尹航

關鍵詞：云計算;IaaS;云安全

云計算從2008年至現(xiàn)在，經(jīng)歷了技術儲備期以及服務發(fā)展期，能夠為用戶提供更加便捷且低成本的服務。但在此發(fā)展過程中，安全問題成為了阻礙其發(fā)展的主要因素，且防護難度也在逐漸上升，不僅需要面對傳統(tǒng)網(wǎng)絡環(huán)境的威脅，同時還有本身虛擬技術、虛擬環(huán)境需要應對的威脅。除此之外，還有云計算存儲的數(shù)據(jù)信息安全問題等等。IaaS屬于云計算基礎服務模式，主要提供核心資源及虛擬核心資源，而如何有效保障其信息網(wǎng)絡安全防護將是一個不可忽視的重要問題。

1基本概述

1.1云計算

針對于云計算的定義多種多樣，目前接受度最廣的是美國標準與技術研究院所定義的，他們將其認為云計算屬于一種按使用量付費的模式，該種模式能夠提供便捷、可用、按需的網(wǎng)絡訪問，進入能夠配置的共享資源池，這些資源可以被快速提供，只需要與服務供應商進行少許的交互。云計算具有超大規(guī)模、虛擬化、通用性、擴展性、可靠性、按需自助服務、資源池化、潛在危險性等多種特征，屬于傳統(tǒng)計算機和網(wǎng)絡技術發(fā)展相互融合的產(chǎn)物。

1.2基礎設施即服務（Iaa8）

IaaS指的是網(wǎng)絡用戶從云計算中心獲取計算機基礎設施服務（虛擬主機、存儲服務等）實現(xiàn)計算。IaaS云計算的原理主要是指廣大用戶采用Wcb服務的方式提供交互接口，按照用戶的不同需求通過管理平臺分配合適資源，提供可使用的服務目錄，同時進行監(jiān)視統(tǒng)計。構建一個面向公眾用戶的laas不但要采用Web技術，同時還需要應用虛擬化技術，如服務器虛擬化技術、管理虛擬化平臺、存儲虛擬化技術等。其中服務器虛擬化技術是指在一臺物理服務器上運行多臺虛擬服務器的技術，不論是從操作系統(tǒng)還是應用軟件，都與物理服務器十分類似。

2常見的安全威脅

2.1傳統(tǒng)安全威脅

laaS信息網(wǎng)絡安全主要作用在于保障各設備所承載的業(yè)務及虛擬化核心資源。目前，Iaas所面臨的傳統(tǒng)威脅常見的有以下幾種，例如惡意掃描、非法入侵、DDos攻擊、網(wǎng)絡資源擁堵、網(wǎng)絡設備單點故障、操作系統(tǒng)漏洞、身份驗證問題等。其中DDoS攻擊即是分布式拒絕服務攻擊，DDOS攻擊的方法并不單一，常見的DDOS攻擊就是通過合理的服務請求來占據(jù)服務資源，導致網(wǎng)絡癱瘓，最后致使正常用戶難以獲取服務響應。DDOS攻擊的特征就是它屬于分布式的，與點對點攻擊方式不同，攻擊模式無規(guī)律可循，且在協(xié)議和服務的區(qū)分上具有較大難度。在云計算IaaS平臺中，常見的DDoS攻擊方式是將病毒植入內服務器中，由內至外進行攻擊，最后導致云計算服務出現(xiàn)中斷。

2.2虛擬化層安全威脅

和以往的計算系統(tǒng)相對比，云計算系統(tǒng)添加了一層虛擬化的計算資源、網(wǎng)絡資源及存儲資源。對于虛擬化層所面臨的常見安全威脅如下，如虛擬機非法數(shù)據(jù)訪問;攻擊會在各虛擬機之間逐漸擴大范圍;竊取其他虛擬機的數(shù)據(jù)資源;來源于網(wǎng)絡對虛擬監(jiān)控的攻擊，竊取數(shù)據(jù);惡意擠占服務器資源等。

3 IaaS安全關鍵防護技術

針對于laaS的安全防護問題，應該重點提高軟、硬安全池的建設，同時完善云計算網(wǎng)絡配置。以下將主要分析IaaS云計算安全防護的幾種常見技術。

3.1防火墻技術

防火墻屬于保障網(wǎng)絡安全的基礎設施，是位于內網(wǎng)及外網(wǎng)的一道安全屏障，是各個網(wǎng)絡安全域間通信流的僅有通道，按照設置好的規(guī)則來控制異常網(wǎng)絡行為，主要目的是預防非法用戶的進入。傳統(tǒng)防火墻分為兩種，一種是包過濾型，另一種是代理型。以往的防火墻僅僅只是對網(wǎng)絡周邊提供保護服務，若面對網(wǎng)絡內部的攻擊根本就無法起到保護的作用，但目前的分布式防火墻則可以解決該問題。分布式防火墻以網(wǎng)絡安全防護軟件為基礎，主要應用于企業(yè)內部中，而IaaS云計算平臺在網(wǎng)絡架構建設中，通過科學部署防火墻進行整體防護，同時針對個體設備需求進行個性防護，實現(xiàn)網(wǎng)絡安全域隔離。

3.2防病毒技術

現(xiàn)如今，新型病毒多種多樣，在基于該種情況下，進行有效的防病毒技術十分必要，例如可以在laaS云計算系統(tǒng)中采取防病毒軟件、或者是在虛擬機中安裝殺毒軟件等，都是保障信息安全不可缺少的步驟。

3.3 IPS技術

IPS也被稱為入侵防御系統(tǒng)，屬于在防火墻以及防病毒系統(tǒng)基礎上的二級防護，入侵防御系統(tǒng)可以對網(wǎng)絡設備的傳輸行為進行實時監(jiān)測。在IaaS云計算系統(tǒng)中應該按照業(yè)務需求針對性的部署業(yè)務節(jié)點。

3.4 WAF技術

WAF為wcb應用防護系統(tǒng)，該技術可以有效防御Wcb常見攻擊，如XSS跨站腳本、非授權訪問、SQL注入等，同時還能夠預防Wcb各類應用層攻擊，保障Wcb服務交互接口安全。

3.5 VLAN技術

VLAN技術是保障laaS云計算信息安全中的一個重要技術，通過對laaS云計算系統(tǒng)的安全領域進行劃分，能夠避免網(wǎng)絡資源堵塞，對于虛擬機之間的異常數(shù)據(jù)訪問等這些新型的潛在威脅都能有效防范。

3.6其他防范技術

部署網(wǎng)絡冗余設備可以有效防范云計算系統(tǒng)基礎網(wǎng)絡的單點故障;部署操作系統(tǒng)的安全加固產(chǎn)品，對身份認證技術、權限管理、安全卑職給予加固;對虛擬監(jiān)控機的補丁進行升級管理;加強虛揮機管理員的系統(tǒng)權限管理和審計。

4結束語

綜上所述，伴隨著云計算的應用于推廣，本文通過對云計算機及Iaas進行了概論簡述，同時針對于laaS所面臨常見的幾種潛在威脅進行了分析，提出了幾種laaS安全關鍵防護技術，目前，云計算的服務模式依然在不斷發(fā)展，Iaas的相關防護工作應該與時俱進。