近年來�,云計算是目前非常熱門的一個研究領域�,其實它并不是一種全新的技術,而是眾多技術的融入體��,包含分布式計算����、動態(tài)和拓展等種種各樣的技術算法,而虛擬化是云計算里最關鍵的一個技術����。
云安全問題是云計算技術進一步發(fā)展并得到廣泛使用的一個核心且富有挑戰(zhàn)的緊要問題,通過網狀的大量 用戶端對網絡中軟件行為的異常監(jiān)測來獲得互聯(lián)網中木馬�、惡意程序的最新信息,推送到云服務器端進行自動解析和處理�����,再把病毒和木馬的解決方法分發(fā)到每一個 用戶端��。它采用的是云計算處理機制,可以計算出Internet上的網絡威脅位置�����,在網絡威脅到達網絡前進行阻擋�����,進行即時探測和及時保護�。
虛擬化技術是在軟、硬件之間引入虛擬層�����,為使用提供單獨的運行環(huán)境�,屏蔽硬件平臺的動態(tài)性、分布性���、差別性等����,支持硬件資源的共享與復用���,并為每個客戶提供相互單獨��、隔離的計算機環(huán)境�����,同時方便整個系統(tǒng)的軟����、硬件資源的高效���、動態(tài)管理與維護���。而將虛擬化技術使用到云安全之中,這種手法在一定程度上降低了“云安全”企業(yè)的硬件成本和管理成本����,從某種程度上提升了“云安全”技術的安全性。
目前���,一些運作商�����、有實力的企業(yè)單位以及大型政府信息中心����,經過幾年的建設已經初步建成了基本設施即服務(IaaS)云,很多單位已經逐步將非核心的業(yè)務移植到云平臺上����,而核心業(yè)務的轉出因擔心數據中心和云平臺遭到數據泄漏或誘發(fā)業(yè)務中斷而開展緩慢。這其中由于虛擬化技術的引入���,打破了傳統(tǒng)的網絡邊界的劃分方式��,使得傳統(tǒng)的安全技術手段無法做到有效的安全防護��。再之����,如若虛擬機管理程序被劫持�����,安全漏洞會誘發(fā)平臺受到威脅��,更嚴重的是�����,安裝在基于主機使用系統(tǒng)分區(qū)上或者虛擬機管理程序上的傳統(tǒng)安全工具未能及時辨別威脅,如果威脅發(fā)生在那些大規(guī)模的虛擬化平臺上���,風險所產生的后果是可想而知的�。而云或基于基本設施的服務����,或基于軟件的服務等等�,大多都是虛擬化來實現(xiàn)的,很多時候是通過虛擬化來形成云���。
Gartner評估解析數據也顯示�,在數據中心虛擬化項目中最常見的安全危險有:
1�、未在虛擬化項目的前期引入信息安全措施;
2�����、虛擬化的危險會誘發(fā)其所有上層系統(tǒng)的危險�;
3、虛擬化層的數據泄漏能夠誘發(fā)所有托管使用的數據泄漏���;
4���、對管理程序/VMM以及管理工具的管理性訪問缺乏充分的控制���;
5、網絡和安全控制的職責分享可能會存在隱性的損失�����。
因此對于采用基于虛擬化的云平臺架構搭建IT環(huán)境的政府及企業(yè)客戶來說��,遠端數據的安全性和保密性�、訪問權限的危險性、隱私和靠譜性方面的安全隱患都是客戶啟用云計算所存在的考量問題�,客戶需要一套完整的安全方法能夠為虛擬和物理環(huán)境都提供持續(xù)的保護,并滿足其合規(guī)性檢查的需要�����。且隨著云計算市場的不斷壯大���,更多的軟硬件廠商投入了更大的研究力度���,一個健康、綠色的云計算體系日臻成熟����。
基于虛擬化技術的“云安全”的策略和手法:
1�����、虛擬化技術系統(tǒng)架構的實現(xiàn)
藍盾的BDCSS(CloudSec-Station)云計算安全平臺的網絡連接建立在分布式虛擬交換機技術上�����,支持開源技術Openvswitch。在Xen虛擬化平臺中�,傳統(tǒng)上其內部網絡緊要由虛擬網卡與虛擬橋接器組成,提供虛擬機橋接實體網絡及虛擬機之間彼此通信的機制��,而虛擬交換機技術的引入能夠帶給Hypervisor更多彈性化的功能來管控整體的虛擬網絡結構�。
2、系統(tǒng)性的安全解決方法
通過BDCSS為基于虛擬化的云數據中心提供系統(tǒng)性的安全解決方法�����,包含防火墻�����、入侵測試��、審計,以及漏洞掃描���、安管平臺等�����,以確保物理�����、虛擬和云環(huán)境中服務器的使用程序和數據的安全�。BDCSS具備先進的特質��,基于藍盾智慧安全框架“動立方”��,能夠為云和虛擬化環(huán)境提供主動防御���、自動安全保護����,以及多層聯(lián)動響應�����,用低成本、高回報的方式����,將傳統(tǒng)數據中心的安全策略擴展到云計算平臺上。
3.對服務器采取虛擬化的方法��,提升資源利用率
服務器整合即將原來單獨的服務器使用通過VMM(virtual machine manager)合并到同一個物理服務器上����。服務器采取虛擬化技術后,服務進程能在多個物理機之間透明即時轉移���,能更加充分地利用服務器中的閑置資源,通過動態(tài)資源配置提高業(yè)務的靈活適應能力���,提升服務器的資源利用率�����,提高服務器的計算能力�;可以通過散熱����、降低空間以及電力消耗等路徑壓縮成本降低服務器的管理費用���,簡化服務器的使用和維護工作;可以對系統(tǒng)及時更新并且不中斷客戶工作�,以及保護業(yè)務質量和安全。
4.虛擬機的鏡像管理和VS漏洞掃描器解除一定的安全隱患
由于虛擬化軟件本身具備簡單的備份還原功能�����,能在系統(tǒng)非正常啟用的情況下�����,通過簡單的使用迅速把系統(tǒng)恢復到任意以前正常的狀態(tài)��。但由于以前備份的狀態(tài)有可能存在著安全漏洞�,在下一次還原時,管理員可能由于疏忽而忘記重新打補丁或系統(tǒng)升級����,從而受到惡意軟件的威脅。
如果我們在部署虛擬化或者進行虛擬化移植之前��、期間或者之后充分思考到這些虛擬化技術原因���,利用漏洞掃描虛擬器件對主機內部外部的 用戶VM漏洞掃描�����、Web漏洞掃描����、弱密碼掃描等脆弱性測試,就有可能成功地實施虛擬基本設施轉移����,提前進行安全管理規(guī)劃,從而確保虛擬化管理的安全性��。
5.重新規(guī)范管理員的權限����,避免虛擬化文件被竊取
存放在遠程云中心中的數據,客戶不能通過物理控制���、邏輯控制等方式對數據的訪問進行控制,這就可能存在這樣的危險�����,云計算平臺提供商的超級客戶權限客戶有可能對企業(yè)的數據進行查看與修改。而且當很多虛擬機運行在物理服務器上時�,這些虛擬服務器管理員往往也接手了虛擬化網絡環(huán)境的管理工作,這就意味著管理員的權限提升了�,需要對管理員的權限重新規(guī)劃并明晰其職責范圍。除明晰管理員的職責外�,利用VM服務控制臺和虛擬管理控制臺對客戶身份進行雙因子認證,實現(xiàn)客戶訪問權限及訪問記錄管理等安全功能�����,可大幅降低非法身份的客戶訪問虛擬化文件��。
6����、數據加密、通信加密�����、防火墻技術�,形成虛擬化平臺的縱深保護
如果攻擊者可以攻破一個 用戶虛擬機,在同一個物理主機上運行的其它 用戶機也可能會被攻破�����,因為它們共享的是同樣的運行環(huán)境。因此需要通過動態(tài)加密的方式來確保云系統(tǒng)中數據的安全��,即對數據本身進行加密存放���。同時�����,通過云平臺系統(tǒng)通信傳輸加密����,建立安全的VPN傳輸通道���,并且結合傳統(tǒng)防火墻技術對外安全隔離�,防止黑客攻擊����,實現(xiàn)數據加密、保證傳輸安全私密等����,強化了物理服務器和虛擬主機的安全���。萬一其中一個虛擬化層面或者網絡層面出現(xiàn)問題�,由于數據是加密存放的,就可以給數據安全提供更多保障����。
總之,云計算產業(yè)具備巨大的市場前景���,云安全的發(fā)展給網絡時代互聯(lián)網的安全提供了更大的可能性���,它將是未來市場發(fā)展的趨向,我們需要能發(fā)揮它的優(yōu)點而規(guī)避其缺點��,將虛擬化技術與云安全技術有機結合�,實現(xiàn)完全意義上的云安全,只有安全得到保障�����,才能打破客戶顧慮�����,使云計算得到更快����、更深入的發(fā)展���,讓每個客戶在享受云計算帶來的便利時也成為辨別安全威脅的貢獻者。(來源:西部數碼新聞)
