近年來(lái),云計(jì)算是目前非常熱門(mén)的一個(gè)研究領(lǐng)域��,其實(shí)它并不是一種全新的技術(shù)�����,而是眾多技術(shù)的融入體����,包含分布式計(jì)算�、動(dòng)態(tài)和拓展等種種各樣的技術(shù)算法�����,而虛擬化是云計(jì)算里最關(guān)鍵的一個(gè)技術(shù)��。
云安全問(wèn)題是云計(jì)算技術(shù)進(jìn)一步發(fā)展并得到廣泛使用的一個(gè)核心且富有挑戰(zhàn)的緊要問(wèn)題���,通過(guò)網(wǎng)狀的大量 用戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)來(lái)獲得互聯(lián)網(wǎng)中木馬、惡意程序的最新信息����,推送到云服務(wù)器端進(jìn)行自動(dòng)解析和處理,再把病毒和木馬的解決方法分發(fā)到每一個(gè) 用戶端��。它采用的是云計(jì)算處理機(jī)制�����,可以計(jì)算出Internet上的網(wǎng)絡(luò)威脅位置�,在網(wǎng)絡(luò)威脅到達(dá)網(wǎng)絡(luò)前進(jìn)行阻擋,進(jìn)行即時(shí)探測(cè)和及時(shí)保護(hù)��。
虛擬化技術(shù)是在軟、硬件之間引入虛擬層�����,為使用提供單獨(dú)的運(yùn)行環(huán)境���,屏蔽硬件平臺(tái)的動(dòng)態(tài)性����、分布性�����、差別性等����,支持硬件資源的共享與復(fù)用���,并為每個(gè)客戶提供相互單獨(dú)��、隔離的計(jì)算機(jī)環(huán)境��,同時(shí)方便整個(gè)系統(tǒng)的軟���、硬件資源的高效����、動(dòng)態(tài)管理與維護(hù)����。而將虛擬化技術(shù)使用到云安全之中����,這種手法在一定程度上降低了“云安全”企業(yè)的硬件成本和管理成本,從某種程度上提升了“云安全”技術(shù)的安全性����。
目前,一些運(yùn)作商���、有實(shí)力的企業(yè)單位以及大型政府信息中心��,經(jīng)過(guò)幾年的建設(shè)已經(jīng)初步建成了基本設(shè)施即服務(wù)(IaaS)云�����,很多單位已經(jīng)逐步將非核心的業(yè)務(wù)移植到云平臺(tái)上�����,而核心業(yè)務(wù)的轉(zhuǎn)出因擔(dān)心數(shù)據(jù)中心和云平臺(tái)遭到數(shù)據(jù)泄漏或誘發(fā)業(yè)務(wù)中斷而開(kāi)展緩慢�。這其中由于虛擬化技術(shù)的引入,打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式�,使得傳統(tǒng)的安全技術(shù)手段無(wú)法做到有效的安全防護(hù)。再之�����,如若虛擬機(jī)管理程序被劫持�,安全漏洞會(huì)誘發(fā)平臺(tái)受到威脅,更嚴(yán)重的是����,安裝在基于主機(jī)使用系統(tǒng)分區(qū)上或者虛擬機(jī)管理程序上的傳統(tǒng)安全工具未能及時(shí)辨別威脅,如果威脅發(fā)生在那些大規(guī)模的虛擬化平臺(tái)上�,風(fēng)險(xiǎn)所產(chǎn)生的后果是可想而知的。而云或基于基本設(shè)施的服務(wù)��,或基于軟件的服務(wù)等等����,大多都是虛擬化來(lái)實(shí)現(xiàn)的,很多時(shí)候是通過(guò)虛擬化來(lái)形成云����。
Gartner評(píng)估解析數(shù)據(jù)也顯示�����,在數(shù)據(jù)中心虛擬化項(xiàng)目中最常見(jiàn)的安全危險(xiǎn)有:
1�、未在虛擬化項(xiàng)目的前期引入信息安全措施�����;
2�、虛擬化的危險(xiǎn)會(huì)誘發(fā)其所有上層系統(tǒng)的危險(xiǎn)����;
3、虛擬化層的數(shù)據(jù)泄漏能夠誘發(fā)所有托管使用的數(shù)據(jù)泄漏�����;
4����、對(duì)管理程序/VMM以及管理工具的管理性訪問(wèn)缺乏充分的控制����;
5�����、網(wǎng)絡(luò)和安全控制的職責(zé)分享可能會(huì)存在隱性的損失����。
因此對(duì)于采用基于虛擬化的云平臺(tái)架構(gòu)搭建IT環(huán)境的政府及企業(yè)客戶來(lái)說(shuō)���,遠(yuǎn)端數(shù)據(jù)的安全性和保密性���、訪問(wèn)權(quán)限的危險(xiǎn)性、隱私和靠譜性方面的安全隱患都是客戶啟用云計(jì)算所存在的考量問(wèn)題���,客戶需要一套完整的安全方法能夠?yàn)樘摂M和物理環(huán)境都提供持續(xù)的保護(hù)��,并滿足其合規(guī)性檢查的需要���。且隨著云計(jì)算市場(chǎng)的不斷壯大,更多的軟硬件廠商投入了更大的研究力度�����,一個(gè)健康、綠色的云計(jì)算體系日臻成熟����。
基于虛擬化技術(shù)的“云安全”的策略和手法:
1、虛擬化技術(shù)系統(tǒng)架構(gòu)的實(shí)現(xiàn)
藍(lán)盾的BDCSS(CloudSec-Station)云計(jì)算安全平臺(tái)的網(wǎng)絡(luò)連接建立在分布式虛擬交換機(jī)技術(shù)上����,支持開(kāi)源技術(shù)Openvswitch。在Xen虛擬化平臺(tái)中�����,傳統(tǒng)上其內(nèi)部網(wǎng)絡(luò)緊要由虛擬網(wǎng)卡與虛擬橋接器組成�,提供虛擬機(jī)橋接實(shí)體網(wǎng)絡(luò)及虛擬機(jī)之間彼此通信的機(jī)制,而虛擬交換機(jī)技術(shù)的引入能夠帶給Hypervisor更多彈性化的功能來(lái)管控整體的虛擬網(wǎng)絡(luò)結(jié)構(gòu)�����。
2����、系統(tǒng)性的安全解決方法
通過(guò)BDCSS為基于虛擬化的云數(shù)據(jù)中心提供系統(tǒng)性的安全解決方法�����,包含防火墻、入侵測(cè)試���、審計(jì)�,以及漏洞掃描���、安管平臺(tái)等�,以確保物理����、虛擬和云環(huán)境中服務(wù)器的使用程序和數(shù)據(jù)的安全。BDCSS具備先進(jìn)的特質(zhì)����,基于藍(lán)盾智慧安全框架“動(dòng)立方”,能夠?yàn)樵坪吞摂M化環(huán)境提供主動(dòng)防御�、自動(dòng)安全保護(hù),以及多層聯(lián)動(dòng)響應(yīng)��,用低成本�����、高回報(bào)的方式,將傳統(tǒng)數(shù)據(jù)中心的安全策略擴(kuò)展到云計(jì)算平臺(tái)上�。
3.對(duì)服務(wù)器采取虛擬化的方法,提升資源利用率
服務(wù)器整合即將原來(lái)單獨(dú)的服務(wù)器使用通過(guò)VMM(virtual machine manager)合并到同一個(gè)物理服務(wù)器上����。服務(wù)器采取虛擬化技術(shù)后,服務(wù)進(jìn)程能在多個(gè)物理機(jī)之間透明即時(shí)轉(zhuǎn)移���,能更加充分地利用服務(wù)器中的閑置資源,通過(guò)動(dòng)態(tài)資源配置提高業(yè)務(wù)的靈活適應(yīng)能力�,提升服務(wù)器的資源利用率,提高服務(wù)器的計(jì)算能力�����;可以通過(guò)散熱��、降低空間以及電力消耗等路徑壓縮成本降低服務(wù)器的管理費(fèi)用��,簡(jiǎn)化服務(wù)器的使用和維護(hù)工作���;可以對(duì)系統(tǒng)及時(shí)更新并且不中斷客戶工作,以及保護(hù)業(yè)務(wù)質(zhì)量和安全��。
4.虛擬機(jī)的鏡像管理和VS漏洞掃描器解除一定的安全隱患
由于虛擬化軟件本身具備簡(jiǎn)單的備份還原功能,能在系統(tǒng)非正常啟用的情況下����,通過(guò)簡(jiǎn)單的使用迅速把系統(tǒng)恢復(fù)到任意以前正常的狀態(tài)。但由于以前備份的狀態(tài)有可能存在著安全漏洞��,在下一次還原時(shí)��,管理員可能由于疏忽而忘記重新打補(bǔ)丁或系統(tǒng)升級(jí)���,從而受到惡意軟件的威脅��。
如果我們?cè)诓渴鹛摂M化或者進(jìn)行虛擬化移植之前�����、期間或者之后充分思考到這些虛擬化技術(shù)原因����,利用漏洞掃描虛擬器件對(duì)主機(jī)內(nèi)部外部的 用戶VM漏洞掃描����、Web漏洞掃描、弱密碼掃描等脆弱性測(cè)試�����,就有可能成功地實(shí)施虛擬基本設(shè)施轉(zhuǎn)移,提前進(jìn)行安全管理規(guī)劃�,從而確保虛擬化管理的安全性。
5.重新規(guī)范管理員的權(quán)限����,避免虛擬化文件被竊取
存放在遠(yuǎn)程云中心中的數(shù)據(jù),客戶不能通過(guò)物理控制�����、邏輯控制等方式對(duì)數(shù)據(jù)的訪問(wèn)進(jìn)行控制���,這就可能存在這樣的危險(xiǎn)�����,云計(jì)算平臺(tái)提供商的超級(jí)客戶權(quán)限客戶有可能對(duì)企業(yè)的數(shù)據(jù)進(jìn)行查看與修改�。而且當(dāng)很多虛擬機(jī)運(yùn)行在物理服務(wù)器上時(shí)���,這些虛擬服務(wù)器管理員往往也接手了虛擬化網(wǎng)絡(luò)環(huán)境的管理工作��,這就意味著管理員的權(quán)限提升了�,需要對(duì)管理員的權(quán)限重新規(guī)劃并明晰其職責(zé)范圍�����。除明晰管理員的職責(zé)外�,利用VM服務(wù)控制臺(tái)和虛擬管理控制臺(tái)對(duì)客戶身份進(jìn)行雙因子認(rèn)證,實(shí)現(xiàn)客戶訪問(wèn)權(quán)限及訪問(wèn)記錄管理等安全功能���,可大幅降低非法身份的客戶訪問(wèn)虛擬化文件��。
6���、數(shù)據(jù)加密、通信加密����、防火墻技術(shù),形成虛擬化平臺(tái)的縱深保護(hù)
如果攻擊者可以攻破一個(gè) 用戶虛擬機(jī)����,在同一個(gè)物理主機(jī)上運(yùn)行的其它 用戶機(jī)也可能會(huì)被攻破,因?yàn)樗鼈児蚕淼氖峭瑯拥倪\(yùn)行環(huán)境���。因此需要通過(guò)動(dòng)態(tài)加密的方式來(lái)確保云系統(tǒng)中數(shù)據(jù)的安全����,即對(duì)數(shù)據(jù)本身進(jìn)行加密存放。同時(shí)����,通過(guò)云平臺(tái)系統(tǒng)通信傳輸加密,建立安全的VPN傳輸通道��,并且結(jié)合傳統(tǒng)防火墻技術(shù)對(duì)外安全隔離��,防止黑客攻擊����,實(shí)現(xiàn)數(shù)據(jù)加密、保證傳輸安全私密等���,強(qiáng)化了物理服務(wù)器和虛擬主機(jī)的安全�。萬(wàn)一其中一個(gè)虛擬化層面或者網(wǎng)絡(luò)層面出現(xiàn)問(wèn)題�,由于數(shù)據(jù)是加密存放的,就可以給數(shù)據(jù)安全提供更多保障����。
總之,云計(jì)算產(chǎn)業(yè)具備巨大的市場(chǎng)前景�,云安全的發(fā)展給網(wǎng)絡(luò)時(shí)代互聯(lián)網(wǎng)的安全提供了更大的可能性�����,它將是未來(lái)市場(chǎng)發(fā)展的趨向�����,我們需要能發(fā)揮它的優(yōu)點(diǎn)而規(guī)避其缺點(diǎn),將虛擬化技術(shù)與云安全技術(shù)有機(jī)結(jié)合����,實(shí)現(xiàn)完全意義上的云安全,只有安全得到保障���,才能打破客戶顧慮��,使云計(jì)算得到更快�、更深入的發(fā)展��,讓每個(gè)客戶在享受云計(jì)算帶來(lái)的便利時(shí)也成為辨別安全威脅的貢獻(xiàn)者���。(來(lái)源:西部數(shù)碼新聞)
