高彥 陳曉燕

摘要：隨著科技的發(fā)展，云計(jì)算已經(jīng)廣泛應(yīng)用于各個(gè)領(lǐng)域，不僅可以高效采集、傳輸、處理海量數(shù)據(jù)，還可以通虛擬化技術(shù)提高資源的利用率，為用戶提供高性能的服務(wù)。如此重要的云計(jì)算，其安全管理問題就成了重中之重，只有保證云計(jì)算平臺的安全，才能保證信息系統(tǒng)和數(shù)據(jù)的安全。

關(guān)鍵詞：云計(jì)算;訪問控制;安全監(jiān)控;補(bǔ)丁漏洞

中圖分類號：TP393.08? 文獻(xiàn)標(biāo)識碼：A? 文章編號：1672-9129（2020）02-0024-01

Abstract： With the development of science and technology， cloud computing has been widely used in various fields. It can not only efficiently collect， transmit and process massive data， but also improve the utilization rate of resources through virtualization technology to provide users with high-performance services. Such an important cloud computing， its security management has become the top priority， only to ensure the security of cloud computing platform， to ensure the security of information system and data.

Key words： cloud computing; Access control; Safety monitoring; Patch holes

引言：云計(jì)算安全管理是指通過一定安全技術(shù)措施和管理手段，確保云計(jì)算資源的保密性、可用性、完整性、可控制性、抗抵賴性，保證不會(huì)導(dǎo)致云計(jì)算系統(tǒng)以及所含信息不會(huì)泄露或破壞。

1? 安全管理框架

從傳統(tǒng)上來看，安全管理在安全的網(wǎng)絡(luò)建設(shè)中發(fā)揮著重要作用。通過安全管理平臺，可以實(shí)現(xiàn)對安全設(shè)備的集中管理與控制、直觀的實(shí)時(shí)事件監(jiān)控、安全事件綜合分析，并能夠提供清晰全面的統(tǒng)計(jì)報(bào)告，方便用戶隨時(shí)掌控當(dāng)前網(wǎng)絡(luò)安全狀況，在增強(qiáng)整網(wǎng)安全可視化的同時(shí)，通過集中的策略管理，簡化多臺設(shè)備安全策略部署工作，節(jié)省維護(hù)成本。其安全需求可由底向上可分為物理設(shè)備的安全性、網(wǎng)絡(luò)的安全性、平臺應(yīng)用進(jìn)程的安全性、數(shù)據(jù)信息的安全性和租戶身份授權(quán)與認(rèn)證。同時(shí)根據(jù)每個(gè)層次的安全特性，有相應(yīng)的安全管理技術(shù)來保證該層次的安全，由底向上分別是可用性管理、網(wǎng)關(guān)控制、安全監(jiān)控、恢復(fù)補(bǔ)丁漏洞安全和訪問控制。

2? 安全管理技術(shù)

2.1安全恢復(fù)機(jī)制、安全漏洞、補(bǔ)丁及配置?；謴?fù)機(jī)制是保證服務(wù)可靠性和可用性的重要手段，是典型的事后反應(yīng)機(jī)制。系統(tǒng)恢復(fù)是惡意軟件防御中的一個(gè)重要方向，可以采用回滾和重放技術(shù)，通過記錄進(jìn)程內(nèi)存狀態(tài)以及進(jìn)程與系統(tǒng)的交互關(guān)系實(shí)現(xiàn)回滾和重放，保證系統(tǒng)的安全性。漏洞管理可以幫助保護(hù)主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用程序避免遭針對已知的漏洞的攻擊。成熟機(jī)構(gòu)一般會(huì)建立完善的漏洞管理過程，其中包括對連接到機(jī)構(gòu)網(wǎng)絡(luò)的系統(tǒng)進(jìn)行例行掃描、評估漏洞對機(jī)構(gòu)的風(fēng)險(xiǎn)、解決風(fēng)險(xiǎn)的加固過程。技術(shù)漏洞管理應(yīng)當(dāng)以有效、系統(tǒng)且可重復(fù)的方式實(shí)施，并采取側(cè)量措施以確保其有效性。這些考慮應(yīng)將操作系統(tǒng)和其他使用的應(yīng)用程序包含在內(nèi)。安全補(bǔ)丁管理與漏洞管理類似，在保護(hù)主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用程序進(jìn)免未授權(quán)用戶針對已知漏洞的攻擊方面，安全補(bǔ)丁管理也是一個(gè)重要的威脅管理要素。補(bǔ)丁管理過程遵循變更管理框架，并直接從用戶漏洞管理程序得到反饋，從而降低來自機(jī)構(gòu)內(nèi)部和外部的威脅。安全配置管理可以保護(hù)主機(jī)和網(wǎng)絡(luò)設(shè)備免遭未收錢用戶利用配置弱點(diǎn)實(shí)施的攻擊。安全配置管理與漏洞管理程序密切相關(guān)，是整體安全配置管理的一部分。

2.2訪問控制。訪問控制管理為用戶和系統(tǒng)管理員提供一系列資源訪問管理功能，包括訪問網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序資源等。主要解決如下問題：一是用戶權(quán)限的分配;二是用戶工作職能和責(zé)任的權(quán)限分配;三是訪問權(quán)限的認(rèn)證方法和認(rèn)證強(qiáng)度;四是核實(shí)權(quán)限分配的審計(jì)和報(bào)告。在云計(jì)算中，網(wǎng)絡(luò)訪問控制表現(xiàn)為云計(jì)算防火墻策略，這個(gè)策略在云計(jì)算的出入口處執(zhí)行基于主機(jī)的訪問控制，并對云計(jì)算內(nèi)部的實(shí)例進(jìn)行邏輯分組。通常是使用基于標(biāo)準(zhǔn)TCP/IP協(xié)議參數(shù)的策略實(shí)現(xiàn)，包括IP，源端口、目的IP及目的端口等。云計(jì)算的訪問控制與基于網(wǎng)絡(luò)的訪問控制相比，云計(jì)算用戶訪問控制尤為重要，因?yàn)樗菍⒂脩羯矸菖c云計(jì)算資源綁定在一起的重要手段。通過對用戶身份的訪問控制，可以確保其真實(shí)身份，防止惡意用戶違規(guī)使用云計(jì)算平臺，保障云計(jì)算的安全。

2.3可用性管理。云計(jì)算服務(wù)也不可避免地會(huì)出現(xiàn)停機(jī)，停機(jī)的情況不同，影響用戶的嚴(yán)重程度和范圍也不同。計(jì)算服務(wù)的彈性和可用性取決于幾個(gè)因素：云計(jì)算服務(wù)提供商的數(shù)據(jù)中心架構(gòu)（負(fù)載均衡、網(wǎng)絡(luò)、系統(tǒng)）、應(yīng)用程序架構(gòu)、主機(jī)位置冗余、多個(gè)互聯(lián)網(wǎng)服務(wù)提供商，以及數(shù)據(jù)存儲(chǔ)架構(gòu)等。對于云計(jì)算平臺系統(tǒng)，通過虛擬機(jī)HA熱遷移高可用性技術(shù)，可以避免因”計(jì)劃內(nèi)停機(jī)”而導(dǎo)致業(yè)務(wù)中斷。通過監(jiān)控主機(jī)IPMI數(shù)據(jù)，在物理機(jī)出現(xiàn)故障預(yù)警時(shí)動(dòng)態(tài)遷移該節(jié)點(diǎn)上的虛擬機(jī)至健康的主機(jī)節(jié)點(diǎn)上。采用虛擬內(nèi)存同步技術(shù)和IO多路徑熱轉(zhuǎn)移技術(shù)，實(shí)現(xiàn)客戶虛擬機(jī)系統(tǒng)在冗余的物理機(jī)節(jié)點(diǎn)間雙活同步運(yùn)行，即使是計(jì)劃外停機(jī)，運(yùn)行在上面的虛擬機(jī)遷移恢復(fù)時(shí)間也可以控制在幾分鐘以內(nèi)，保障業(yè)務(wù)連續(xù)運(yùn)行。

2.4網(wǎng)關(guān)控制。網(wǎng)關(guān)控制是為用戶提供了一個(gè)控制點(diǎn)，讓用戶能夠很好地控制用戶與“云”的連接以及“云”環(huán)境中和企業(yè)數(shù)據(jù)中心內(nèi)應(yīng)用訪問的安全防護(hù)。虛擬化環(huán)境下的安全網(wǎng)關(guān)要針對云計(jì)算復(fù)雜環(huán)境的綜合防御系統(tǒng)，融合遠(yuǎn)程安全接入、安全訪問控制、抗拒絕服務(wù)攻擊、入侵防御、Web安全等技術(shù)，具備檢測、分析、決策、響應(yīng)相結(jié)合的聯(lián)動(dòng)防御能力，有效抵御來自物理硬件層、虛擬層、調(diào)度管理層、應(yīng)用層等各個(gè)層次的威脅。通過網(wǎng)關(guān)控制，可以更好地保障云計(jì)算網(wǎng)絡(luò)的安全特性，使安全攻擊被網(wǎng)關(guān)阻隔在云計(jì)算之外，更大程度上保障內(nèi)部數(shù)據(jù)的安全。

2.5安全監(jiān)控。監(jiān)控是租戶及時(shí)知曉服務(wù)狀態(tài)以及提供商了解系統(tǒng)運(yùn)行狀態(tài)的必要手段，可以為系統(tǒng)安全運(yùn)行提供數(shù)據(jù)支撐。常見的監(jiān)控機(jī)制包括軟件內(nèi)部監(jiān)控和虛擬化環(huán)境監(jiān)控兩種。云計(jì)算安全監(jiān)控與傳統(tǒng)軟件運(yùn)行環(huán)境不同，云計(jì)算分布式、去中心化的等特性對軟件監(jiān)測技術(shù)帶來了挑戰(zhàn)，監(jiān)控系統(tǒng)應(yīng)提供對并行和云計(jì)算分布式系統(tǒng)的運(yùn)行時(shí)監(jiān)控支持，通過跟蹤運(yùn)行時(shí)軟件調(diào)用路徑的方法，進(jìn)行系統(tǒng)性能瓶頸的分析，達(dá)到軟件內(nèi)部安全問題的監(jiān)控。在日常維護(hù)過程中，可以將安全監(jiān)控工具部署在hypervisor中，能夠?qū)崿F(xiàn)對每臺再用的虛擬機(jī)的運(yùn)行情況、內(nèi)在屬性使用率、動(dòng)態(tài)遷移性能和安全狀態(tài)的監(jiān)控，在出現(xiàn)負(fù)載過大或收到安全攻擊時(shí)可以及時(shí)的得到信息從而采取相關(guān)措施來對虛擬機(jī)進(jìn)行保護(hù)。

參考文獻(xiàn)：

[1]倪志宏. 基于云計(jì)算的網(wǎng)絡(luò)安全及管理應(yīng)用研究[J]. 電腦知識與技術(shù)：學(xué)術(shù)交流（5期）：3021-3022.