栗强强

【摘要】云观念下实施的现代IT技术，正以强健发展的态势来满足各行业需求，SaaS、PssS、IaaS三种云交付模型在使用过程中也会经受来自用户的各种安全考验。本文分析了云计算过程中产生的安全威胁，然后提出了相应的解决方案与策略。

【关键词】云计算 安全威胁 方案与策略

虚拟化技术是云计算技术的核心组成部分，云计算的虚拟化不同于传统的单一虚拟化，它是涵盖整个IT架构，包括基础资源、网络、应用、桌面的全系统虚拟化，它将各种计算资源和存储进行高效整合与利用，实现集中化管理[1]。通过虚拟化技术可以实现IT架构的动态变化，基础设备、软件应用和数据使用虚拟化可以实现隔离，打破硬件配置、软件部署和数据分布的界限，能够动态使用物理资源和虚拟资源，扩展系统应用需求，提高系统适应环境的能力。

虽然虚拟化与云计算打破了IT基础资源与用户之间的粘合性，但其共享的特性也给用户带来安全威胁，促使人们尤其关心安全问题。例如，云计算本身安不安全，怎样获得安全的云服务，云计算如何来改善安全，都已经成为云计算研究安全的热点。

和云计算一样，云安全也没有统一规范的定义，总之，云安全就是确保用户在稳定和私密的情况下访问云数据中心应用，且能够保证用户数据的完整性和机密性。

1. 云安全威胁

云服务的使用，需要用户将应用软件、数据迁移到云端，在这过程中安全问题尤为重要。认清顶级云安全威胁，是最小化云安全风险第一步。

1.1 数据泄露

云端面对的威胁与传统企业网络面对威胁相同，大量私有的数据存储在云数据中心，云服务商变成了黑客下手的目标。受到攻击之后的严重程度取决于泄露或丢失数据的敏感性，财务信息、商业机密、知识产权的泄露会更是对用户造成毁灭性对的打击。虽然云服务商会部署安全策略来防护云环境，但使用过程中，云安全防护的责任还是落在使用者一方。

1.2 盗用凭证和身份认证

身份认证不严格，使用弱密码、密钥或凭证管理松懈导致被黑或被利用，非法对网络设备和IT基础资源进行使用，擅自扩大使用权限，越权访问信息，恶意删除、修改和泄露数据会对云安全造成巨大威胁。例如，企业给予员工系统权限时，会忘记人员调动和离职需要将权限撤销与调整，造成身份管理的混乱，加重云安全风险。采用多因子身份验证系统，如一次性密码，手机身份认证，智能卡，人脸识别等，可以有效保护云服务。

1.3 系统漏洞利用

应用软件或系统在逻辑上存在缺陷和错误被入侵者利用，达到控制主机或破坏的目的。所有软件和系统都存在漏洞，但随着云端多用户的出现，导致很多漏洞被发现，云安全问题随之增大。企业中存在共享数据库、存储和其它基础资源，使用情况复杂，漏洞的发现导致新的攻击方式的出现。

1.4弱界面与API被黑

现行的每个云服务和云应用都提供API。软件工程师使用界面和API进行云服务管理和互动，用户可以使用界面和API进行服务的开通、配置、管理和检测。APP用户通过互联网的身份认证、访问控制、数据加密和行为监测的安全依赖于API的安全。弱界面和API漏洞会使企业面临的更多的安全问题，数据机密性、完整性和可靠性都会受到严重考验。

1.5 DOS攻击

拒绝服务攻击，对服务系统不断干扰，改变其正常工作流程或執行无关程序，导致服务系统消耗大量的处理能力，拖慢响应速度甚至直接超时，最终影响合法用户正常使用云资源。

云安全威胁涉及面广，文章未提及的还包括账户劫持、企业内部人士恶心操作、APT寄生虫、云服务滥用等方面。

2. 云安全防护策略

云安全防护策略涉及IT基础设施安全、数据安全、应用安全以及虚拟化安全。本文着重介绍基础设施安全。

2.1 基础设施安全

云服务的底层是云基础设施，它承载服务的应用和平台，云服务的安全和可信才能确保云端用户数据和应用的安全。

2.1.1 数据可控和数据隔离

对于云安全威胁中的数据泄露，主要解决方法就是数据隔离。通常有三种途径：①让用户根据自己需求使用网络安全策略。②云端用户数据存储采用虚拟设备，虚拟存储设备位于大规模存储阵列上，能够底层进行数据隔离，保证用户只能对应各自数据。③在数据中心使用虚拟化技术能够更好的实现隔离，以及使用VMFS文件系统。

2.1.2 建立远程管理机制

IaaS提供的资源在云数据中心，因此用户需要远程连接管理，最常见的远程管理机制包括：①VPN：提供到IaaS的安全连接。②远程桌面、远程Shell：最常见就是使用SSh，避免直接Telnet。③web控制台UI：云服务商提供用户自定义远程管理界面。

对应的安全策略包括：①使用多因子认证机制，或使用动态共享密钥，或者缩短密钥共享时间。②对多次使用的用户名和密码进行变更。③发现漏洞及时安装补丁。④传输数据时应使用VPN，选用IPsec、SSLv3或TLSv1。

2.1.3 数据中心软硬件部署与虚拟化厂商、使用技术的选择

在数据中心部署软硬件时，需要考虑品牌厂商。设备的选择要要综合考虑质量、扩展性、价格、可维护性等。选择能够支持云安全的设备厂商，定期更新补丁、巡检，关注数据中心安全。使用成熟的虚拟化技术不但能够预防云安全风险，而且能提升云端系统的安全性。

2.14 建立健全的IT行业规范

建立健全的法律准则和行业规范，对于IT人不道德的行为进行约束，从人为角度防止数据安全风险。云服务商应使用虚拟机漂移追踪技术、基础设施服务下数据独特的加密技术，让用户可以追踪自己的数据，感知数据底层存储的安全。

3. 数据安全

数据安全和隐私保护是用户最关心的安全服务。不管使用哪种云交付模型，用户和云服务商都应该注意避免数据丢失和被窃。从数据安全生命周期和云应用数据流程综合考虑，涉及数据传输安全、数据存储安全、数据残留等关键云安全防护技术。

4. 应用安全

保证云应用安全，要有措施防护终端客户安全、SaaS应用安全、PaaS应用安全。例如，在云客户端安装反恶意软件和杀毒软件，开启防火墙与防御功能;关注 SaaS服务商提供的身份认证和访问控制功能，采取必要措施，保护在云中的数据，做到定期修改密码不使用弱密码等。

5. 结论

云计算就像互联网浪潮中的巨舰，云安全就是巨舰的动力装置，动力装置强势够稳定，巨舰才可以快速前行，势如破竹，反之停止不前，被海浪吞噬。云计算、云安全需要各方做出努力，让它给生活带来便捷和安全。

参考文献：

[1]冒海波.云环境下数据安全防护体系的研究与应用[D].江苏：江苏科技大学，2017