云计算环境下的数据安全防护研究
来源:用户上传
作者:杨清琳 蔡小娟
摘要:云计算以其弹性可扩展的计算和存储能力,为人们的工作、学习及生活提供了便利,但同时也带来了新的安全风险和问题。该文对云计算环境所面临的数据安全威胁进行了分析,并提出了提高云计算环境下数据安全防护策略。
关键词:云计算;可扩展;数据安全防护
中圖分类号:TP319 文献标识码:A
文章编号:1009-3044(2020)08-0033-02
随着云技术的不断发展,越来越多的个人和企业用户将数据存储在云端,以较低的成本就能享受高效快捷的云存储服务和处理计算服务,将数据保存在云服务器中,方便管理数据并降低管理成本。但是,很多数据用户仍担心云计算中的数据安全和隐私保护问题,如何确保数据安全和隐私保护成为云计算所面临的重要挑战。
1云计算环境所面临的数据安全威胁
1.1虚拟化安全风险
虚拟化技术是云计算中的关键核心技术,该技术在带来优势的同时也带来许多新的安全风险。在云环境中,多台服务器连接组成一个大型服务器集群,通过虚拟化技术将资源放在同一的资源池中,供各种应用按需来调配存储和运算资源。在云计算这种共享资源模式背景下,运用传统的信息安全设备不能深入到虚拟化平台内部去做安全防护,无法实现恶意代码攻击防护,和满足流量监控、协议审计等网络安全的要求。为满足虚拟化环境下的动态负载要求,虚拟机会不定时的进行动态漂移,因此虚拟主机所在的真实位置也是在不断地变化,这样会导致边界的安全策略也要随之转移。若边界的安全策略及安全防护措施不能同时跟虚拟机一起漂移,那么其对应的边界安全防护措施和策略就不再生效,造成在虚拟环境中虚拟服务器存在安全漏洞与隐患[1]。
1.2数据传输安全风险
用户在使用云计算服务的过程中,都是通过网络途径将用户数据传输到云服务器中进行存储和计算,这些用户数据还会包括一些用户的敏感数据(如电子邮件、私人聊天记录、企业客户信息和财务报表等),但是由于用户和云服务器通常不在同一个信任域中,那么网络传输过程中,如何保证外包数据不会被非法攻击、窃取、破坏及修改,以有效地保护用户的隐私安全是一个值得关注的问题[2]。
1.3 API接口安全风险
由于云计算技术具有松耦合性,因此云计算的模块与模块之间及其对外提供服务均使用API接口来实现,API接口存在认证、授权、代码缺陷等方面的问题和风险,因此服务供应商的服务以及其接口程序对用户而言是不太可靠的。
1.4过于集中的数据存储
由于云服务器提供了高质量的数据存储服务,云端存储的信息数量繁多,这样用户可以减少自身数据存储和维护开销,但云计算环境具有相当强的开放性,并且数据存放高度集中、系统非常庞大,复杂程度较高,若黑客或病毒非法攻击侵入到云端,那么用户的大量关键数据就会面临泄露和丢失的风险,其后果不堪设想。另外用户没有访问数据信息的优先权,用户本身也不清楚数据信息的实际存放情况,因此也没有办法进行实际可行的操作,这些都会导致数据存储上的安全问题。
1.5共享数据的安全风险
加密隐私信息是有效解决隐私信息泄露的重要途径。加密算法通常有两种,即对称加密算法和非对称加密算法。在云计算环境的现实使用过程中,数据拥有者和数据使用者通常是不一致的,若使用对称加密算法,因为加解密都是使用同一密钥,对数据拥有者来说就存在无法控制数据和如何进行管理密钥问题;若使用非对称加密算法,则需要公钥基础结构支持。在云计算实际应用中,常用的是利用第三方数据重加密方法和基于用户身份属性特征的属性加密算法来解决该问题。但是当数据拥有者上传密文数据到云服务器,需要共享密文数据的用户身份发生变化时,密文数据的共享策略需要进行更新,这会导致第三方代理复杂的数据管理问题,带来用户隐私数据泄露的风险。
2 云环境背景下提高数据安全的防护策略
云计算具有很多优势,但同时也会带来很多数据安全问题。云计算环境下的数据安全是要保证数据生成、传输、存储和访问的过程中不被篡改、窃取和破坏,云环境背景下的数据安全防护策略,不仅要考虑采用传统的信息安全、存储加密等技术,还要考虑整个云资源环境的安全问题。
2.1建立云安全防御体系
云计算资源环境中包含有两类资源,即传统的物理资源和虚拟资源,因此安全防御体系需要同时考虑云平台和云上系统的安全保障,安全防御体系应以“一个中心、三重防护”的思路来构建,一个中心即通过云安全管理中心来收集网络设备、安全设备、应用系统,以及云计算下的虚拟网络、虚拟主机的信息安全事件并进行分析和安全预警,统一管理云平台的漏洞和补丁[3]。三重防护即实现云计算环境、区域边界和网络通信三个层次的防御。云计算环境防御包括物理资源安全和虚拟资源安全,物理资源安全主要从物理资源安全配置加固、安全审计、漏洞管理和冗余设计等方面来进行防护;虚拟资源安全防御主要从虚拟主机自身安全、虚拟资源的隔离、恶意代码防护等来进行防护。区域边界防御,一方面可以通过传统的安全设备和适当的区域划分,实现云平台物理边界的安全防护,另一方面可以采用VPC、虚拟防火墙、SDN服务链编排等云安全防护产品和手段,实现虚拟边界的安全;网络通信防御主要考虑从网络传输时数据的完整性和保密性、通信网络的安全审计、通信网络的可用性等方面来进行防御。
2.2 采用信息加密技术
信息加密是较为常用的信息安全保护技术,该技术的核心是加密算法,可以利用软硬件技术加密传输链路,也可使用端对端直接加密数据。加密传输链路主要由物理链路上的交换转发设备实现加解密操作,以保护通信节点上传输的数据。端对端加密数据是通过加密应用层的数据信息,将原始数据通过加密密钥转换成密文形式,读取数据信息时需要有相应的密匙,使用时需要结合密钥管理和密钥分配算法。加解密操作只发生在数据发送方与数据接收方,在整个传输过程中数据都是以密文的形式存在,极大提高了数据的安全性。将加密技术融入信息安全防护体系中,可以有效地帮助数据信息的安全防护工作。建立一套完整可行的信息加密体系,首先要筛选哪些数据需要加密处理,再运用相关分析方法来合理地分类和筛选数据,并对加密数据面临的安全问题进行分析,找出可能存在的安全漏洞,做出相应的防御解决办法,以提升整个云环境的稳定性和安全性。 2.3 访问控制
云计算在实际应用中具有多线程、多任务及多用户的特点,多用户则成为威胁数据安全的隐患,為有效的提升云计算环境下数据安全防护质量,落实数据访问控制是保证数据拥有者及用户隐私的重要安全防护内容。访问控制是指对用户文件和数据读、写、执行等操作上的权限限制。数据拥有者将数据信息存储在云平台上,如果有用户想要访问该数据信息,则首先需要通过数据拥有者进行授权。在实际应用中可以根据数据的隐私敏感度和重要程度设置不同的安全范围,范围粒度的划分可以根据信息保密要求等级或重要性进行确定。不同安全等级之间需要相互存取访问时,则要运用相应软硬件设备实现边界保护,从而保证访问控制规则实施的有效性,并且对每次操作都要有审计和日志记录。另外在采用虚拟化技术的云环境中,软件都是直接由云服务商来进行管理和操作,为了保障在虚拟主机上多个操作系统并发运行的安全性,虚拟化软件则应该利用访问控制策略对虚拟化软件层的访问权限进行管理,来保证虚拟化层次上的各用户的数据安全。
2.4 提高防范意识,做好数据备份
为了更好提升云环境下传输网络的安全性能,云计算用户自身要加强安全防范意识,做好对不良信息防范,净化网络传输环境,以避免因为技术不成熟的问题使得病毒侵入计算机网络。作为云计算的使用用户还需要意识到云端平台具有一定的风险性。因此,要求所有用户在云计算平台的实际使用过程中,要养成做好数据备份的习惯,利用不同云服务商的云计算平台来对数据进行相互备份,这种利用物理隔离的方式可以有效地保障数据安全,万一某个云端平台存储的数据丢失,也不会造成不可逆转的毁灭性后果。
3 结束语
云计算的优势很多,为人们的工作、学习及生活提供了便利,但其信息安全问题也不能忽视,因此用户在使用云计算的过程中要对其风险有充分的认识,并通过行之有效的方式进行预防,以免自身遭受严重的损失,也不能因为风险就因噎废食,应充分利用新的安全技术和手段,合理运用云计算平台。本文对云计算环境所面临的数据安全威胁进行了分析,并提出了提高云计算环境下数据安全性的防护策略,希望为推动云计算的良好发展做出贡献。
参考文献:
[1]莫建华.基于虚拟化技术的云计算平台安全风险研究[J].信息计算与信息化,2019(10):214-216.
[2]高倩.基于云计算环境下的信息安全技术[J].电子技术与软件工程,2019(6):185.
[3]王勇,徐衍龙,刘强.云计算安全模型与架构研究[J].信息安全研究,2019(5):287-292.
【通联编辑:朱宝贵】
作者简介:杨清琳(1983-),女,广西桂林人,硕士,工程师,主要研究方向为云计算、智能信息处理、信息安全;蔡小娟(1988-),女,广西贺州人,本科,助理工程师,主要研究方向为信息技术。
转载注明来源:https://www.xzbu.com/8/view-15200632.htm