浅析云计算平台的安全防护

2020-11-09宋婷婷

安阳师范学院学报 2020年5期

宋婷婷

(福州理工学院，福建福州 350508)

随着信息化技术和架构不断演进，云计算技术应运而生。该技术给各行各业的应用带来了便利，又具有降低能耗，节省成本等优势。但由于云计算的集中管理和大规模应用，易成为黑客攻击的重点对象。近几年习主席多次强调：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障[1]。”2019年12月1日正式实施的信息安全等级保护2.0成了各云计算平台合格验收的硬性条件。可见，云计算平台的安全问题愈发受到重视。

1 云计算平台

1.1 云计算平台服务模式

云计算是利用虚拟化软件把许多计算资源整合起来，实现自动化管理，通过互联网就能快速提供相关资源。其服务有三种模式，如图1，分别是 IaaS、PaaS、SaaS。

图1 IaaS、PaaS、SaaS架构图

IaaS：基础设施即服务，提供对包括CPU、内存、网络、存储等所有计算基础设施的应用服务。

PaaS：平台即服务，提供开发语言(如Java，python, .Net等)和工具开发的应用程序在云计算环境中部署。使用者可直接应用云计算环境中的开发语言和工具等，而不需要控制包括网络、宿主机、存储等云计算基础设施。

SaaS：软件即服务，提供的服务是运行在云计算基础设施上的应用程序，使用者可在各种设备上通过客户端界面访问(如浏览器)，而不需要管理任何云计算基础设施[2]。

1.2 云计算平台架构

为更清楚地介绍云计算平台的安全防护，需要了解云平台架构。目前不论是公有云、私有云还是混合云，根据云平台需求规模和将来部署在云平台上的应用需求，来选择不同部署方式。如果应用系统要求读写快、高性能、高安全、高可靠，则可选择FCSAN集中式存储部署。如中小规模的政务云、中小企业或学校的私有云等。若应用系统要求高扩展、易运维和上线快，则可选择分布式存储部署平台，如中国电信的大型公有云平台、天翼云等。

图2 云资源池平台通用架构图

下面以FCSAN集中式存储方式部署云平台为例，进行云平台架构的介绍。如图2，云资源池平台一般由FC存储、光纤交换机、服务器、接入交换机、汇聚交换机、核心交换机和防火墙搭建而成。当然根据运营商接入数量和业务访问级别，视情况需要增加链路负载均衡和服务器负载均衡等设备。

在云平台搭建过程中须充分考虑冗余，以保证应用业务的连续性。所以光纤交换机、接入交换机、汇聚交换机和核心交换机一般是两台堆叠，服务器双链路和相应的交换机互联。FC存储上不同控制器的前端端口和两台光纤交换机要交叉互联，同时为了使业务、管理和存储流量相互隔离，在云平台设计时要考虑业务网、管理网和存储网分开。

2 云计算平台安全防护必要性

一般的云计算平台防护比较脆弱，基本上靠防火墙等安全设备对云平台和其承载的应用业务进行安全防护。由于安全防护弱，再加上云平台集中承载应用业务和大量数据，一旦受到攻击，影响面就非常大，所以很容易成为黑客攻击的对象。因此做好云平台的安全防护是十分必要。目前云计算平台面临的主要安全威胁方式如下：

1．恶意程序。恶意程序是一段带有攻击目的的程序，主要有特洛伊木马、蠕虫病毒等。2019 年全年捕获计算机恶意程序样本数量超过 6200 万个，日均传播次数达 824 万余次，涉及计算机恶意程序家族 66 万余个。恶意程序对云平台和应用的安全危害风险可见一斑。

2．安全漏洞。安全漏洞是指计算机硬件、操作系统、应用程序、中间件和数据库在开发时，受到技术限制或无意中留下的入口。它会使计算机遭受病毒和黑客攻击。常见的安全漏洞有代码注入，缓存区溢出，会话固定，路径访问，跨站漏洞等。2019年国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量创下历史新高，收录安全漏洞数量同比增长了 14.0%，共计16193个。

3．DDoS攻击。分布式拒绝服务攻击(DDoS)是指在不同地方的攻击者同时向目标发动攻击，通常会造成出口网络拥塞，云主机无法访问，很多大型网站都无法进行操作等现象。最常见的攻击方式是SYN Flood，它是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式[3]。2019年抽样监测发现我国境内峰值超过10Gbps 的大流量分布式拒绝服务攻击(DDoS 攻击)事件数量平均每日220起，同比增加40%。

4．网站安全。网站安全主要面临网站仿冒，网站后门和网页篡改等风险。攻击者主要利用Web服务器的漏洞和网页漏洞发起攻击。2019 年监测发现约 8.5万个针对我国境内网站的仿冒页面，页面数量较 2018年增长了59.7%；监测网站植入后门，境内外对我国境内约 8.5万个网站植入后门，比2018年增长超过2.59倍；监测网页篡改的网站有约18.6万个。

5．云平台安全。2019年发生在我国云平台上的网络安全事件相比2018年进一步加剧。首先，我国主流云平台上发生DDoS 攻击次数占境内目标被攻击次数的74.0%、被植入后门链接数量占境内全部被植入后门链接数量的86.3%、被篡改网页数量占境内被篡改网页数量的87.9%；其次，攻击者经常利用我国云平台发起网络攻击[4]。云平台作为控制端发起DDoS攻击次数占境内控制发起DDoS攻击次数的86.0%，作为木马和僵尸网络恶意程序控制的被控端IP地址数量占境内全部被控端IP地址数量的89.3%，承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的81.0%。

可见，云平台安全形势日益严重，加强云计算平台安全防护刻不容缓，云计算平台的安全防护则显得十分重要。

3 云计算平台安全防护建设方案

随着云计算平台安全形势愈发严峻，为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，国家发布的《信息安全技术网络安全等级保护基本要求》2.0版本，在2019年12月1日正式生效。信息安全等级保护1.0版本主要强调物理主机、应用、数据、传输，而信息安全等级保护2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖[5]。国家要求对新建的且用于提供运营的云计算平台必须达到信息安全等级保护三级2.0标准，即满足安全通信网络、安全区域边界、安全计算环境和安全管理中心的要求。云平台安全防护架构如图3所示。

根据《信息安全技术网络安全等级保护基本要求》2.0版本要求，对云平台进行安全防护离不开增加必要的安全设备。图3中有三角号标识的设备为在云计算平台架构基础上新增的安全设备。详细说明如下：

下一代防火墙(2台)：部署在边界安全防护区。它能够为用户提供应用层一体化安全防护的高性能防火墙，能够准确识别用户、应用、内容和威胁，并且集成了多种安全防护功能，包括入侵防御和防病毒功能。

Web安全防护系统(2台)：简称WAF，部署在边界安全防护区。当访问流量经过WAF时，根据已设置的策略，能有效识别访问云计算平台上承载的网站非法行为，从而进行阻断。WAF主要功能为阻止Web攻击、防入侵、防止挂马、防通报、防爬虫、防CC攻击、防WebShell攻击等。

日志审计系统(1台)：部署在云平台管理区。维护人员通过配置日志审计系统，把服务器、存储、交换机、安全设备、虚拟机等系统日志自动存到日志服务器上，并自动进行日志分析，从而及时发现异常日志。根据信息安全等级保护2.0的规定，日志审计服务器需保证日志留存时间不少于180天，且能防止日志被篡改，能够向管理员提出警告。

堡垒机(1台)：部署在云平台管理区。维护人员把云计算平台中需要管理和运维的设备配置到堡垒机中，就可通过堡垒机对各个设备进行运维管理。运用堡垒机本身技术手段，监控和记录维护人员对云平台中各种设备的操作行为，以便报警、及时发现和处理异常操作、审计时的责任认定等。

安全态势感知平台(1台)：部署在云平台管理区。安全态势感知平台一般包含安全态势感知探针和安全态势感知系统。探针通过镜像流量的方式把核心交换机上的业务流量进行收集，并在安全态势感知系统上进行分析和结果展现。安全态势感知系统以全流量分析为核心，结合威胁情报、行为分析建模，UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术，对全网流量实现全网威胁可视化、攻击与可疑流量可视化等，在高级威胁入侵之后，损失发生之前及时发现威胁[6]。

网管系统(1台)：部署在云平台管理区。网管系统能够对云平台中的服务器的CPU、内存、文件系统、硬盘、存储的LUN使用率、交换机端口DOWN/UP等进行性能监控，能够根据设置的阈值及时发现设备性能异常，起到报警作用。

漏洞扫描设备(1台)：部署在云平台管理区。定期使用漏洞扫描工具对云平台的网络设备、数据库、主机等进行漏洞扫描，并将发现的漏洞及时进行修复。

数据库审计系统(1台)：旁挂在汇聚交换机上，维护人员可以通过对数据库审计系统配置实现对SQLServer数据库、MySQL数据库和Oracle数据库等主流数据库进行操作审计。当出现非法人员对数据篡改等违规操作时，数据库审计系统会提示、报警。根据信息安全等级保护三级2.0的规定，数据库审计信息留存时间不少于180天。

其他安全要求：对全网内交换机、防火墙等网络设备，用命令行登录的要设置成SSH登录，通过Web登录的要使用HTTPS登录，同时相关设备的登录要设置ACL，限制特定用户登录。

综上，根据信息安全等级保护2.0要求，对云计算平台安全防护进行规划和设计，通过新增安全设备和策略配置，能够保证及时发现和处理安全事件，从而保证云平台的安全稳定运行。