实现对IP 地址的转化,确保其只能访问对应内存。I/O设备同样是UⅤP隔离环节,重要的关注对象包含磁盘、网卡等重要装置,安全架构设计时采用逻辑卷策略,以虚拟磁盘设备为中心,对应关联镜像文件[3],实现各对象之间的对应,确保I/O 路径相互隔离。
2.4 应用安全层
纵观已有的应用层安全事故,会发现其中大部分危害因素均来源于网络,有统计的数据中甚至可以达到70%,因此安全框架设计过程中,搭设了专用的WAF(Web Application Firewall,Web 应用防火墙)进行风险抵御,运行逻辑可见。该种防火墙的增设可以实现如下4 种功能:①Web 攻击过滤。可以识别几种常见的恶意攻击行为,比如SQL 注入、代码注入以及敏感文件获取等,主要通过参数、地址等关键信息的分析处理达成预期目标。②编码还原。内部装配了集成语义分析引擎,与原有的正则引擎搭配使用,可以实现高精度还原和识别,防止编码混合乱入。③恶意信誉库。这是一种基于已有经验设计的防范模块,通过云计算平台与全球情报库连接,收集了大量的恶意IP、恶意bot 等。④CC 攻击防护。该种攻击类型较为隐蔽,攻击者不直接执行DDoS 攻击,而是借助代理服务器实现伪装,一旦成功将会严重影响系统稳定性,因此安全层设计中,依托WAF 完善识别功能,可以对IP、cookie 文件开展标识处理,精准识别出超阈限访问节点,并阻断相关攻击行为。
2.5 数据安全层
2.5.1 访问隔离设计
近年来高新科技产业迅猛发展,数据、信息作为无形资产的地位得到加强稳固,云计算平台中,必须以机密性、完整性作为数据存储、交互衡量要点,以确保云安全体系切实有效。访问隔离设计是该体系的重要关卡,本系统中引入了IAM(Identity and Access Management,统一身份认证)技术进行优化,面向企业、个体租户提供服务,可以实现用户集中管理,安全凭证集中验证等功能,除用户账号注册外,还可以调整资源操作权限,从而降低系统防内压力,确保云计算平台安全性能。
2.5.2 传输通道设计
应用云计算平台开展业务处理工作时,经常会涉及到数据传输问题,为确保安全主要引入了ⅤPN 技术,可以以ⅤPC 为依托,与远端用户建立联系,与传统开放渠道相比,通信路径经过加密更加严谨安全,可以实现数据中心的无缝扩展。当系统中产生新的数据、信息,租户也可以借助该通道打包上传,启动额外服务器增强计算能力,降低泄露风险的同时保证使用性能。在通信协议上,使用了TLS(Transport Layer Security,传输层安全协议)技术与证书管理,一方面可以提供REST 网络,以RESTful 为依托,对目标API进行直接调用;另一方面开放Highway 通道,可以满足特殊场景下的使用需求,私密性、高效性更有保障。
2.5.3 存储安全设计
数据存储环节引进KMS(Key Management Service,密钥管理服务)技术,依托硬件安全模块进行密钥创建,避免出现密钥泄露等问题,密钥正式使用环节,所有操作均会被同步到日志板块,以便后期调取审计。对数据进行删改操作、销毁操作时,系统会事先处理前一阶段内存,通过写“零”操作防止有效信息泄露,对于已经废弃的数据,则开放安全删除功能,直接在磁盘中执行相关操作,消除数据恢复读取可能[4]。此外还搭配了自发加密功能,租户可以根据实际需求,对上云数据进行加密,若有丢弃需求直接销毁密钥即可,物理磁盘报废后,也会通过云平台消磁,并提醒租户折弯、破碎,以阻断所有可能的隐私泄露渠道。
2.6 运维安全层
2.6.1 安全日志设计
从云计算平台运行现状来看,会发现安全防护需求基本上是逐年增长的,各类攻击事件、泄露事件严重威胁着数据安全性,除了完善防护性能外,还应当做好日志记录,以防恶意篡改删除造成隐性数据资产损失。要结合需求划定云安全事件,包含系统入侵、基础设施受损、网络扫描窃听等,发现苗头后及时记录用户名、源头IP 地址、变更内容等,设置90 d 左右的开放查询事件,方便回溯和修补,日志内融入大数据技术,可以将异常状况生成可视化成果,辅助人工决策。
2.6.2 灾难恢复设计
云计算平台依托资源池完成业务计算和运行,节点宕机、损坏等均有可能影响架构运行质量,因此安全设计环节,还开辟了灾难恢复模块,异地数据中心之间相互联通,邻近节点互为灾备,当其中一点出现故障时,数据会自动拷贝、转移,所有传递操作依托高速光纤实现,以确保业务连续性。针对难以预见的自然灾害、重大灾难等,同样编制了系统的连续性计划,借助仿真平台模拟测试,将目标区域云平台转换为离线状态,模拟灾难并规定处理路线,测试过程、结果被系数记录下来,方便后续调取删改。
3 结论
综上所述,云计算技术具有覆盖范围广、计算能力强大等优势特征,应用于企业管理、信息传递时,可以显著减少硬件资源开销,保障资源池供应充足性,实践环节要正视其中存在的身份冒用、数据泄露、DDoS 攻击等风险,积极引入网络隔离技术,对数据中心、业务平面等关键区域进行分隔防护,同时关注主机层安全隐患,通过权限设置、映射关系搭建等确保CPU、I/O 设备的隔离,在应用层增加Web 攻击过滤、CC 防护攻击等功能,最大限度保障云计算平台应用安全性。