云计算网络信息安全防护思路探究
Posted 信息安全与通信保密杂志社
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了云计算网络信息安全防护思路探究相关的知识,希望对你有一定的参考价值。
引
用
本
文
关键词:云计算;网络安全;信息安全;互联网
内容目录:
0 引言
1 云计算网络与信息安全概述
2 云计算面临的信息安全问题
2.1 传统安全威胁
2.2 云计算特有风险
3 云计算网络信息安全防护思路
3.1 建立完整的信息安全保障体系
3.2 建立完整的防火墙防护体系和DDOS攻击防 护体系
3.2.1 建立完整的防火墙防护体系
3.2.2 建立完整的DDoS防护体系
3.3 利用漏洞扫描主动防御
3.4 利用多重身份认证技术
3.5 建立完整入侵检测体系
3.6 建立防病毒防护体系
4 结 语
随着云计算时代的发展,云应用会渗透到我们 生活的方方面面,我们在尽情享受云计算带来的便 利同时,也面临着网络与信息安全的威胁。而且情 况变得越来越严重,人们应该对这一问题得到认识 并懂得相关的知识以提高防范意识,本文就现在云 计算网络环境下做相关的信息安全及网络防护问题 的研究与探讨。
1 云计算网络与信息安全概述
信息安全简而言之就是信息的在使用中的安 全程度,主要由 CIA (Confidentiality、Integrity、 Availability )衡量,即:保密性、完整性、可用性。网络与信息安全治理包含的范围有网络安全、运营 安全、访问控制、软件开发安全等。
网络环境是保 障信息安全的前提,只有拥有一个可靠网络环境下 的信息安全保障体系,才是保证信息系统稳定运行 的关键所在。可以将网络信息安全看成是多个安全 单元的集合,其中每个单元都是一个整体,包含了 多个特性,_般从安全特性、安全层次和系统单元 去理解网络信息安全。
2 云计算面临的信息安全问题
分布式拒绝服务(Distributed Denial of Service, DDoS)攻击依然是云平台面临的主要威胁之一,尤 其是针对云平台业务系统的攻击行为以及由云平台 内部外发的攻击行为,对整个云平台大网均存在安 全隐患;
包括僵尸、木马、病毒、蠕虫等传统安全威胁 仍然是云平台面临的重要风险之一,在云平台内, 如租户隔离、区域隔离措施不当,这类威胁将会更 快、更迅速的在云平台内部进行传播,给云平台带 来极大安全隐患;
云承载着各类业务系统,尤其是Web业务系 统,仍然面临着包括SQL注入、XSS、命令注入、 跨站请求伪造、非法上传下载、Web服务器/插件 漏洞攻击、爬虫攻击、Webshell、暴力破解等传统 的Web应用攻击威胁;
云内IT主机非常多,包括Windows系统、 Linux系统、UNIX系统、网络交换设备、数据库及 中间件等都面临着各类安全漏洞风险,传统的漏洞 利用方式攻击手段依然有效。
2.2 云计算特有风险
数据泄露风险:云计算内存储着大量的用户数 据,数据量越大、价值越高安全威胁也就越高。因 此云平台内面临着数据泄露、篡改等安全隐患。
隔离失效风险:在云计算环境中,计算能力、 存储与网络在多个用户之间共享。如果不能对不同 用户的存储、内存、虚拟机、路由等进行有效隔离, 恶意用户就可能访问其他用户的数据并进行修改、 删除等操作。
虚机逃逸:虚拟机逃逸是指利用虚拟机软件或 者虚拟机中运行的软件的漏洞进行攻击,以达到攻 击或控制虚拟机宿主操作系统的目的。主要利用虚 机本身或Hypervisor层的安全漏洞造成在Hypervisor 层执行任意代码,进而实现虚机逃逸;
虚机内存泄露:当虚拟机共享或者重新分配硬 件资源时会造成很多的安全风险。信息可能会在 虚拟机之间被泄露。例如,如果虚拟机占用了额 外的内存,然而在释放的时候没有重置这些区域, 分配在这块内存上的新的虚拟机就可以读取到敏感 信息;
虚拟化通信:虚机通信模式基本在大二层网络 环境中,传统的网络边界检测及防护手段在应对东 西向流量通信时无法提供有效检测及处置。
运营模式风险:云计算带来新的运营模式的改 变,各类业务资源需要按需弹性扩展提供,在使用 的过程中可能存在云计算资源能力的滥用造成资源 的浪费;用户侧失去对资源的直接控制,云计算的 地域特性及租户的流动性为云服务提供商合规性要 求、安全监管以及隐私保护提出了更高的要求。
3 云计算网络信息安全防护思路
3.1 建立完整的信息安全保障体系
建立重要信息备份审计机制。重要信息保护包 括重要信息备份、重要系统备份、网络接口设置主 备等,并且需要瞄账号审计工作,对修改、查看、 删除重要信息的操作日志进行记录。由于云计算网 络的特殊性,大量的数据集群在云端,做备份和审 计工作会增加系统资源消耗和财产资源消耗,但是 如果云网络瘫痪且没有良好的备份,那么将会造成 不可弥补的巨大损失。
3.2 建立完整的防火墙防护体系和DDOS攻击防 护体系
3.2.1 建立完整的防火墙防护体系
集中式防火墙将虚拟防火墙集中在云安全资 源池中,旁挂在云计算环境之外,此方式要想防护 到目的流量,需要将云计算网络中的流量牵引到云 安全资源池,流量经过虚拟防火墙后再注回原云 计算网络中。其中软件定义网络(Software Defined Network, SDN )技术能够方便的实现将被防护流量 注回云安全资源池中,所以一般有SDN技术的云 数据中心,通常采用此种方式。
分布式部署方式将虚拟防火墙部署在每个租 户虚拟私有网络(Virtual Private Cloud, VPC )边 界。不同的VPC用虚拟局域网(Virtual Local Area Network, VLAN)隔离的情况下,可以把虚拟主机 和虚拟化防火墙的业务网口加入同一个VLAN,或 者用安全组隔离的情况下,可以把虚拟主机和虚拟 防火墙的业务网口加入同一端口组列表。该VPC内 的虚拟主机在访问其它区域的虚拟主机的时候,流 量就必须经过虚拟化防火墙,需要虚拟化防火墙作 为网关来做访问控制。如图1所示为云计算网络中 的防火墙部署拓扑。
图1 云计算网络防火墙部署图(分布式、集中式)
在云计算网络环境中,不仅仅是网络资源需 要防火墙的防护,云平台的虚拟机中承载着大量的 Web应用服务,所以还需部署网站应用级入侵防御 系统(Web Application Firewall, WAF )来应对各种 通过Web应用传入的威胁。通过严格的访问控制, 防止Web应用被入侵,以保护整个系统的可用性。对于部署方式,由于出入口的流量较大,所以常采 用旁路的方式旁挂在出口路由器上,将特定网络地 址(Internet Protocol Address, IP )的 http/https 流量 引导到WAF上,WAF对流量进行过滤转发,最终 实现Web应用安全防护。
3.2.2 建立完整的DDoS防护体系
云平台上分布着大量虚拟服务器,攻击者针对 云计算架构的DoS攻击在流量上提高了攻击当量来 达到攻击效果叫 所以建立一个完整的DDoS防护 体系是一个巨大的挑战。
在云计算网络架构的网络出口处建立黑洞路由 进行防护,这是对抗DDoS攻击比较好的方法。当 DOS攻击进行时,在攻击路径上设置路由黑洞,能 够使得攻击数据包在此丢弃而不送往受害机器,避 免了受害机器因不断接收巨量数据包导致挂死。
使用DDoS防火墙和异常流量检测与清洗设备 对抗攻击。当应对小流量的DDoS攻击时,设置简 单的防火墙策略和DDoS应用软件就能够进行防护。但是当应对大流量大规模的攻击事件时,需要将流 量引入DDoS清洗设备并检查分组限流的部署情况。在云计算网络入口出口处设置DDoS防火墙和流量 清洗设备,能够最大限度防止DDoS攻击对云计算 网络的影响。
异常流量检测与清洗一般采用旁路部署的模 式,旁挂在核心交换机上,通过OSPF/BGP/IS-IS 路由协议广播路由的方式,实现对异常流量的自动 化牵引。对于清洗后的回注流量,一般采用策略路 由的方式来控制流量上行或下行。如图2为异常流 量监测与清洗设备部署方案。
3.3 利用漏洞扫描主动防御
图2 异常流量监测与清洗系统部署方案
由于安全漏洞主要出现在云主机应用程序中,所 以安全漏洞扫描器主要针对的是云主机层面的漏洞扫 描,且分为两种部署方式:分布式部署和集中式部署。
分布式部署方案中,虚拟化安全漏洞扫描器分 别部署在不同的VLAN中,实现对本VLAN中所 有主机的安全扫描工作。扫描结束后,通过VLAN Security将扫描结果传给安全管理平台。在实际的 运用情况中,虚拟化安全漏洞扫描器可以根据需要 动态生成及部署,使用完成后进行下线或销毁。
对于实现了 SDN的云平台,也可采用动态端 口接入的方式。即在扫描器启动时,在SDN控制 器的配合下,将扫描器的业务扫描端口与被扫描的 VLAN连通。扫描结束后,再由SDN控制断开连接。这样就实现了安全扫描器的共享和复用。
如果网络采用可扩展虚拟局域网(Virtual extensible LAN, vXLan )的方式,分布式部署与上 述方案相似,只需将虚拟机实例生成在租户vXLan 网络内部并打通业务口和虚拟机工作口的网络连接 即可。对于集中式的部署方案,需要将租户内部需 要扫描的虚拟机,通过浮动IP的方式暴露给扫描器。安全扫描器部署策略如图3所示。
图3 安全扫描器部署策略
3.4 利用多重身份认证技术
云计算网络处于发展过程中,对于诸多新接入 的设备,默认设置、弱口令等问题也比较普遍,尤 其是与外部网络的接口处的身份认证就显得至关重 要,例如系统对外的管理平台,核心网络设备等。对于管理平台,尽量使用强口令(包含英文大小写、 数字、符号且不少于8位)且定期(一般为90天) 更换一次,除此之外需要多重身份认证,包含但不 限于手机号码验证或指纹识别认证技术。
3.5 建立完整入侵检测体系
在云计算网络边界需部署入侵检测系统,通过分 析网络流量,对网络及系统的运行状况进行实时的 监测,及时发现正在进行的恶意攻击并告警。入侵 检测系统同样是纵向采用旁路监听的方式部署,横 向釆用分布式或集中式部署,不影响正常的出入口流 量,网络流量通过线路分光、隧道引流或者端口镜像 的方式将流量发送到入侵检测系统中进行检测,对异 常行为流量进行告警。图4为入侵检测系统部署策略。
纵向防护中,入侵检测系统(Intrusion Detection Systems, IDS )部署在路由器下级,检测经过交换 机出口或者经过路由器入口的流量。横向防护中若 采用分布式入侵检测,系统是单独部署在虚拟化的 云环境中的,通过配置虚拟交换设备将租户需要 防护的流量通过镜像引流的方式引流到虚拟网络 入侵检测系统(Virtual Network Intrusion Detection System, VNIDS )中进行流量入侵检测,并通过系 统管理相关安全日志及告警信息。若采用的是集中 式的入侵检测,VNIDS集中到云安全资源池中,租 户虚拟机上的横向流量通过隧道引流的方式进入云 安全资源池,通过云安全资源池的集中式分析进行流量入侵分析检测。
3.6 建立防病毒防护体系
病毒防护系统主要有两种部署方式:有客户端 的网络病毒防护系统和无客户端的病毒防护系统。防病毒主要针对到主机中,所以仅对主机层面进行 防护。防护方式可根据云数据中心的防护需求来选 择部署相应的病毒防护系统。防病毒系统部署策略 如图5所示。
图5 防病毒系统部署策略
有客户端的网络病毒防护体系,对关键虚拟化 服务器进行重点的病毒防护。对需要进行病毒防护 的虚拟主机安装客户端,通过部署于运行管理区 的防病毒服务器统一进行病毒防护策略管理。针 对云数据中心防病毒的要求,对基于Windows, Linux, Unix平台的虚拟化服务器提供全方位的病毒防护能力。
无客户端的病毒防护系统不需要在被防护的虚拟主机上安装任何客户端,只需要在被防护的虚拟主 机所在宿主机上安装防病毒模块就可以实现对相应虚 拟主机的防护。通常防病毒模块也是用虚拟机的方式 安装在云环境中,用户可以配置策略,对已安装防病 毒模块的宿主机上的任意虚拟主机进行病毒防护。
4 结 语
信息的保密性和完整性可以为社会生活带来高 效的服务,网络的互通性和自由性可以为社会生活 带来便捷的服务。但是信息的不可控性和流动性又 给社会生活带来一定信息安全危害,网络的开放性 和虚拟性给社会生活带来了信息泄露的威胁。
田春平( 1982-),男,学士,助理工程师,主要研究方向为网络与信息安全;
张晋源( 1996-),男,学士,技术员, 主要研究方向为网络与信息安全;
武靖莹( 1992-),女,学士,技术员,主要研究方向为网络与信息安全。
网络强国建设的思想库
安全产业发展的情报站
创新企业腾飞的动力源
投稿网址:
以上是关于云计算网络信息安全防护思路探究的主要内容,如果未能解决你的问题,请参考以下文章