云計算網絡信息安全防護思路探究
云計算的發展及普及應用,降低了軟硬件成本、提高了數據的可靠性,其業務按需快速定制, 時間快。但是由于云計算的開放及共享虛擬特性,使得存貯其上的信息必然面臨信息安全的挑戰。怎樣才能使得云計算安全運行于互聯網中是大家一直在探討的問題。針對互聯網環境中云計算運 行的傳統及固有安全問題,我們進行了詳細的闡述,并提出了科學、有效的信息安全防護方案,希 望對云計算運行以及互聯網的健康發展起到積極作用。
內容目錄:
1 云計算網絡與信息安全概述
2 云計算面臨的信息安全問題
2.1 傳統安全威脅
2.2 云計算特有風險
3 云計算網絡信息安全防護思路
3.1 建立完整的信息安全保障體系
3.2 建立完整的防火墻防護體系和DDOS攻擊防 護體系
3.2.1 建立完整的防火墻防護體系
3.2.2 建立完整的DDoS防護體系
3.3 利用漏洞掃描主動防御
3.4 利用多重身份認證技術
3.5 建立完整入侵檢測體系
3.6 建立防病毒防護體系
隨著云計算時代的發展,云應用會滲透到我們 生活的方方面面,我們在盡情享受云計算帶來的便 利同時,也面臨著網絡與信息安全的威脅。而且情 況變得越來越嚴重,人們應該對這一問題得到認識 并懂得相關的知識以提高防范意識,本文就現在云 計算網絡環境下做相關的信息安全及網絡防護問題 的研究與探討。
1 云計算網絡與信息安全概述
云計算是一種基于互聯網相關服務按使用量付 費的模式,是一種虛擬化的資源,這種模式提供可用的、便捷的、按需的,高效的網絡訪問,使計算 機各種資源實現共享(其中資源包括有數據網絡, 服務器,信息存儲,應用軟件,服務,維護等等), 這些資源按需快速定制,時間快、成本低。雖然云 計算有以上諸多優點,但是由于云計算的開放及共 享虛擬特性,存貯其上的信息必然面臨信息安全三 個基本屬性中的保密性挑戰。
信息安全簡而言之就是信息的在使用中的安 全程度,主要由 CIA (Confidentiality、Integrity、 Availability )衡量,即:保密性、完整性、可用性。網絡與信息安全治理包含的范圍有網絡安全、運營 安全、訪問控制、軟件開發安全等。
網絡環境是保 障信息安全的前提,只有擁有一個可靠網絡環境下 的信息安全保障體系,才是保證信息系統穩定運行 的關鍵所在。可以將網絡信息安全看成是多個安全 單元的集合,其中每個單元都是一個整體,包含了 多個特性,_般從安全特性、安全層次和系統單元 去理解網絡信息安全。
云計算的誕生標志了網絡計算架構的進一步 發展,在注重信息安全的同時,還需考慮如何構建 一個穩固安全的云計算網絡體系。云計算網絡結構 與普通網絡結構差異性在于云應用更加集中化,云 計算網絡資源更加具有彈性,即用即取,避免了很 多不必要的資源浪費。
所以,針對云計算的網絡安 全架構需要更加完整,并隨時利用網絡流量分析 (Network Traffic Analyzer, NTA )、端點檢測和響 應(Endpoint Detection Response, EDR )等新發展 的技術進行防護。
2 云計算面臨的信息安全問題
2.1 傳統安全威脅
分布式拒絕服務(Distributed Denial of Service, DDoS)攻擊依然是云平臺面臨的主要威脅之一,尤 其是針對云平臺業務系統的攻擊行為以及由云平臺 內部外發的攻擊行為,對整個云平臺大網均存在安 全隱患;
包括僵尸、木馬、病毒、蠕蟲等傳統安全威脅 仍然是云平臺面臨的重要風險之一,在云平臺內, 如租戶隔離、區域隔離措施不當,這類威脅將會更 快、更迅速的在云平臺內部進行傳播,給云平臺帶 來極大安全隱患;
云承載著各類業務系統,尤其是Web業務系 統,仍然面臨著包括SQL注入、XSS、命令注入、 跨站請求偽造、非法上傳下載、Web服務器/插件 漏洞攻擊、爬蟲攻擊、Webshell、暴力破解等傳統 的Web應用攻擊威脅;
云內IT主機非常多,包括Windows系統、 Linux系統、UNIX系統、網絡交換設備、數據庫及 中間件等都面臨著各類安全漏洞風險,傳統的漏洞 利用方式攻擊手段依然有效。
2.2 云計算特有風險
數據泄露風險:云計算內存儲著大量的用戶數 據,數據量越大、價值越高安全威脅也就越高。因 此云平臺內面臨著數據泄露、篡改等安全隱患。
隔離失效風險:在云計算環境中,計算能力、 存儲與網絡在多個用戶之間共享。如果不能對不同 用戶的存儲、內存、虛擬機、路由等進行有效隔離, 惡意用戶就可能訪問其他用戶的數據并進行修改、 刪除等操作。
虛機逃逸:虛擬機逃逸是指利用虛擬機軟件或 者虛擬機中運行的軟件的漏洞進行攻擊,以達到攻 擊或控制虛擬機宿主操作系統的目的。主要利用虛 機本身或Hypervisor層的安全漏洞造成在Hypervisor 層執行任意代碼,進而實現虛機逃逸;
虛機內存泄露:當虛擬機共享或者重新分配硬 件資源時會造成很多的安全風險。信息可能會在 虛擬機之間被泄露。例如,如果虛擬機占用了額 外的內存,然而在釋放的時候沒有重置這些區域, 分配在這塊內存上的新的虛擬機就可以讀取到敏感 信息;
虛機動態遷移:利用虛擬化技術能快速實現 VM的動態遷移,同時帶來新的安全風險包括安全 策略不能實時協同調整、數據明文傳輸被監聽、 內存信息泄露、地址解析協議(Address Resolution Protocol, ARP)攻擊等;
虛擬化通信:虛機通信模式基本在大二層網絡 環境中,傳統的網絡邊界檢測及防護手段在應對東 西向流量通信時無法提供有效檢測及處置。
運營模式風險:云計算帶來新的運營模式的改 變,各類業務資源需要按需彈性擴展提供,在使用 的過程中可能存在云計算資源能力的濫用造成資源 的浪費;用戶側失去對資源的直接控制,云計算的 地域特性及租戶的流動性為云服務提供商合規性要 求、安全監管以及隱私保護提出了更高的要求。
惡意租戶風險:在云環境下,授權用戶可享 受云計算服務。惡意用戶利用云計算服務的安全 漏洞,上傳惡意攻擊代碼,非法獲取或破壞其他用 戶的數據和應用。此外,內部工作人員(例如云服 務商系統管理員與審計員)的失誤或惡意攻擊更加 難于防范。
3 云計算網絡信息安全防護思路
不同于普通網絡架構,云計算網絡架構更龐大, 存儲容量更多,用戶數量也就越多,所以面臨的安 全防護問題也就越廣。云計算環境下加密方式沒有 變化,但是網絡安全邊界類以及系統安全類有著很 大不同,云服務提供商不能有效像傳統一樣進行系 統軟件的掌握,這就造成了虛擬系統運行存在漏洞, 可能對網絡環境造成很大的安全威脅田。因此,一 個健全有效的云計算網絡安全防護體系的建立就顯 得很有必要。
3.1 建立完整的信息安全保障體系
建立重要信息備份審計機制。重要信息保護包 括重要信息備份、重要系統備份、網絡接口設置主 備等,并且需要瞄賬號審計工作,對修改、查看、 刪除重要信息的操作日志進行記錄。由于云計算網 絡的特殊性,大量的數據集群在云端,做備份和審 計工作會增加系統資源消耗和財產資源消耗,但是 如果云網絡癱瘓且沒有良好的備份,那么將會造成 不可彌補的巨大損失。
建立信息安全保護體系。信息安全保護工作有 定期進行漏洞掃描工作,及時對有問題的設備打補 T;與公網接口地址處謹慎開放端口,若是必要端 口需要進行相關安全策略的防護;做好網絡設備安 全加固工作,設置防火墻策略、設置訪問控制列表 (Access Control List, ACL)策略等;系統數據包 中傳輸的數據使用密文加密后傳輸;數據庫重要數 據或個人隱私數據進行加密存儲。
3.2 建立完整的防火墻防護體系和DDOS攻擊防 護體系
3.2.1 建立完整的防火墻防護體系
在云平臺邊界部署網絡隔離設備,將云計算數 據中心與不信任域進行有效地隔離與訪問控制。從 網絡防火墻技術應用方面,主要是內外網設置防火 墻,能檢測進入信息協議以及端口和目的地址等, 過濾到不符規定的外來信息図。訪問控制系統主要 指的就是防火墻,根據防火墻上的策略檢查經過的 流量,保證只有合法流量才能訪問云計算網絡。防 火墻部署在出口路由器和核心交換機之間,用于隔 離云計算網絡和外部網絡環境。整個防火墻的策略 應該遵循最小化原則,才能切實發揮防火墻的隔離 作用。針對云計算網絡環境中的虛擬化環境進行防 護,可以采用虛擬防火墻來實現,虛擬防火墻分為 分布式防火墻和集中式防火墻。
集中式防火墻將虛擬防火墻集中在云安全資 源池中,旁掛在云計算環境之外,此方式要想防護 到目的流量,需要將云計算網絡中的流量牽引到云 安全資源池,流量經過虛擬防火墻后再注回原云 計算網絡中。其中軟件定義網絡(Software Defined Network, SDN )技術能夠方便的實現將被防護流量 注回云安全資源池中,所以一般有SDN技術的云 數據中心,通常采用此種方式。
分布式部署方式將虛擬防火墻部署在每個租 戶虛擬私有網絡(Virtual Private Cloud, VPC )邊 界。不同的VPC用虛擬局域網(Virtual Local Area Network, VLAN)隔離的情況下,可以把虛擬主機 和虛擬化防火墻的業務網口加入同一個VLAN,或 者用安全組隔離的情況下,可以把虛擬主機和虛擬 防火墻的業務網口加入同一端口組列表。該VPC內 的虛擬主機在訪問其它區域的虛擬主機的時候,流 量就必須經過虛擬化防火墻,需要虛擬化防火墻作 為網關來做訪問控制。如圖1所示為云計算網絡中 的防火墻部署拓撲。
圖1 云計算網絡防火墻部署圖(分布式、集中式)
在云計算網絡環境中,不僅僅是網絡資源需 要防火墻的防護,云平臺的虛擬機中承載著大量的 Web應用服務,所以還需部署網站應用級入侵防御 系統(Web Application Firewall, WAF )來應對各種 通過Web應用傳入的威脅。通過嚴格的訪問控制, 防止Web應用被入侵,以保護整個系統的可用性。對于部署方式,由于出入口的流量較大,所以常采 用旁路的方式旁掛在出口路由器上,將特定網絡地 址(Internet Protocol Address, IP )的 http/https 流量 引導到WAF上,WAF對流量進行過濾轉發,最終 實現Web應用安全防護。
3.2.2 建立完整的DDoS防護體系
云平臺上分布著大量虛擬服務器,攻擊者針對 云計算架構的DoS攻擊在流量上提高了攻擊當量來 達到攻擊效果叫 所以建立一個完整的DDoS防護 體系是一個巨大的挑戰。
在云計算網絡架構的網絡出口處建立黑洞路由 進行防護,這是對抗DDoS攻擊比較好的方法。當 DOS攻擊進行時,在攻擊路徑上設置路由黑洞,能 夠使得攻擊數據包在此丟棄而不送往受害機器,避 免了受害機器因不斷接收巨量數據包導致掛死。
使用DDoS防火墻和異常流量檢測與清洗設備 對抗攻擊。當應對小流量的DDoS攻擊時,設置簡 單的防火墻策略和DDoS應用軟件就能夠進行防護。但是當應對大流量大規模的攻擊事件時,需要將流 量引入DDoS清洗設備并檢查分組限流的部署情況。在云計算網絡入口出口處設置DDoS防火墻和流量 清洗設備,能夠最大限度防止DDoS攻擊對云計算 網絡的影響。
異常流量檢測與清洗一般采用旁路部署的模 式,旁掛在核心交換機上,通過OSPF/BGP/IS-IS 路由協議廣播路由的方式,實現對異常流量的自動 化牽引。對于清洗后的回注流量,一般采用策略路 由的方式來控制流量上行或下行。如圖2為異常流 量監測與清洗設備部署方案。
3.3 利用漏洞掃描主動防御
在云計算網絡安全防護過程中,定期進行云端 設備及系統的漏洞掃描能起到良好的防御效果。漏 洞掃描根據目的地址及端口信息,利用已知漏洞信 息進行掃描,主動探測系統或主機是否存在可被利 用的漏洞。在云計算網絡中,面向的是巨量的網絡 數據,云計算按需自服務,彈性可擴展,資源池化, 廣泛網絡接入,多租戶等特性造就了云計算網絡在 安全防護中的特殊性。這一特殊性在主動漏洞掃描 中體現在于使用單機資源的漏洞掃描技術會浪費大 量的系統資源和人力資源,所以需要的是利用網絡 協議建立掃描系統,少量地耗費網絡資源去做掃描 的工作。
圖2 異常流量監測與清洗系統部署方案
由于安全漏洞主要出現在云主機應用程序中,所 以安全漏洞掃描器主要針對的是云主機層面的漏洞掃 描,且分為兩種部署方式:分布式部署和集中式部署。
分布式部署方案中,虛擬化安全漏洞掃描器分 別部署在不同的VLAN中,實現對本VLAN中所 有主機的安全掃描工作。掃描結束后,通過VLAN Security將掃描結果傳給安全管理平臺。在實際的 運用情況中,虛擬化安全漏洞掃描器可以根據需要 動態生成及部署,使用完成后進行下線或銷毀。
集中式部署方案中,安全漏洞掃描器會集中部 署在某一個資源池或區域。其業務掃描端口可以靜 態的接入不同的VLAN中(要求不同的VLAN的 IP地址不能重合),或者通過建立多協議標簽交 換(Multi-Protocol Label Switching, MPLS )通道的 方式將掃描器的業務掃描端口與被掃描的VLAN連 通,實現安全掃描。
對于實現了 SDN的云平臺,也可采用動態端 口接入的方式。即在掃描器啟動時,在SDN控制 器的配合下,將掃描器的業務掃描端口與被掃描的 VLAN連通。掃描結束后,再由SDN控制斷開連接。這樣就實現了安全掃描器的共享和復用。
如果網絡采用可擴展虛擬局域網(Virtual extensible LAN, vXLan )的方式,分布式部署與上 述方案相似,只需將虛擬機實例生成在租戶vXLan 網絡內部并打通業務口和虛擬機工作口的網絡連接 即可。對于集中式的部署方案,需要將租戶內部需 要掃描的虛擬機,通過浮動IP的方式暴露給掃描器。安全掃描器部署策略如圖3所示。
圖3 安全掃描器部署策略
3.4 利用多重身份認證技術
云計算網絡處于發展過程中,對于諸多新接入 的設備,默認設置、弱口令等問題也比較普遍,尤 其是與外部網絡的接口處的身份認證就顯得至關重 要,例如系統對外的管理平臺,核心網絡設備等。對于管理平臺,盡量使用強口令(包含英文大小寫、 數字、符號且不少于8位)且定期(一般為90天) 更換一次,除此之外需要多重身份認證,包含但不 限于手機號碼驗證或指紋識別認證技術。
3.5 建立完整入侵檢測體系
在云計算網絡邊界需部署入侵檢測系統,通過分 析網絡流量,對網絡及系統的運行狀況進行實時的 監測,及時發現正在進行的惡意攻擊并告警。入侵 檢測系統同樣是縱向采用旁路監聽的方式部署,橫 向釆用分布式或集中式部署,不影響正常的出入口流 量,網絡流量通過線路分光、隧道引流或者端口鏡像 的方式將流量發送到入侵檢測系統中進行檢測,對異 常行為流量進行告警。圖4為入侵檢測系統部署策略。
圖4 入侵檢測系統部署策略(橫向及縱向)
縱向防護中,入侵檢測系統(Intrusion Detection Systems, IDS )部署在路由器下級,檢測經過交換 機出口或者經過路由器入口的流量。橫向防護中若 采用分布式入侵檢測,系統是單獨部署在虛擬化的 云環境中的,通過配置虛擬交換設備將租戶需要 防護的流量通過鏡像引流的方式引流到虛擬網絡 入侵檢測系統(Virtual Network Intrusion Detection System, VNIDS )中進行流量入侵檢測,并通過系 統管理相關安全日志及告警信息。若采用的是集中 式的入侵檢測,VNIDS集中到云安全資源池中,租 戶虛擬機上的橫向流量通過隧道引流的方式進入云 安全資源池,通過云安全資源池的集中式分析進行流量入侵分析檢測。
3.6 建立防病毒防護體系
病毒防護系統主要有兩種部署方式:有客戶端 的網絡病毒防護系統和無客戶端的病毒防護系統。防病毒主要針對到主機中,所以僅對主機層面進行 防護。防護方式可根據云數據中心的防護需求來選 擇部署相應的病毒防護系統。防病毒系統部署策略 如圖5所示。
圖5 防病毒系統部署策略
有客戶端的網絡病毒防護體系,對關鍵虛擬化 服務器進行重點的病毒防護。對需要進行病毒防護 的虛擬主機安裝客戶端,通過部署于運行管理區 的防病毒服務器統一進行病毒防護策略管理。針 對云數據中心防病毒的要求,對基于Windows, Linux, Unix平臺的虛擬化服務器提供全方位的病毒防護能力。
無客戶端的病毒防護系統不需要在被防護的虛擬主機上安裝任何客戶端,只需要在被防護的虛擬主 機所在宿主機上安裝防病毒模塊就可以實現對相應虛 擬主機的防護。通常防病毒模塊也是用虛擬機的方式 安裝在云環境中,用戶可以配置策略,對已安裝防病 毒模塊的宿主機上的任意虛擬主機進行病毒防護。
對于云計算網絡安全的整個防護架構,只要在 網絡入口處把好關,做到相關防護工作,網絡內部 結構合理,橫向主機之間做好權限管理以及流量管 理,日常維護管理及使用行為做到規范化就能夠維持云計算網絡的安全穩定運行。通過建立以防火墻、毒組成的完整云計算網絡安全防護架構,能夠最大異常流量檢測與清洗、入侵檢測、漏洞掃描、防病程度保障整個云計算環境的穩定運行。
4 結 語
現代計算機技術發展太快,云計算服務把整個 世界都結合在了一起。也把以前很多不相干的事物 也結合起來了,很好地運用了網絡為我們提供便利, 但在為我們提供各種便利的同時也暴露了很多安全 性問題。信息的共享性無法保證信息的保密程度, 導致很多信息泄漏在網絡上也是常有的事,所以網 絡安全相關技術發展對當今社會也非常的重要,在 大型企業或者集團對網絡安全的需求就非常的大, 因為它牽連的利益更大。每個人都應該提升信息安 全意識,建立良好的安全意識從而維護自身利益。
信息的保密性和完整性可以為社會生活帶來高 效的服務,網絡的互通性和自由性可以為社會生活 帶來便捷的服務。但是信息的不可控性和流動性又 給社會生活帶來一定信息安全危害,網絡的開放性 和虛擬性給社會生活帶來了信息泄露的威脅。
所以 說包含萬千信息的網絡是一把雙刃劍,基于云計算 的網絡信息體系更是有利有弊。我們應該合理地利 用信息及網絡為生活提供便利的服務,提高網絡與 信息安全防護技術,提高個人信息安全防范意識, 才能造就一個完整可靠的網絡信息環境。
