李亮

摘? 要：云計(jì)算在各行各業(yè)的應(yīng)用中極為廣泛，也為各個行業(yè)的發(fā)展做出巨大的貢獻(xiàn)，而在其使用的過程中，卻存在一定的安全問題，影響到云計(jì)算中IaaS的正常使用，例如，存儲、主機(jī)、網(wǎng)絡(luò)等方面的安全問題，對用戶的影響頗大，對此，需不斷改進(jìn)和完善云技術(shù)。該文主要對云計(jì)算中IaaS的安全問題及應(yīng)對策略進(jìn)行分析。

關(guān)鍵詞：云計(jì)算? IaaS? 安全問題? 應(yīng)對策略

中圖分類號：TN918? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1672-3791（2019）04（a）-0007-02

近些年來，云計(jì)算逐漸普及，而且在云技術(shù)基礎(chǔ)上也興起了很多的公司，更給人們的生活、工作以及生產(chǎn)帶來極大的便利性，云計(jì)算的普及更是時代進(jìn)步最為突出的一個階段。雖然云計(jì)算給人們的生活以及生產(chǎn)等帶來極大的便利性，但同時在其運(yùn)行中也存在一定的弊端，主要體現(xiàn)在安全問題上，很容易造成用戶數(shù)據(jù)泄漏、丟失、篡改等問題，造成嚴(yán)重的負(fù)面影響，而筆者將結(jié)合自身對云計(jì)算中IaaS安全問題的認(rèn)知，提出幾方面改進(jìn)策略，希望可以為技術(shù)人員提供一定的幫助。

1? laaS概述

IaaS英文全稱Infrastructure as a ServIce，是一種來源于云計(jì)算的一種服務(wù)模型。從云計(jì)算的運(yùn)用情況分析，并沒有對云計(jì)算做出統(tǒng)一的標(biāo)準(zhǔn)定義，云計(jì)算在不同企業(yè)以及不同專家的眼里都有著自己的定義。從廣義和狹義兩種角度對云計(jì)算進(jìn)行分析，云計(jì)算在狹義的角度上分析，主要指的IT基礎(chǔ)設(shè)施的交付以及相關(guān)的使用模式，并通過網(wǎng)絡(luò)的方式以按需、易擴(kuò)展等方式獲取所需要的資源，其中包括平臺、硬件、軟件等。而從廣義的角度上分析，云計(jì)算主要指的是服務(wù)的交付和使用模式，同樣是以網(wǎng)絡(luò)為基礎(chǔ)以按需、易擴(kuò)展的方式獲取相關(guān)的服務(wù)，結(jié)合不同行業(yè)不同企業(yè)的使用要求，可以采用不同的用法。通常IaaS主要分為公有云、私有云、混合云3種用法，在IaaS使用的過程中也存在一些安全漏洞，而這些也將成為云計(jì)算中IaaS使用要重點(diǎn)考慮的焦點(diǎn)。需要結(jié)合實(shí)際情況選用IaaS的用法，并制定較為完善的安全對策，將IaaS的作用充分發(fā)揮出來，為人們提供更優(yōu)質(zhì)的服務(wù)。

2? 云計(jì)算中的IaaS的安全問題分析

2.1 存儲安全問題

云計(jì)算中IaaS的使用主要面臨著虛擬化存儲安全問題，在大量的實(shí)踐研究中，也發(fā)現(xiàn)云計(jì)算機(jī)中IaaS使用過程中存在一些虛擬化存儲安全問題。例如，在未經(jīng)過授權(quán)的情況下進(jìn)行數(shù)據(jù)訪問的現(xiàn)象。虛擬化存儲主要是通過一個物理存儲設(shè)備實(shí)現(xiàn)多個用戶的虛擬化存儲要求，也可以將其比作一個集中管理的系統(tǒng)。根據(jù)用戶之間使用的差異性以及安全等級的不同，會將一些用戶分配到同一個物理存儲設(shè)備上，這就導(dǎo)致在用戶未授權(quán)的情況下存在虛擬機(jī)訪問數(shù)據(jù)的情況，進(jìn)而造成存儲數(shù)據(jù)泄漏或丟失等現(xiàn)象。其他存儲數(shù)據(jù)泄漏問題。用戶在使用虛擬存儲空間的過程中，根據(jù)用戶的需求而租用虛擬存儲空間，在用戶租期到后這部分的物理儲存空間將會被釋放并給其他用戶繼續(xù)使用。而在空間釋放的過程中，如果原用戶的數(shù)據(jù)并未被完全刪除，則會出現(xiàn)新用戶會讀取到原用戶的數(shù)據(jù)，造成數(shù)據(jù)泄漏的問題。如果是殘留一些機(jī)密信息文件等，所造成的后果不堪設(shè)想，將會給用戶帶來極大的損失。

2.2 主機(jī)安全問題

主機(jī)是云計(jì)算機(jī)中IaaS的核心，主機(jī)的安全性倍受關(guān)注。在大量的實(shí)踐分析中發(fā)現(xiàn)，IaaS運(yùn)行過程中虛擬主機(jī)存在一定安全風(fēng)險，如控制不得當(dāng)很容易引發(fā)更為嚴(yán)重的問題。以下主要對IaaS的主機(jī)幾方面安全問題進(jìn)行具體分析：虛擬機(jī)隔離失敗的現(xiàn)象，經(jīng)常會出現(xiàn)一臺虛擬機(jī)通過訪問去控制另一臺虛擬機(jī)，或是具備讀取、分配給其他虛擬機(jī)內(nèi)存的權(quán)限，造成虛擬機(jī)的權(quán)限較為混亂，更不利于IaaS穩(wěn)定運(yùn)行。通常虛擬機(jī)與宿主機(jī)是共享資源的，而在一些特定的情況下，如虛擬機(jī)強(qiáng)制占用過多的資源，這時就會出現(xiàn)其他虛擬機(jī)拒絕服務(wù)的情況，進(jìn)而影響到IaaS的穩(wěn)定運(yùn)行，也影響到云計(jì)算的正常功能。此外，IaaS運(yùn)行過程中還存在虛擬機(jī)系統(tǒng)模板被篡改的情況，尤其是存在一些被惡意篡改的現(xiàn)象，其主機(jī)下所派生的虛擬機(jī)也會受到不同程度的影響，進(jìn)而造成整個云計(jì)算系統(tǒng)運(yùn)行中出現(xiàn)較大的安全漏洞，甚至還會受到黑客的攻擊，會利用虛擬機(jī)入侵宿主機(jī)的情況，更為嚴(yán)重的可能會控制宿主機(jī)，進(jìn)而對派生的虛擬機(jī)造成嚴(yán)重的影響，后果非常嚴(yán)重。

2.3 網(wǎng)絡(luò)安全問題

云計(jì)算中IaaS的使用中，網(wǎng)絡(luò)是虛擬機(jī)運(yùn)行必不可少的因素，更是保證主機(jī)以及虛擬機(jī)等相互通信的主要通道。在科學(xué)技術(shù)飛速發(fā)展中，云計(jì)算技術(shù)的發(fā)展也極為迅速，但同時網(wǎng)絡(luò)黑客的攻擊水平也在提升，可通過網(wǎng)絡(luò)實(shí)現(xiàn)對主機(jī)或虛擬機(jī)進(jìn)行攻擊，進(jìn)而影響到虛擬化網(wǎng)絡(luò)的正常使用，而其中潛在的風(fēng)險也會威脅到虛擬機(jī)以及主機(jī)的正常使用。另外，在對網(wǎng)絡(luò)流量控制不合理的情況下，也會直接影響到虛擬化網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，不能全面掌控網(wǎng)絡(luò)的運(yùn)行狀態(tài)，致使無法對其中潛在的風(fēng)險隱患采取處理措施。

3? 云計(jì)算中IaaS安全問題的應(yīng)對策略分析

3.1 虛擬存儲安全問題的應(yīng)對策略

通過以上的分析以及大量的實(shí)踐研究中了解到，云計(jì)算中IaaS使用的過程中存在虛擬存儲安全問題，直接影響到用戶數(shù)據(jù)的安全性，甚至?xí)斐纱罅繑?shù)據(jù)出現(xiàn)泄漏、被篡改等現(xiàn)象。對此，需要結(jié)合云計(jì)算中IaaS的實(shí)際使用情況，采取有效的應(yīng)對策略，確保計(jì)算機(jī)中IaaS使用時虛擬存儲的安全性、可靠性，為用戶提供更全面的體驗(yàn)。首先，應(yīng)運(yùn)用技術(shù)實(shí)現(xiàn)存儲區(qū)域分離，主要按照存儲區(qū)域的數(shù)據(jù)情況進(jìn)行分離，如數(shù)據(jù)的作用、重要性等，并將其作為分離技術(shù)將存儲區(qū)域劃分為基礎(chǔ)區(qū)域、公共區(qū)域、專用區(qū)域等幾個存儲區(qū)域，滿足用戶的不同存儲需求。同時，應(yīng)對虛擬機(jī)的權(quán)限進(jìn)行調(diào)整，禁止在虛擬機(jī)直接通過IO操作訪問未授權(quán)的存儲區(qū)域，避免用戶數(shù)據(jù)泄漏，保證用戶數(shù)據(jù)存儲的安全性、可靠性。其次，做好數(shù)據(jù)清除工作。主要體現(xiàn)在租戶存儲空間回收的環(huán)節(jié)，在回收一些租戶存儲空間的過程中，應(yīng)保證存儲空間釋放的完全性，徹底清除原租戶的數(shù)據(jù)，并保證原租戶數(shù)據(jù)不能恢復(fù)，避免出現(xiàn)原租戶信息數(shù)據(jù)丟失的現(xiàn)象。再次，應(yīng)做好虛擬機(jī)徑向校驗(yàn)的工作，尤其是在虛擬機(jī)運(yùn)行的過程中，應(yīng)對其完整性進(jìn)行校驗(yàn)，避免虛擬機(jī)在運(yùn)行的過程中受到而已篡改的現(xiàn)象，確保虛擬機(jī)的正常使用。最后，在虛擬存儲安全方面，應(yīng)通過運(yùn)用數(shù)據(jù)加密技術(shù)的方式對數(shù)據(jù)實(shí)施加密保存，在進(jìn)行數(shù)據(jù)訪問的過程中，需要具備相應(yīng)的密鑰才可進(jìn)行訪問，進(jìn)一步保證數(shù)據(jù)存儲的安全性、可靠性，有效規(guī)避虛擬存儲安全問題。

3.2 虛擬主機(jī)安全問題的應(yīng)對策略

云計(jì)算中IaaS運(yùn)行應(yīng)保證其運(yùn)行的安全性、可靠性，才能為用戶提供更全面的云體驗(yàn)，尤其是主機(jī)的安全性直接影響到派生虛擬機(jī)的使用安全性，因此，應(yīng)通過有效的措施保證虛擬主機(jī)的安全性。首先，應(yīng)做好內(nèi)存隔離，針對不同虛擬機(jī)采取內(nèi)存隔離措施，主要通過內(nèi)存虛擬化技術(shù)來完成不同虛擬機(jī)之間的內(nèi)存隔離，可有效避免虛擬機(jī)對主機(jī)的影響。另外，應(yīng)通過IO操作實(shí)現(xiàn)磁盤隔離，確保每個虛擬機(jī)在使用的過程中僅能訪問到該虛擬機(jī)分配的物理磁盤，實(shí)現(xiàn)從硬盤的隔離。其次，應(yīng)通過用戶數(shù)據(jù)的隔離確保主機(jī)運(yùn)行的安全性。采用IO操作，并由HypervIsor截獲并對IO操作進(jìn)行處理，通過核實(shí)用戶訪問權(quán)限，確保沒有訪問全新的用戶不能訪問相關(guān)數(shù)據(jù)，僅能訪問自己領(lǐng)域下的磁盤空間，確保虛擬機(jī)之間的硬盤隔離。再次，應(yīng)實(shí)施網(wǎng)絡(luò)隔離，針對同一物理主機(jī)上派生的所有虛擬機(jī)之間的通信進(jìn)行隔離，利用HypervIsor提供虛擬防火墻，確保2臺虛擬機(jī)不會處在同一VIAN，確保虛擬機(jī)之間通信隔離的有效性，避免對主機(jī)的影響。最后，應(yīng)加強(qiáng)對主機(jī)運(yùn)行操作審計(jì)工作。從就某個角度上分析，在主機(jī)運(yùn)行操作中管理員應(yīng)建立審計(jì)員的角色，并針對主機(jī)中所運(yùn)行操作的日志進(jìn)行全面的分析，并就虛擬機(jī)的管理員登錄以及相關(guān)操作和使用系統(tǒng)命令等操作進(jìn)行全面的審計(jì)，及時發(fā)現(xiàn)操作中的問題，以便于采取針對性的處理措施，同時也能從操作的審計(jì)中了解到主機(jī)的運(yùn)行狀態(tài)，以便于及時發(fā)現(xiàn)潛藏的風(fēng)險因素，進(jìn)而保證虛擬主機(jī)運(yùn)行的安全性。

3.3 虛擬網(wǎng)絡(luò)安全問題的應(yīng)對策略

結(jié)合以上的分析，針對虛擬網(wǎng)絡(luò)安全問題主要提出幾方面的應(yīng)對策略。首先，應(yīng)加強(qiáng)對端口的控制，如，對虛擬交換機(jī)的虛擬端口進(jìn)行限速，并通過設(shè)置參數(shù)的方式控制網(wǎng)絡(luò)帶寬、峰值帶寬等，實(shí)現(xiàn)對虛擬端口級別以及流量的全面控制，同時應(yīng)對虛擬機(jī)的網(wǎng)絡(luò)通信進(jìn)行控制，禁止虛擬機(jī)端口進(jìn)行網(wǎng)絡(luò)通信嗅探，避免影響到網(wǎng)絡(luò)運(yùn)行的安全性?？赏ㄟ^端口隔離、端口綁定等方式進(jìn)行控制。其次，應(yīng)強(qiáng)化虛擬防火墻的運(yùn)行水平，根據(jù)IaaS實(shí)際運(yùn)行情況，構(gòu)建虛擬防火墻，并通過防火墻實(shí)現(xiàn)對網(wǎng)絡(luò)訪問進(jìn)行控制。最后，應(yīng)做好網(wǎng)絡(luò)安全預(yù)警策略，一旦系統(tǒng)檢測到攻擊，則立即實(shí)施清洗功能，及時消除攻擊風(fēng)險，確保云計(jì)算平臺運(yùn)行的安全性、穩(wěn)定性。

4? 結(jié)語

綜上所述，在科學(xué)技術(shù)飛速發(fā)展中，云計(jì)算機(jī)技術(shù)的發(fā)展也極為迅速，并被廣泛應(yīng)用到各個行業(yè)的發(fā)展中，對推動行業(yè)的發(fā)展以及進(jìn)步有著極大的作用。當(dāng)然，在對云計(jì)算中IaaS的運(yùn)行情況分析，其中依舊存在一定的安全問題，影響到云計(jì)算系統(tǒng)的穩(wěn)定運(yùn)行。在該文的研究中，主要對云計(jì)算中IaaS安全問題進(jìn)行剖析，同時結(jié)合具體問題提出幾方面應(yīng)對策略，希望可以為相關(guān)技術(shù)人員提供一定的幫助，確保云計(jì)算中IaaS的安全性、穩(wěn)定性，為用戶提供安全、優(yōu)質(zhì)的服務(wù)環(huán)境。

參考文獻(xiàn)

[1] 李斌，李啟明.云計(jì)算中數(shù)據(jù)存儲安全的變色龍Hash認(rèn)證樹優(yōu)化審計(jì)[J].微電子學(xué)與計(jì)算機(jī)，2018，35（6）：1-6.

[2] 梁琦.云計(jì)算中使用容器技術(shù)的信息安全風(fēng)險與對策分析[J].信息通信，2018（4）：192-193.

[3] 趙炎.IaaS性能隔離性測試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].中國科學(xué)技術(shù)大學(xué)，2016.

[4] 晏裕生.基于等級保護(hù)的云計(jì)算IaaS安全評估研究[D].北京交通大學(xué)，2016.

[5] 朱昭萌.IaaS環(huán)境中科學(xué)工作流關(guān)鍵技術(shù)研究[D].南京理工大學(xué)，2016.

[6] 呂曉鵬.IaaS云平臺Web負(fù)載測試框架的研究與應(yīng)用[D].中國科學(xué)院大學(xué)工程管理與信息技術(shù)學(xué)院，2015.