云计算环境下网络安全策略分析

来源:用户上传      作者:高璐 徐宗琦

　　摘要：随着计算机和网络技术的不断发展，云计算技术凭借其虚拟化、高可靠性、按需服务等优势特性，在各个行业领域得到了广泛的应用。但云计算也面临着各种威胁和挑战，存在很多网络安全技术问题。本文将从云计算面临的网络安全威胁进行分析，进而提出解决相关威胁应采取的技术和策略。
　　关键词：云计算;网络安全;策略分析
　　中图分类号：TP393 文献标识码：A
　　文章编号：1009-3044（2020）15-0075-02
　　当前随着网络通信技术和计算机技术的不断发展，云计算、大数据、物联网等新技术应运而生，特别是云计算技术凭借其虚拟化、高可靠性、按需服务等特性和使用方便功能强大的优势更是在各个行业得到了广泛应用。与此同时，云计算面临的安全问题也已成为人们关注的焦点。如：身份认证问题、数据安全问题、虚拟化系统问题、移动网络影响问题等，因此，必须从能够出现问题的方方面面进行考虑制定相应的安全策略，才能够保证云环境使用的安全性。
　　1云计算存在的安全问题分析
　　1.1用户身份认证和接入
　　云计算能够支持各种不同用户终端海量用户对资源进行访问和使用，既要方便用户访问，提高用户体验，又要保证应用安全，为云计算提供的用户身份认证系统和接入机制提出了更高的要求和挑战。目前云计算存在身份认证较为混乱、审查不充分，用户接口和界面存在安全漏洞等威胁，可能给信息带来更多未经授权的访问，造成用户信息的泄露和丢失。
　　1.2数据安全性
　　一方面云计算采取分布式体系结构，处于不同位置的资源协同完成计算过程，需要运用网络传递大量中间数据，传递过程中，容易发生病毒植入、数据拦截、黑客人侵等问题，因此如何对数据传输过程实施有效保护，也是云计算面临的安全挑战。另一方面，云计算实现了大量数据的存储和共享，云服务提供商应对数据进行实时监控和集中管理，而云计算的架构复杂，为有效管理带来了挑战，如果不做好数据的隔离，极易在技术、资源出现问题时，对海量数据造成存储威胁。此外，云计算采取多用户租用机制，一个用户出现漏洞可能造成其他用户数据和信息的泄露;一个用户退出云后，这个用户所释放的存储空间，也要做到及时的清空，否则也存在数据泄露的可能性。
　　1.3虚拟化系统问题
　　一方面云计算技术在很大程度上依赖于虚拟化技术，一台服务器可以根据用户需求，运行多台虚拟机，而虚拟网络是一个大的二层网络，虚拟机可以任意在其中迁移，那么一些二层攻击手段，如：以太网端口欺骗、ARP欺骗、ARP风暴等二层攻击问题，会对整个虚拟化系统造成威胁。另一方面，攻击者可以利用虚拟机将程序直接运行在服务器的内存中，可利用虚拟层漏洞，完成人侵，XEN、KVM、VMware等常见虚拟化软件，都能找到类似安全漏洞。此外，如Hypervisor虚拟化管理软件，作为虚拟机底层如果存在漏洞，则会影响到虚拟化下面的物理机自身安全。
　　1.4移动用户带来的云安全问题
　　随着智能手机的应用和普及，移动终端安全问题对传统网络安全防护体系形成了挑战，传统防火墙可以守住服务器的端口，但到了移动网络融入后，攻击从平面变为立体了，使得防护体系面临巨大挑战。
　　综上，云计算在各个层面都存在相应的安全威胁和问题，那么也需要一定的安全策略来解决以上问题。
　　2云计算环境下网络安全策略
　　2.1建立可信的身份认证和访问控制
　　身份认证可采用实名制的方式进行处理，进而有效避免用户对数据的非法访问。云环境下，在确保用户数字身份隐私性保护的前提下，通过实现身份联合和用户单点登录支持云中企业之间共享用户身份信息和认证服务，并减少重复认证带来的开销。此外，还要构建基于云环境的访问控制服务策略，保证用户角色清晰，权限明确，依据用户权限，确保数据信息的安全性、有效性，因而访问控制是云计算安全的核心内容。将已有的访问控制策略进行优化，降低访问控制规则开销，构建访问控制的模型框架，进而对访问控制过程進行加密处理，有效整合各种策略实现访问控制的最优化。
　　2.2加强数据保护
　　一是做好隐私保护。云中数据保护涉及数据生命周期的每一个阶段。无论施行何种云计算策略，都应保护用户数据免受未经授权访问，要对数据进行加密处理，控制用户权限，确保合法用户才能访问和查看数据内容。二是做好数据完整性保护。云端通过服务器集群、异地容灾和容错等技术，做到数据不丢失，采用数据快照回滚技术，降低用户误删除数据的损失。还要保护数据不受未经授权的修改和删除。云计算中有大量数据源和访问方法，应采取更为严格的访问方式，授权应确保只有被授权实体才能与数据进行交互。
　　2.3运用虚拟安全技术
　　虚拟技术是实现云计算的关键核心技术，云计算必须向客户提供安全性和隔离保证。一是通过隔离保护托管元素，业务在云中部署，任何功能都可能受到攻击，其托管和管理流程也变得可见易受攻击，如果将主机和功能连接隔离在一个专用子网络中，则不会受到外部访问的困扰。二是审核和测试所有组件。运用生命周期管理手段，确保组件在生命周期的每一个阶段只能访问同一服务实例中的其他组件，减少恶意软件在托管功能中引人风险。三是避免服务之间的交叉。虚拟网络进行更改时，都可能在不同的服务或功能部署之间建立连接，可能会产生数据平台泄露，有效管理虚拟连接可以降低错误风险。四是及时修补虚拟平台依托的物理平台的漏洞，避免发生虚拟机逃逸漏洞。
　　2.4综合运用防御技术
　　一是病毒防御技术。云计算环境下进行杀毒特点是，云端负责病毒相关信息的分析计算，而杀毒功能依赖于杀毒软件，所以云计算和杀毒软件并不是一个整体，却同时为消杀病毒发挥作用。在云环境下，不再借助客户端的病毒特征库，只需反病毒引擎技术就可以清理病毒，云端还需要配套相关的安全硬件设备、风险管理软件以及数据安全管理软件等，进而实现云端控制范围内的病毒进行有效预防。二是防火墙技术。传统防火墙部署在网络边界，只有授权人员可进入设备，网络保护相对简单。而云计算环境下，云计算的防火墙有两种，两种防火墙都可以检查入站和出站数据包以阻止恶意流量，但有很大不同。一种与传统防火墙功能相似，用于保护企业的网络和用户的防火墙，另一种是保护云基础设施和服务，基于云的服务，运行在虚拟数据中心，保护云端应用程序之间的流量，也称其为下一代防火墙。三是加密技术。为确保云计算的安全性，加密技术是其中的重要一环，客户端依据加密算法不同，可能增加解密的复杂度，给服务器端处理带来压力，云端可采取内容感知加密和保格式加密的加密方法，在数据防泄漏的同时，理解数据或格式，基于策略设置加密。云服务底层使用经国家密码管理局认证的密码机，通过虚拟化技术，帮助用户满足安全方面的要求，保护云上业务数据的隐私性要求。
　　云计算环境的安全涉及云环境部署的方方面面，每个提供云安全服务的企业都形成了各自的云策略架构，综合运用多种手段解决云安全问题，才能确保云计算带来便利的同时，达到安全性需要。
转载注明来源:https://www.xzbu.com/8/view-15266728.htm