栗強強

【摘要】云觀念下實施的現代IT技術，正以強健發(fā)展的態(tài)勢來滿足各行業(yè)需求，SaaS、PssS、IaaS三種云交付模型在使用過程中也會經受來自用戶的各種安全考驗。本文分析了云計算過程中產生的安全威脅，然后提出了相應的解決方案與策略。

【關鍵詞】云計算 安全威脅 方案與策略

虛擬化技術是云計算技術的核心組成部分，云計算的虛擬化不同于傳統(tǒng)的單一虛擬化，它是涵蓋整個IT架構，包括基礎資源、網絡、應用、桌面的全系統(tǒng)虛擬化，它將各種計算資源和存儲進行高效整合與利用，實現集中化管理[1]。通過虛擬化技術可以實現IT架構的動態(tài)變化，基礎設備、軟件應用和數據使用虛擬化可以實現隔離，打破硬件配置、軟件部署和數據分布的界限，能夠動態(tài)使用物理資源和虛擬資源，擴展系統(tǒng)應用需求，提高系統(tǒng)適應環(huán)境的能力。

雖然虛擬化與云計算打破了IT基礎資源與用戶之間的粘合性，但其共享的特性也給用戶帶來安全威脅，促使人們尤其關心安全問題。例如，云計算本身安不安全，怎樣獲得安全的云服務，云計算如何來改善安全，都已經成為云計算研究安全的熱點。

和云計算一樣，云安全也沒有統(tǒng)一規(guī)范的定義，總之，云安全就是確保用戶在穩(wěn)定和私密的情況下訪問云數據中心應用，且能夠保證用戶數據的完整性和機密性。

1. 云安全威脅

云服務的使用，需要用戶將應用軟件、數據遷移到云端，在這過程中安全問題尤為重要。認清頂級云安全威脅，是最小化云安全風險第一步。

1.1 數據泄露

云端面對的威脅與傳統(tǒng)企業(yè)網絡面對威脅相同，大量私有的數據存儲在云數據中心，云服務商變成了黑客下手的目標。受到攻擊之后的嚴重程度取決于泄露或丟失數據的敏感性，財務信息、商業(yè)機密、知識產權的泄露會更是對用戶造成毀滅性對的打擊。雖然云服務商會部署安全策略來防護云環(huán)境，但使用過程中，云安全防護的責任還是落在使用者一方。

1.2 盜用憑證和身份認證

身份認證不嚴格，使用弱密碼、密鑰或憑證管理松懈導致被黑或被利用，非法對網絡設備和IT基礎資源進行使用，擅自擴大使用權限，越權訪問信息，惡意刪除、修改和泄露數據會對云安全造成巨大威脅。例如，企業(yè)給予員工系統(tǒng)權限時，會忘記人員調動和離職需要將權限撤銷與調整，造成身份管理的混亂，加重云安全風險。采用多因子身份驗證系統(tǒng)，如一次性密碼，手機身份認證，智能卡，人臉識別等，可以有效保護云服務。

1.3 系統(tǒng)漏洞利用

應用軟件或系統(tǒng)在邏輯上存在缺陷和錯誤被入侵者利用，達到控制主機或破壞的目的。所有軟件和系統(tǒng)都存在漏洞，但隨著云端多用戶的出現，導致很多漏洞被發(fā)現，云安全問題隨之增大。企業(yè)中存在共享數據庫、存儲和其它基礎資源，使用情況復雜，漏洞的發(fā)現導致新的攻擊方式的出現。

1.4弱界面與API被黑

現行的每個云服務和云應用都提供API。軟件工程師使用界面和API進行云服務管理和互動，用戶可以使用界面和API進行服務的開通、配置、管理和檢測。APP用戶通過互聯網的身份認證、訪問控制、數據加密和行為監(jiān)測的安全依賴于API的安全。弱界面和API漏洞會使企業(yè)面臨的更多的安全問題，數據機密性、完整性和可靠性都會受到嚴重考驗。

1.5 DOS攻擊

拒絕服務攻擊，對服務系統(tǒng)不斷干擾，改變其正常工作流程或執(zhí)行無關程序，導致服務系統(tǒng)消耗大量的處理能力，拖慢響應速度甚至直接超時，最終影響合法用戶正常使用云資源。

云安全威脅涉及面廣，文章未提及的還包括賬戶劫持、企業(yè)內部人士惡心操作、APT寄生蟲、云服務濫用等方面。

2. 云安全防護策略

云安全防護策略涉及IT基礎設施安全、數據安全、應用安全以及虛擬化安全。本文著重介紹基礎設施安全。

2.1 基礎設施安全

云服務的底層是云基礎設施，它承載服務的應用和平臺，云服務的安全和可信才能確保云端用戶數據和應用的安全。

2.1.1 數據可控和數據隔離

對于云安全威脅中的數據泄露，主要解決方法就是數據隔離。通常有三種途徑：①讓用戶根據自己需求使用網絡安全策略。②云端用戶數據存儲采用虛擬設備，虛擬存儲設備位于大規(guī)模存儲陣列上，能夠底層進行數據隔離，保證用戶只能對應各自數據。③在數據中心使用虛擬化技術能夠更好的實現隔離，以及使用VMFS文件系統(tǒng)。

2.1.2 建立遠程管理機制

IaaS提供的資源在云數據中心，因此用戶需要遠程連接管理，最常見的遠程管理機制包括：①VPN：提供到IaaS的安全連接。②遠程桌面、遠程Shell：最常見就是使用SSh，避免直接Telnet。③web控制臺UI：云服務商提供用戶自定義遠程管理界面。

對應的安全策略包括：①使用多因子認證機制，或使用動態(tài)共享密鑰，或者縮短密鑰共享時間。②對多次使用的用戶名和密碼進行變更。③發(fā)現漏洞及時安裝補丁。④傳輸數據時應使用VPN，選用IPsec、SSLv3或TLSv1。

2.1.3 數據中心軟硬件部署與虛擬化廠商、使用技術的選擇

在數據中心部署軟硬件時，需要考慮品牌廠商。設備的選擇要要綜合考慮質量、擴展性、價格、可維護性等。選擇能夠支持云安全的設備廠商，定期更新補丁、巡檢，關注數據中心安全。使用成熟的虛擬化技術不但能夠預防云安全風險，而且能提升云端系統(tǒng)的安全性。

2.14 建立健全的IT行業(yè)規(guī)范

建立健全的法律準則和行業(yè)規(guī)范，對于IT人不道德的行為進行約束，從人為角度防止數據安全風險。云服務商應使用虛擬機漂移追蹤技術、基礎設施服務下數據獨特的加密技術，讓用戶可以追蹤自己的數據，感知數據底層存儲的安全。

3. 數據安全

數據安全和隱私保護是用戶最關心的安全服務。不管使用哪種云交付模型，用戶和云服務商都應該注意避免數據丟失和被竊。從數據安全生命周期和云應用數據流程綜合考慮，涉及數據傳輸安全、數據存儲安全、數據殘留等關鍵云安全防護技術。

4. 應用安全

保證云應用安全，要有措施防護終端客戶安全、SaaS應用安全、PaaS應用安全。例如，在云客戶端安裝反惡意軟件和殺毒軟件，開啟防火墻與防御功能;關注 SaaS服務商提供的身份認證和訪問控制功能，采取必要措施，保護在云中的數據，做到定期修改密碼不使用弱密碼等。

5. 結論

云計算就像互聯網浪潮中的巨艦，云安全就是巨艦的動力裝置，動力裝置強勢夠穩(wěn)定，巨艦才可以快速前行，勢如破竹，反之停止不前，被海浪吞噬。云計算、云安全需要各方做出努力，讓它給生活帶來便捷和安全。

參考文獻：

[1]冒海波.云環(huán)境下數據安全防護體系的研究與應用[D].江蘇：江蘇科技大學，2017