【摘要】在云存儲應(yīng)用中，安全虛擬化和安全網(wǎng)絡(luò)為云存儲服務(wù)提供了基本的保證。研究基于云計算的虛擬化安全和存儲網(wǎng)絡(luò)安全，目的在于基礎(chǔ)設(shè)施云服務(wù)中更加合理利用網(wǎng)絡(luò)與存儲資源，為云存儲的安全應(yīng)用提供參考和保障。

【關(guān)鍵詞】云存儲虛擬化網(wǎng)絡(luò)安全

一、引言

云存儲是以存儲設(shè)備為核心，通過應(yīng)用軟件對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問服務(wù)[1]。云存儲安全的關(guān)鍵技術(shù)研究中，又以虛擬化安全技術(shù)和存儲網(wǎng)絡(luò)的安全技術(shù)為研究核心之一。

二、云存儲技術(shù)之虛擬化的安全

虛擬化技術(shù)在邏輯上分離了物理設(shè)備與操作系統(tǒng)和應(yīng)用軟件，基于虛擬化的計算資源調(diào)配可使有限的硬件和軟件資源按需重新規(guī)劃分配，靈活擴展硬件容量，簡化軟件配置和資源的訪問與管理，提高硬件與軟件的綜合效率和應(yīng)用能力[2]。

基于虛擬化的云存儲應(yīng)用環(huán)境中，VM Hopping可以訪問被接入宿主機的存儲和內(nèi)存；VM Escape攻擊可獲得Hypervisor的訪問權(quán)限，從而對其他虛擬機進行攻擊[3]；通過管理平臺進行跨站腳本攻擊、SQL入侵；拒絕服務(wù)攻擊會獲取宿主機資源，造成系統(tǒng)拒絕客戶所有請求；Rootkit能夠獲得Hypervisor的管理員級訪問控制權(quán)，進而取得整個物理機器的控制權(quán)[4]；在虛擬機遷移過程中，隨著虛擬磁盤的重建，攻擊者可改變源配置文件和虛擬機特性[3]；虛擬機的鏡像安全漏洞、生命周期的復(fù)雜性和故障會導(dǎo)致其承載的數(shù)據(jù)和服務(wù)不可用和控制難度。

因此，可以將所有虛擬機全部安裝防毒軟件或殺毒軟件；提高容錯監(jiān)視服務(wù)器的利用率，避免服務(wù)器過載；在數(shù)據(jù)庫和應(yīng)用層之間設(shè)置防火墻，防止虛擬機溢出；使用可信平臺模塊；為虛擬服務(wù)器分配獨立硬盤分區(qū)，并使用VLAN技術(shù)和網(wǎng)段劃分，對虛擬服務(wù)器邏輯隔離；使用VPN在虛擬服務(wù)器間通信；按計劃備份，進行虛擬化的災(zāi)難恢復(fù)；監(jiān)測分析網(wǎng)絡(luò)流量確保存儲網(wǎng)絡(luò)安全運行；通過可信第三方機構(gòu)的安全認(rèn)證和監(jiān)管。

三、云存儲的安全網(wǎng)絡(luò)

云存儲服務(wù)的應(yīng)用中，其網(wǎng)絡(luò)防護不當(dāng)會導(dǎo)致用戶私密數(shù)據(jù)被非法訪問；云存儲網(wǎng)絡(luò)應(yīng)用在服務(wù)提供商的控制下，用戶無法通過網(wǎng)絡(luò)監(jiān)管自己的程序和數(shù)據(jù)的使用情況；網(wǎng)絡(luò)傳輸協(xié)議和數(shù)據(jù)移動過程容易被竊聽和分析；云存儲服務(wù)平臺中的軟硬件故障和其他災(zāi)難會導(dǎo)致服務(wù)的異常終止和數(shù)據(jù)丟失；云存儲集中存儲的大量數(shù)據(jù)容易引起攻擊者的注意；基于虛擬化技術(shù)的訪問控制、認(rèn)證和授權(quán)的實現(xiàn)更為困難；云存儲中大量廉價計算資源和數(shù)據(jù)資源可能成為攻擊者的工具。

由虛擬機監(jiān)控器實現(xiàn)基于存儲區(qū)域網(wǎng)絡(luò)及應(yīng)用層的域分割為尋址提供了邏輯隔離，可以在虛擬的網(wǎng)絡(luò)域執(zhí)行全面的狀態(tài)監(jiān)視以及其他網(wǎng)絡(luò)安全監(jiān)測；如能承擔(dān)足夠資源開銷，可由服務(wù)提供商完成網(wǎng)絡(luò)訪問控制和安全防火墻服務(wù)；使用SSL、IPSec、數(shù)字簽名等技術(shù)對傳輸中的數(shù)據(jù)進行有效加密；選擇使用安全傳輸協(xié)議；加強安全日志審計和應(yīng)用基于網(wǎng)絡(luò)的入侵檢測和防御系統(tǒng)；及時修補虛擬機實例配置和遷移中的管理漏洞和補丁；實現(xiàn)存儲網(wǎng)絡(luò)信任邊界的通信控制；限制訪問管理程序及其他虛擬化層面；阻止所有到虛擬服務(wù)器的端口；限制應(yīng)用程序棧功能，加固鏡像，限制主機所有攻擊面；防止未授權(quán)訪問；在鏡像中除解密文件系統(tǒng)的密鑰外，不包含其他身份認(rèn)證作證[5]；保護訪問主機私鑰，從數(shù)據(jù)所在的平臺中隔離密鑰；關(guān)閉不必要的服務(wù)。

四、結(jié)束語

隨著云服務(wù)層次的提高，基于云存儲的虛擬化安全技術(shù)與網(wǎng)絡(luò)存儲安全技術(shù)為云存儲的發(fā)展提供了有效的保障。研究可信的虛擬化云存儲將是提高云存儲服務(wù)的主要方向之一。

參考文獻

[1]黃曉云.基于HDFS的云存儲服務(wù)系統(tǒng)研究.大連海事大學(xué).碩士論文. 2010年6月

[2]黃振華.基于云計算的虛擬化存儲技術(shù)研究.硅谷. 2012年第20期. 24，71

[3]房晶等.云計算的虛擬化安全問題.電信科學(xué). 2012年第4期. 135-140

[4] Hanqian Wu，Yi Ding，Winer Chuck，et al.Network security for virtual machine in cloud computing.Proceedings of 5th International Conference on Computer，Sciences and Convergence Information Technology（ICCIT）. Seoul， Korea. 2010. 18-21

[5] Tim Mather，Subra Kumaraswamy，Shahed Lati. Cloud Security and Privacy.劉戈舟，楊澤明，劉寶旭譯.機械工業(yè)出版社. 2011年5月