◆莫懷海

（國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心 廣東 510665）

0 引言

在云計(jì)算市場和技術(shù)高速增長過程中，云安全的防護(hù)難度急劇上升，除了要面對傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境的各種威脅，還面對云計(jì)算虛擬技術(shù)及虛擬環(huán)境需要應(yīng)對的威脅。此外，還要保障云計(jì)算和云數(shù)據(jù)存儲(chǔ)的信息安全。IaaS作為云計(jì)算基礎(chǔ)的服務(wù)模式，在云計(jì)算服務(wù)平臺(tái)中提供核心資源和虛擬核心資源的基礎(chǔ)設(shè)施服務(wù)，其信息網(wǎng)絡(luò)安全的防護(hù)問題對我們來說是一個(gè)嚴(yán)峻的挑戰(zhàn)。

1 云計(jì)算與IaaS

1.1 云計(jì)算

云計(jì)算是基于公開的標(biāo)準(zhǔn)和服務(wù)，將計(jì)算任務(wù)分布在大量計(jì)算機(jī)組成的資源池上,通過互聯(lián)網(wǎng)按需給各種應(yīng)用提供動(dòng)態(tài)可伸縮的計(jì)算能力、數(shù)據(jù)存儲(chǔ)能力以及信息服務(wù)。云計(jì)算能夠利用分布式計(jì)算和虛擬資源管理等技術(shù)，通過網(wǎng)絡(luò)將分散的信息資源集中起來形成共享的資源池，并以動(dòng)態(tài)按需和可度量的方式向用戶提供服務(wù)，是分布式計(jì)算、互聯(lián)網(wǎng)技術(shù)、大規(guī)模資源管理等技術(shù)的融合與發(fā)展[1]。云計(jì)算的核心理念是資源池，具有規(guī)模大、通用性強(qiáng)、虛擬化、高可靠性、快速便捷性、高伸縮性、資源按需分配等特點(diǎn)。

云計(jì)算有三種層次的服務(wù)模式，即 IaaS：Infrastructure as a Service(基礎(chǔ)設(shè)施即服務(wù))、PaaS: Platformas a Service(平臺(tái)即服務(wù))、SaaS: Software as a Service(軟件即服務(wù))。

1.2 IaaS

IaaS（基礎(chǔ)設(shè)施即服務(wù)），指的是用戶通過互聯(lián)網(wǎng)從云計(jì)算中心獲得虛擬主機(jī)、存儲(chǔ)服務(wù)、網(wǎng)絡(luò)服務(wù)等計(jì)算機(jī)基礎(chǔ)設(shè)施服務(wù)實(shí)現(xiàn)計(jì)算，即服務(wù)、存儲(chǔ)即服務(wù)、網(wǎng)絡(luò)即服務(wù)。IaaS云計(jì)算實(shí)現(xiàn)機(jī)制是指用戶使用 Web服務(wù)的方式提供交互接口，根據(jù)用戶的需求通過管理平臺(tái)分配恰當(dāng)?shù)馁Y源，提供可使用的服務(wù)目錄，并進(jìn)行相應(yīng)的監(jiān)視和統(tǒng)計(jì)。

IaaS關(guān)鍵支撐技術(shù)有：服務(wù)器虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化以及云管理平臺(tái)。

（1）服務(wù)器虛擬化

服務(wù)器虛擬化把服務(wù)器的CPU、內(nèi)存、存儲(chǔ)、I/O（網(wǎng)卡）等物理資源抽象成邏輯資源，將物理服務(wù)器群組構(gòu)建成虛擬化資源方式，使服務(wù)器資源使用不再受限于物理的界限。

（2）存儲(chǔ)虛擬化

存儲(chǔ)虛擬化將各個(gè)分散的存儲(chǔ)系統(tǒng)進(jìn)行整合和統(tǒng)一管理，并提供了方便用戶調(diào)用資源的接口，構(gòu)建具有統(tǒng)一邏輯視圖的存儲(chǔ)資源池供用戶按需使用[2]。

（3）網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)虛擬化使用虛擬交換機(jī)、路由器等網(wǎng)絡(luò)虛擬化技術(shù)構(gòu)建虛擬的網(wǎng)絡(luò)，以便為云計(jì)算平臺(tái)上的每臺(tái)虛擬服務(wù)器使用專門指定的虛擬網(wǎng)絡(luò)設(shè)備和虛擬網(wǎng)絡(luò)進(jìn)行通信。

（4）云管理平臺(tái)

云計(jì)算管理平臺(tái)是指資源池的智能化管理平臺(tái)，將所有的虛擬硬件實(shí)現(xiàn)安全可靠的資源池化統(tǒng)一管理。

2 IaaS面臨的主要安全威脅術(shù)

IaaS信息網(wǎng)絡(luò)安全主要保護(hù)各級(jí)交換機(jī)、路由器、防火墻、周邊網(wǎng)絡(luò)設(shè)備、服務(wù)器、服務(wù)器上承載的業(yè)務(wù)以及虛擬化的計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)資源組成的核心資源。

2.1 傳統(tǒng)的安全威脅

IaaS平臺(tái)下的防火墻、交換機(jī)、路由器、VPN以及周邊網(wǎng)絡(luò)設(shè)備、服務(wù)器等基礎(chǔ)架構(gòu)資源存在傳統(tǒng)的網(wǎng)絡(luò)安全威脅，代表性的有：

（1）惡意掃描

外部攻擊者通過 IP及其端口惡意掃描網(wǎng)絡(luò)和服務(wù)器設(shè)備，意圖通過服務(wù)漏洞等方式入侵設(shè)備。

（2）非法入侵

外部針對服務(wù)器、網(wǎng)絡(luò)設(shè)備等非法的攻擊，主要攻擊方式有：暴力破解root、web、mail、ftp、ssh等賬號(hào)的密碼；利用操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)等漏洞進(jìn)行入侵。

（3）DDoS攻擊

DoS攻擊即拒絕服務(wù)服務(wù)攻擊，利用網(wǎng)絡(luò)協(xié)議棧、操作系統(tǒng)及應(yīng)用的漏洞對計(jì)算機(jī)發(fā)起攻擊，造成目標(biāo)網(wǎng)絡(luò)以及計(jì)算機(jī)無法提供正常的服務(wù)或資源訪問。DDoS即分布式拒絕服務(wù)，是指集群多個(gè)計(jì)算機(jī)作為攻擊平臺(tái)，對目標(biāo)發(fā)動(dòng)DoS攻擊，這樣可成倍的提高DoS攻擊威力。

云計(jì)算IaaS平臺(tái)DDoS攻擊常見形式是內(nèi)部的服務(wù)器、網(wǎng)絡(luò)資源被植入木馬病毒，成為“肉雞”，被控制而由內(nèi)往外進(jìn)行DDoS攻擊，嚴(yán)重影響云計(jì)算系統(tǒng)資源，影響上行帶寬，導(dǎo)致云計(jì)算服務(wù)中斷。

（4）網(wǎng)絡(luò)資源擁堵

由于網(wǎng)絡(luò)設(shè)計(jì)不合理、網(wǎng)絡(luò)邊界不清晰、未合理劃分安全域、網(wǎng)絡(luò)安全配置不當(dāng)，云計(jì)算系統(tǒng)可能由于單一業(yè)務(wù)運(yùn)行獨(dú)占資源而導(dǎo)致計(jì)算機(jī)和網(wǎng)絡(luò)資源被占滿，從而整個(gè)系統(tǒng)性能嚴(yán)重下降。

（5）網(wǎng)絡(luò)設(shè)備單點(diǎn)故障

基礎(chǔ)的網(wǎng)絡(luò)設(shè)備未做冗余部署，單點(diǎn)網(wǎng)絡(luò)設(shè)備發(fā)生故障，造成云計(jì)算核心資源對外服務(wù)中止。

（6）操作系統(tǒng)漏洞、身份驗(yàn)證及訪問控制機(jī)制問題

操作系統(tǒng)本身漏洞、身份驗(yàn)證以及訪問控制等問題會(huì)造成主機(jī)層出現(xiàn)一些常見安全問題。

2.2 虛擬化層安全威脅

與傳統(tǒng)的計(jì)算系統(tǒng)比較，云計(jì)算系統(tǒng)在操作系統(tǒng)和平臺(tái)上增加了一層軟件（管理模塊或虛擬機(jī)監(jiān)控器），即增加了一層虛擬化的計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)資源。虛擬化層受到的安全威脅主要有：

（1）虛擬機(jī)之間的非法數(shù)據(jù)訪問；

（2）攻擊在虛擬機(jī)之間的擴(kuò)大蔓延；

（3）虛擬機(jī)竊聽竊取其他虛擬機(jī)的數(shù)據(jù)資源；

（4）虛擬機(jī)監(jiān)控器面臨監(jiān)控器后門及惡意代碼攻擊等來自自身的威脅；

（5）來自網(wǎng)絡(luò)對虛擬機(jī)監(jiān)控器的DDoS攻擊；（6）虛擬機(jī)入侵虛擬機(jī)監(jiān)控器后，竊取其他虛擬機(jī)數(shù)據(jù)；（7）惡意虛擬機(jī)擠占服務(wù)器資源以及對其他虛擬機(jī)發(fā)動(dòng)非法入侵；

（8）針對虛擬機(jī)上部署的操作系統(tǒng)的安全攻擊。

3 IaaS安全關(guān)鍵防護(hù)技術(shù)措施

針對 IaaS的安全威脅，需要加強(qiáng)硬安全池和軟安全池的安全建設(shè)，并優(yōu)化云計(jì)算系統(tǒng)及網(wǎng)絡(luò)的配置，下面分析IaaS云計(jì)算安全防護(hù)的關(guān)鍵技術(shù)以及措施。

3.1 防火墻技術(shù)

防火墻是一種高級(jí)訪問控制設(shè)備，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，其根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為，是保護(hù)網(wǎng)絡(luò)安全的基礎(chǔ)性設(shè)施。

傳統(tǒng)防火墻可分為包過濾型和代理型。傳統(tǒng)的防火墻只能對網(wǎng)絡(luò)周邊提供保護(hù)，而對網(wǎng)絡(luò)內(nèi)部的攻擊無能為力，分布式防火墻則能夠解決這一問題。分布式防火墻駐留在網(wǎng)絡(luò)主機(jī)并對主機(jī)系統(tǒng)進(jìn)行安全防護(hù)，它以網(wǎng)絡(luò)安全防護(hù)軟件為基礎(chǔ)，主要供企業(yè)或者單位內(nèi)部使用，包括網(wǎng)絡(luò)防火墻和主機(jī)防火墻兩大類[3]。

IaaS云計(jì)算平臺(tái)應(yīng)在網(wǎng)絡(luò)架構(gòu)建設(shè)中合理部署防火墻進(jìn)行整體防護(hù)，并針對個(gè)體設(shè)備需求部署分布式防火墻進(jìn)行個(gè)性防護(hù)。虛擬化設(shè)備應(yīng)同時(shí)考慮部署虛擬化分布式防火墻，合理部署分布式防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)安全域隔離。

3.2 防病毒技術(shù)

在新型及變種病毒層出不窮的背景下, 在 IaaS云計(jì)算系統(tǒng)中部署防病毒墻、防病毒軟件，以及在虛擬機(jī)上安裝殺毒軟件進(jìn)行病毒檢測和病毒查殺，是云計(jì)算信息安全防御的必要手段。

3.3 IPS技術(shù)

IPS（Intrusion Prevention System，入侵防御系統(tǒng)）是網(wǎng)絡(luò)設(shè)備架構(gòu)中對防火墻和防病毒系統(tǒng)的補(bǔ)充，IPS可提供OSI模型第二至第七層全面的防御能力，能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為。

IPS在IaaS云計(jì)算系統(tǒng)中應(yīng)根據(jù)業(yè)務(wù)需求部署在網(wǎng)絡(luò)核心、核心業(yè)務(wù)子網(wǎng)、DMZ、網(wǎng)絡(luò)邊界、外聯(lián)網(wǎng)等業(yè)務(wù)節(jié)點(diǎn)。

3.4 WAF技術(shù)

WAF (Web Application Firewall，Web應(yīng)用防護(hù)系統(tǒng)）在OSI模型應(yīng)用層能解析HTTP請求，進(jìn)行規(guī)則檢測，做出相應(yīng)的防御動(dòng)作，并將防御過程記錄下，WAF技術(shù)可有效防御SQL注入、XSS跨站腳本、后門上傳、非授權(quán)訪問等各種常見Web攻擊，并且可以有效防止Web各類應(yīng)用層攻擊，保證云計(jì)算Web服務(wù)交互接口的安全。

3.5 VLAN技術(shù)

VLAN虛擬局域網(wǎng)技術(shù)能將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域，可以隔離沖突域和廣播域。它是IaaS云計(jì)算信息安全防范中必不可少的技術(shù)。合理劃分 IaaS云計(jì)算系統(tǒng)的安全域，實(shí)現(xiàn)VLAN合理劃分，可以有效防止網(wǎng)絡(luò)資源擁堵，防范在云計(jì)算環(huán)境下虛擬機(jī)之間的非法數(shù)據(jù)訪問、攻擊在虛擬機(jī)之間擴(kuò)大蔓延、竊聽竊取虛擬機(jī)數(shù)據(jù)資源等新型的網(wǎng)絡(luò)安全威脅。

3.6 部署冗余基礎(chǔ)網(wǎng)絡(luò)設(shè)備

部署網(wǎng)絡(luò)冗余設(shè)備可以有效防范云計(jì)算系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)的單點(diǎn)故障。

3.7 安全加固技術(shù)

（1）部署操作系統(tǒng)的安全加固產(chǎn)品，加強(qiáng)身份認(rèn)證技術(shù)防護(hù)，加固安全配置策略，加固管理員及用戶權(quán)限管理；

（2）加強(qiáng)虛擬監(jiān)控機(jī)的補(bǔ)丁升級(jí)管理，加固虛擬機(jī)上的操作系統(tǒng)；

（3）加固虛擬機(jī)上的安全配置策略，加強(qiáng)虛擬機(jī)管理員的系統(tǒng)權(quán)限管理和審計(jì)。

4 結(jié)束語

本文闡述了云計(jì)算、IaaS及其虛擬化技術(shù)，針對IaaS面臨的信息網(wǎng)絡(luò)安全威脅，研究分析了云計(jì)算 IaaS信息網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵技術(shù)，目前，云計(jì)算的服務(wù)模式仍在不斷演進(jìn)，IaaS的安全防范工作也應(yīng)與時(shí)俱進(jìn)。