|
引用本文 田春平�,張晉源����,武靖瑩.云計(jì)算網(wǎng)絡(luò)信息安全防護(hù)思路探究[J].通信技術(shù)�,2019, 52 (04):939-945.
TIAN Chun-ping,ZHANG Jin-yuan,WU Jing-ying.Information Security Protection of Cloud Computing Network[J].Communications Technology,2019,52(04):939-945.
云計(jì)算的發(fā)展及普及應(yīng)用,降低了軟硬件成本��、提高了數(shù)據(jù)的可靠性�����,其業(yè)務(wù)按需快速定制���, 時(shí)間快���。但是由于云計(jì)算的開放及共享虛擬特性,使得存貯其上的信息必然面臨信息安全的挑戰(zhàn)�����。怎樣才能使得云計(jì)算安全運(yùn)行于互聯(lián)網(wǎng)中是大家一直在探討的問題���。針對(duì)互聯(lián)網(wǎng)環(huán)境中云計(jì)算運(yùn) 行的傳統(tǒng)及固有安全問題�����,我們進(jìn)行了詳細(xì)的闡述����,并提出了科學(xué)、有效的信息安全防護(hù)方案����,希 望對(duì)云計(jì)算運(yùn)行以及互聯(lián)網(wǎng)的健康發(fā)展起到積極作用。
關(guān)鍵詞:云計(jì)算�;網(wǎng)絡(luò)安全;信息安全����;互聯(lián)網(wǎng) 內(nèi)容目錄: 0 引言 1 云計(jì)算網(wǎng)絡(luò)與信息安全概述 2 云計(jì)算面臨的信息安全問題 2.1 傳統(tǒng)安全威脅 2.2 云計(jì)算特有風(fēng)險(xiǎn) 3 云計(jì)算網(wǎng)絡(luò)信息安全防護(hù)思路 3.1 建立完整的信息安全保障體系 3.2 建立完整的防火墻防護(hù)體系和DDOS攻擊防 護(hù)體系 3.2.1 建立完整的防火墻防護(hù)體系 3.2.2 建立完整的DDoS防護(hù)體系 3.3 利用漏洞掃描主動(dòng)防御 3.4 利用多重身份認(rèn)證技術(shù) 3.5 建立完整入侵檢測體系 3.6 建立防病毒防護(hù)體系 4 結(jié) 語 隨著云計(jì)算時(shí)代的發(fā)展�,云應(yīng)用會(huì)滲透到我們 生活的方方面面,我們?cè)诒M情享受云計(jì)算帶來的便 利同時(shí)�����,也面臨著網(wǎng)絡(luò)與信息安全的威脅���。而且情 況變得越來越嚴(yán)重����,人們應(yīng)該對(duì)這一問題得到認(rèn)識(shí) 并懂得相關(guān)的知識(shí)以提高防范意識(shí),本文就現(xiàn)在云 計(jì)算網(wǎng)絡(luò)環(huán)境下做相關(guān)的信息安全及網(wǎng)絡(luò)防護(hù)問題 的研究與探討�。 1 云計(jì)算網(wǎng)絡(luò)與信息安全概述 云計(jì)算是一種基于互聯(lián)網(wǎng)相關(guān)服務(wù)按使用量付 費(fèi)的模式,是一種虛擬化的資源��,這種模式提供可用的����、便捷的、按需的�����,高效的網(wǎng)絡(luò)訪問����,使計(jì)算 機(jī)各種資源實(shí)現(xiàn)共享(其中資源包括有數(shù)據(jù)網(wǎng)絡(luò), 服務(wù)器�,信息存儲(chǔ),應(yīng)用軟件�,服務(wù),維護(hù)等等)�, 這些資源按需快速定制,時(shí)間快���、成本低�。雖然云 計(jì)算有以上諸多優(yōu)點(diǎn),但是由于云計(jì)算的開放及共 享虛擬特性�����,存貯其上的信息必然面臨信息安全三 個(gè)基本屬性中的保密性挑戰(zhàn)����。 信息安全簡而言之就是信息的在使用中的安 全程度,主要由 CIA (Confidentiality�、Integrity、 Availability )衡量����,即:保密性、完整性���、可用性。網(wǎng)絡(luò)與信息安全治理包含的范圍有網(wǎng)絡(luò)安全����、運(yùn)營 安全、訪問控制��、軟件開發(fā)安全等���。 網(wǎng)絡(luò)環(huán)境是保 障信息安全的前提����,只有擁有一個(gè)可靠網(wǎng)絡(luò)環(huán)境下 的信息安全保障體系,才是保證信息系統(tǒng)穩(wěn)定運(yùn)行 的關(guān)鍵所在��??梢詫⒕W(wǎng)絡(luò)信息安全看成是多個(gè)安全 單元的集合,其中每個(gè)單元都是一個(gè)整體��,包含了 多個(gè)特性����,_般從安全特性、安全層次和系統(tǒng)單元 去理解網(wǎng)絡(luò)信息安全��。 云計(jì)算的誕生標(biāo)志了網(wǎng)絡(luò)計(jì)算架構(gòu)的進(jìn)一步 發(fā)展�����,在注重信息安全的同時(shí)�����,還需考慮如何構(gòu)建 一個(gè)穩(wěn)固安全的云計(jì)算網(wǎng)絡(luò)體系。云計(jì)算網(wǎng)絡(luò)結(jié)構(gòu) 與普通網(wǎng)絡(luò)結(jié)構(gòu)差異性在于云應(yīng)用更加集中化���,云 計(jì)算網(wǎng)絡(luò)資源更加具有彈性��,即用即取�,避免了很 多不必要的資源浪費(fèi)�����。所以���,針對(duì)云計(jì)算的網(wǎng)絡(luò)安 全架構(gòu)需要更加完整�����,并隨時(shí)利用網(wǎng)絡(luò)流量分析 (Network Traffic Analyzer, NTA )����、端點(diǎn)檢測和響 應(yīng)(Endpoint Detection Response, EDR )等新發(fā)展 的技術(shù)進(jìn)行防護(hù)���。 2 云計(jì)算面臨的信息安全問題 2.1 傳統(tǒng)安全威脅 分布式拒絕服務(wù)(Distributed Denial of Service, DDoS)攻擊依然是云平臺(tái)面臨的主要威脅之一,尤 其是針對(duì)云平臺(tái)業(yè)務(wù)系統(tǒng)的攻擊行為以及由云平臺(tái) 內(nèi)部外發(fā)的攻擊行為�,對(duì)整個(gè)云平臺(tái)大網(wǎng)均存在安 全隱患; 包括僵尸、木馬����、病毒、蠕蟲等傳統(tǒng)安全威脅 仍然是云平臺(tái)面臨的重要風(fēng)險(xiǎn)之一����,在云平臺(tái)內(nèi), 如租戶隔離��、區(qū)域隔離措施不當(dāng)���,這類威脅將會(huì)更 快��、更迅速的在云平臺(tái)內(nèi)部進(jìn)行傳播���,給云平臺(tái)帶 來極大安全隱患; 云承載著各類業(yè)務(wù)系統(tǒng)��,尤其是Web業(yè)務(wù)系 統(tǒng)�,仍然面臨著包括SQL注入、XSS����、命令注入��、 跨站請(qǐng)求偽造����、非法上傳下載�����、Web服務(wù)器/插件 漏洞攻擊�、爬蟲攻擊、Webshell�����、暴力破解等傳統(tǒng) 的Web應(yīng)用攻擊威脅��; 云內(nèi)IT主機(jī)非常多��,包括Windows系統(tǒng)�、 Linux系統(tǒng)、UNIX系統(tǒng)�����、網(wǎng)絡(luò)交換設(shè)備��、數(shù)據(jù)庫及 中間件等都面臨著各類安全漏洞風(fēng)險(xiǎn)����,傳統(tǒng)的漏洞 利用方式攻擊手段依然有效。 2.2 云計(jì)算特有風(fēng)險(xiǎn) 數(shù)據(jù)泄露風(fēng)險(xiǎn):云計(jì)算內(nèi)存儲(chǔ)著大量的用戶數(shù) 據(jù)�,數(shù)據(jù)量越大、價(jià)值越高安全威脅也就越高���。因 此云平臺(tái)內(nèi)面臨著數(shù)據(jù)泄露���、篡改等安全隱患。 隔離失效風(fēng)險(xiǎn):在云計(jì)算環(huán)境中����,計(jì)算能力、 存儲(chǔ)與網(wǎng)絡(luò)在多個(gè)用戶之間共享�����。如果不能對(duì)不同 用戶的存儲(chǔ)��、內(nèi)存�、虛擬機(jī)、路由等進(jìn)行有效隔離, 惡意用戶就可能訪問其他用戶的數(shù)據(jù)并進(jìn)行修改����、 刪除等操作�����。 虛機(jī)逃逸:虛擬機(jī)逃逸是指利用虛擬機(jī)軟件或 者虛擬機(jī)中運(yùn)行的軟件的漏洞進(jìn)行攻擊����,以達(dá)到攻 擊或控制虛擬機(jī)宿主操作系統(tǒng)的目的��。主要利用虛 機(jī)本身或Hypervisor層的安全漏洞造成在Hypervisor 層執(zhí)行任意代碼����,進(jìn)而實(shí)現(xiàn)虛機(jī)逃逸; 虛機(jī)內(nèi)存泄露:當(dāng)虛擬機(jī)共享或者重新分配硬 件資源時(shí)會(huì)造成很多的安全風(fēng)險(xiǎn)����。信息可能會(huì)在 虛擬機(jī)之間被泄露。例如��,如果虛擬機(jī)占用了額 外的內(nèi)存��,然而在釋放的時(shí)候沒有重置這些區(qū)域�����, 分配在這塊內(nèi)存上的新的虛擬機(jī)就可以讀取到敏感 信息; 虛機(jī)動(dòng)態(tài)遷移:利用虛擬化技術(shù)能快速實(shí)現(xiàn) VM的動(dòng)態(tài)遷移�,同時(shí)帶來新的安全風(fēng)險(xiǎn)包括安全 策略不能實(shí)時(shí)協(xié)同調(diào)整、數(shù)據(jù)明文傳輸被監(jiān)聽�、 內(nèi)存信息泄露��、地址解析協(xié)議(Address Resolution Protocol, ARP)攻擊等�; 虛擬化通信:虛機(jī)通信模式基本在大二層網(wǎng)絡(luò) 環(huán)境中,傳統(tǒng)的網(wǎng)絡(luò)邊界檢測及防護(hù)手段在應(yīng)對(duì)東 西向流量通信時(shí)無法提供有效檢測及處置���。 運(yùn)營模式風(fēng)險(xiǎn):云計(jì)算帶來新的運(yùn)營模式的改 變��,各類業(yè)務(wù)資源需要按需彈性擴(kuò)展提供�����,在使用 的過程中可能存在云計(jì)算資源能力的濫用造成資源 的浪費(fèi)���;用戶側(cè)失去對(duì)資源的直接控制,云計(jì)算的 地域特性及租戶的流動(dòng)性為云服務(wù)提供商合規(guī)性要 求���、安全監(jiān)管以及隱私保護(hù)提出了更高的要求�。 惡意租戶風(fēng)險(xiǎn):在云環(huán)境下��,授權(quán)用戶可享 受云計(jì)算服務(wù)。惡意用戶利用云計(jì)算服務(wù)的安全 漏洞��,上傳惡意攻擊代碼��,非法獲取或破壞其他用 戶的數(shù)據(jù)和應(yīng)用��。此外��,內(nèi)部工作人員(例如云服 務(wù)商系統(tǒng)管理員與審計(jì)員)的失誤或惡意攻擊更加 難于防范�����。 3 云計(jì)算網(wǎng)絡(luò)信息安全防護(hù)思路 不同于普通網(wǎng)絡(luò)架構(gòu)�����,云計(jì)算網(wǎng)絡(luò)架構(gòu)更龐大, 存儲(chǔ)容量更多����,用戶數(shù)量也就越多,所以面臨的安 全防護(hù)問題也就越廣���。云計(jì)算環(huán)境下加密方式?jīng)]有 變化,但是網(wǎng)絡(luò)安全邊界類以及系統(tǒng)安全類有著很 大不同�,云服務(wù)提供商不能有效像傳統(tǒng)一樣進(jìn)行系 統(tǒng)軟件的掌握,這就造成了虛擬系統(tǒng)運(yùn)行存在漏洞���, 可能對(duì)網(wǎng)絡(luò)環(huán)境造成很大的安全威脅田�����。因此���,一 個(gè)健全有效的云計(jì)算網(wǎng)絡(luò)安全防護(hù)體系的建立就顯 得很有必要�����。 3.1 建立完整的信息安全保障體系 建立重要信息備份審計(jì)機(jī)制�。重要信息保護(hù)包 括重要信息備份、重要系統(tǒng)備份�、網(wǎng)絡(luò)接口設(shè)置主 備等,并且需要瞄賬號(hào)審計(jì)工作���,對(duì)修改�����、查看�、 刪除重要信息的操作日志進(jìn)行記錄����。由于云計(jì)算網(wǎng) 絡(luò)的特殊性�����,大量的數(shù)據(jù)集群在云端����,做備份和審 計(jì)工作會(huì)增加系統(tǒng)資源消耗和財(cái)產(chǎn)資源消耗�,但是 如果云網(wǎng)絡(luò)癱瘓且沒有良好的備份,那么將會(huì)造成 不可彌補(bǔ)的巨大損失�。 建立信息安全保護(hù)體系。信息安全保護(hù)工作有 定期進(jìn)行漏洞掃描工作���,及時(shí)對(duì)有問題的設(shè)備打補(bǔ) T�;與公網(wǎng)接口地址處謹(jǐn)慎開放端口�,若是必要端 口需要進(jìn)行相關(guān)安全策略的防護(hù);做好網(wǎng)絡(luò)設(shè)備安 全加固工作�����,設(shè)置防火墻策略����、設(shè)置訪問控制列表 (Access Control List, ACL)策略等�;系統(tǒng)數(shù)據(jù)包 中傳輸?shù)臄?shù)據(jù)使用密文加密后傳輸���;數(shù)據(jù)庫重要數(shù) 據(jù)或個(gè)人隱私數(shù)據(jù)進(jìn)行加密存儲(chǔ)�����。 3.2 建立完整的防火墻防護(hù)體系和DDOS攻擊防 護(hù)體系 3.2.1 建立完整的防火墻防護(hù)體系 在云平臺(tái)邊界部署網(wǎng)絡(luò)隔離設(shè)備���,將云計(jì)算數(shù) 據(jù)中心與不信任域進(jìn)行有效地隔離與訪問控制。從 網(wǎng)絡(luò)防火墻技術(shù)應(yīng)用方面�����,主要是內(nèi)外網(wǎng)設(shè)置防火 墻���,能檢測進(jìn)入信息協(xié)議以及端口和目的地址等, 過濾到不符規(guī)定的外來信息図�����。訪問控制系統(tǒng)主要 指的就是防火墻�����,根據(jù)防火墻上的策略檢查經(jīng)過的 流量,保證只有合法流量才能訪問云計(jì)算網(wǎng)絡(luò)��。防 火墻部署在出口路由器和核心交換機(jī)之間����,用于隔 離云計(jì)算網(wǎng)絡(luò)和外部網(wǎng)絡(luò)環(huán)境。整個(gè)防火墻的策略 應(yīng)該遵循最小化原則�,才能切實(shí)發(fā)揮防火墻的隔離 作用。針對(duì)云計(jì)算網(wǎng)絡(luò)環(huán)境中的虛擬化環(huán)境進(jìn)行防 護(hù)�,可以采用虛擬防火墻來實(shí)現(xiàn),虛擬防火墻分為 分布式防火墻和集中式防火墻�����。 集中式防火墻將虛擬防火墻集中在云安全資 源池中�,旁掛在云計(jì)算環(huán)境之外,此方式要想防護(hù) 到目的流量��,需要將云計(jì)算網(wǎng)絡(luò)中的流量牽引到云 安全資源池�����,流量經(jīng)過虛擬防火墻后再注回原云 計(jì)算網(wǎng)絡(luò)中�����。其中軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN )技術(shù)能夠方便的實(shí)現(xiàn)將被防護(hù)流量 注回云安全資源池中,所以一般有SDN技術(shù)的云 數(shù)據(jù)中心����,通常采用此種方式。 分布式部署方式將虛擬防火墻部署在每個(gè)租 戶虛擬私有網(wǎng)絡(luò)(Virtual Private Cloud, VPC )邊 界��。不同的VPC用虛擬局域網(wǎng)(Virtual Local Area Network, VLAN)隔離的情況下�,可以把虛擬主機(jī) 和虛擬化防火墻的業(yè)務(wù)網(wǎng)口加入同一個(gè)VLAN,或 者用安全組隔離的情況下,可以把虛擬主機(jī)和虛擬 防火墻的業(yè)務(wù)網(wǎng)口加入同一端口組列表�。該VPC內(nèi) 的虛擬主機(jī)在訪問其它區(qū)域的虛擬主機(jī)的時(shí)候,流 量就必須經(jīng)過虛擬化防火墻�,需要虛擬化防火墻作 為網(wǎng)關(guān)來做訪問控制。如圖1所示為云計(jì)算網(wǎng)絡(luò)中 的防火墻部署拓?fù)洹?/p> 圖1 云計(jì)算網(wǎng)絡(luò)防火墻部署圖(分布式�����、集中式) 在云計(jì)算網(wǎng)絡(luò)環(huán)境中�����,不僅僅是網(wǎng)絡(luò)資源需 要防火墻的防護(hù)�,云平臺(tái)的虛擬機(jī)中承載著大量的 Web應(yīng)用服務(wù)����,所以還需部署網(wǎng)站應(yīng)用級(jí)入侵防御 系統(tǒng)(Web Application Firewall, WAF )來應(yīng)對(duì)各種 通過Web應(yīng)用傳入的威脅�。通過嚴(yán)格的訪問控制, 防止Web應(yīng)用被入侵�����,以保護(hù)整個(gè)系統(tǒng)的可用性��。對(duì)于部署方式���,由于出入口的流量較大�,所以常采 用旁路的方式旁掛在出口路由器上�,將特定網(wǎng)絡(luò)地 址(Internet Protocol Address, IP )的 http/https 流量 引導(dǎo)到WAF上,WAF對(duì)流量進(jìn)行過濾轉(zhuǎn)發(fā)�,最終 實(shí)現(xiàn)Web應(yīng)用安全防護(hù)。 3.2.2 建立完整的DDoS防護(hù)體系 云平臺(tái)上分布著大量虛擬服務(wù)器�,攻擊者針對(duì) 云計(jì)算架構(gòu)的DoS攻擊在流量上提高了攻擊當(dāng)量來 達(dá)到攻擊效果叫 所以建立一個(gè)完整的DDoS防護(hù) 體系是一個(gè)巨大的挑戰(zhàn)。 在云計(jì)算網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)出口處建立黑洞路由 進(jìn)行防護(hù)��,這是對(duì)抗DDoS攻擊比較好的方法��。當(dāng) DOS攻擊進(jìn)行時(shí)�����,在攻擊路徑上設(shè)置路由黑洞,能 夠使得攻擊數(shù)據(jù)包在此丟棄而不送往受害機(jī)器�����,避 免了受害機(jī)器因不斷接收巨量數(shù)據(jù)包導(dǎo)致掛死���。 使用DDoS防火墻和異常流量檢測與清洗設(shè)備 對(duì)抗攻擊����。當(dāng)應(yīng)對(duì)小流量的DDoS攻擊時(shí)�,設(shè)置簡 單的防火墻策略和DDoS應(yīng)用軟件就能夠進(jìn)行防護(hù)。但是當(dāng)應(yīng)對(duì)大流量大規(guī)模的攻擊事件時(shí)����,需要將流 量引入DDoS清洗設(shè)備并檢查分組限流的部署情況。在云計(jì)算網(wǎng)絡(luò)入口出口處設(shè)置DDoS防火墻和流量 清洗設(shè)備����,能夠最大限度防止DDoS攻擊對(duì)云計(jì)算 網(wǎng)絡(luò)的影響。 異常流量檢測與清洗一般采用旁路部署的模 式�,旁掛在核心交換機(jī)上���,通過OSPF/BGP/IS-IS 路由協(xié)議廣播路由的方式�,實(shí)現(xiàn)對(duì)異常流量的自動(dòng) 化牽引。對(duì)于清洗后的回注流量����,一般采用策略路 由的方式來控制流量上行或下行。如圖2為異常流 量監(jiān)測與清洗設(shè)備部署方案�����。 3.3 利用漏洞掃描主動(dòng)防御 在云計(jì)算網(wǎng)絡(luò)安全防護(hù)過程中�,定期進(jìn)行云端 設(shè)備及系統(tǒng)的漏洞掃描能起到良好的防御效果。漏 洞掃描根據(jù)目的地址及端口信息���,利用已知漏洞信 息進(jìn)行掃描���,主動(dòng)探測系統(tǒng)或主機(jī)是否存在可被利 用的漏洞。在云計(jì)算網(wǎng)絡(luò)中�����,面向的是巨量的網(wǎng)絡(luò) 數(shù)據(jù)���,云計(jì)算按需自服務(wù)�,彈性可擴(kuò)展����,資源池化, 廣泛網(wǎng)絡(luò)接入�����,多租戶等特性造就了云計(jì)算網(wǎng)絡(luò)在 安全防護(hù)中的特殊性����。這一特殊性在主動(dòng)漏洞掃描 中體現(xiàn)在于使用單機(jī)資源的漏洞掃描技術(shù)會(huì)浪費(fèi)大 量的系統(tǒng)資源和人力資源����,所以需要的是利用網(wǎng)絡(luò) 協(xié)議建立掃描系統(tǒng),少量地耗費(fèi)網(wǎng)絡(luò)資源去做掃描 的工作�����。 圖2 異常流量監(jiān)測與清洗系統(tǒng)部署方案 由于安全漏洞主要出現(xiàn)在云主機(jī)應(yīng)用程序中����,所 以安全漏洞掃描器主要針對(duì)的是云主機(jī)層面的漏洞掃 描,且分為兩種部署方式:分布式部署和集中式部署�。 分布式部署方案中,虛擬化安全漏洞掃描器分 別部署在不同的VLAN中�����,實(shí)現(xiàn)對(duì)本VLAN中所 有主機(jī)的安全掃描工作��。掃描結(jié)束后���,通過VLAN Security將掃描結(jié)果傳給安全管理平臺(tái)��。在實(shí)際的 運(yùn)用情況中�����,虛擬化安全漏洞掃描器可以根據(jù)需要 動(dòng)態(tài)生成及部署���,使用完成后進(jìn)行下線或銷毀。 集中式部署方案中��,安全漏洞掃描器會(huì)集中部 署在某一個(gè)資源池或區(qū)域�。其業(yè)務(wù)掃描端口可以靜 態(tài)的接入不同的VLAN中(要求不同的VLAN的 IP地址不能重合),或者通過建立多協(xié)議標(biāo)簽交 換(Multi-Protocol Label Switching, MPLS )通道的 方式將掃描器的業(yè)務(wù)掃描端口與被掃描的VLAN連 通�����,實(shí)現(xiàn)安全掃描���。 對(duì)于實(shí)現(xiàn)了 SDN的云平臺(tái)��,也可采用動(dòng)態(tài)端 口接入的方式����。即在掃描器啟動(dòng)時(shí),在SDN控制 器的配合下��,將掃描器的業(yè)務(wù)掃描端口與被掃描的 VLAN連通�����。掃描結(jié)束后��,再由SDN控制斷開連接���。這樣就實(shí)現(xiàn)了安全掃描器的共享和復(fù)用�����。 如果網(wǎng)絡(luò)采用可擴(kuò)展虛擬局域網(wǎng)(Virtual extensible LAN, vXLan )的方式�����,分布式部署與上 述方案相似���,只需將虛擬機(jī)實(shí)例生成在租戶vXLan 網(wǎng)絡(luò)內(nèi)部并打通業(yè)務(wù)口和虛擬機(jī)工作口的網(wǎng)絡(luò)連接 即可�。對(duì)于集中式的部署方案�����,需要將租戶內(nèi)部需 要掃描的虛擬機(jī)����,通過浮動(dòng)IP的方式暴露給掃描器����。安全掃描器部署策略如圖3所示。 圖3 安全掃描器部署策略 3.4 利用多重身份認(rèn)證技術(shù) 云計(jì)算網(wǎng)絡(luò)處于發(fā)展過程中��,對(duì)于諸多新接入 的設(shè)備�����,默認(rèn)設(shè)置���、弱口令等問題也比較普遍����,尤 其是與外部網(wǎng)絡(luò)的接口處的身份認(rèn)證就顯得至關(guān)重 要,例如系統(tǒng)對(duì)外的管理平臺(tái)�,核心網(wǎng)絡(luò)設(shè)備等。對(duì)于管理平臺(tái)����,盡量使用強(qiáng)口令(包含英文大小寫、 數(shù)字�����、符號(hào)且不少于8位)且定期(一般為90天) 更換一次�����,除此之外需要多重身份認(rèn)證���,包含但不 限于手機(jī)號(hào)碼驗(yàn)證或指紋識(shí)別認(rèn)證技術(shù)���。 3.5 建立完整入侵檢測體系 在云計(jì)算網(wǎng)絡(luò)邊界需部署入侵檢測系統(tǒng),通過分 析網(wǎng)絡(luò)流量��,對(duì)網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行狀況進(jìn)行實(shí)時(shí)的 監(jiān)測��,及時(shí)發(fā)現(xiàn)正在進(jìn)行的惡意攻擊并告警�����。入侵 檢測系統(tǒng)同樣是縱向采用旁路監(jiān)聽的方式部署,橫 向釆用分布式或集中式部署���,不影響正常的出入口流 量��,網(wǎng)絡(luò)流量通過線路分光�、隧道引流或者端口鏡像 的方式將流量發(fā)送到入侵檢測系統(tǒng)中進(jìn)行檢測���,對(duì)異 常行為流量進(jìn)行告警。圖4為入侵檢測系統(tǒng)部署策略��。 圖4 入侵檢測系統(tǒng)部署策略(橫向及縱向) 縱向防護(hù)中����,入侵檢測系統(tǒng)(Intrusion Detection Systems, IDS )部署在路由器下級(jí),檢測經(jīng)過交換 機(jī)出口或者經(jīng)過路由器入口的流量�。橫向防護(hù)中若 采用分布式入侵檢測,系統(tǒng)是單獨(dú)部署在虛擬化的 云環(huán)境中的�����,通過配置虛擬交換設(shè)備將租戶需要 防護(hù)的流量通過鏡像引流的方式引流到虛擬網(wǎng)絡(luò) 入侵檢測系統(tǒng)(Virtual Network Intrusion Detection System, VNIDS )中進(jìn)行流量入侵檢測����,并通過系 統(tǒng)管理相關(guān)安全日志及告警信息����。若采用的是集中 式的入侵檢測����,VNIDS集中到云安全資源池中,租 戶虛擬機(jī)上的橫向流量通過隧道引流的方式進(jìn)入云 安全資源池��,通過云安全資源池的集中式分析進(jìn)行流量入侵分析檢測����。 3.6 建立防病毒防護(hù)體系 病毒防護(hù)系統(tǒng)主要有兩種部署方式:有客戶端 的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)和無客戶端的病毒防護(hù)系統(tǒng)。防病毒主要針對(duì)到主機(jī)中����,所以僅對(duì)主機(jī)層面進(jìn)行 防護(hù)。防護(hù)方式可根據(jù)云數(shù)據(jù)中心的防護(hù)需求來選 擇部署相應(yīng)的病毒防護(hù)系統(tǒng)��。防病毒系統(tǒng)部署策略 如圖5所示��。 圖5 防病毒系統(tǒng)部署策略 有客戶端的網(wǎng)絡(luò)病毒防護(hù)體系�,對(duì)關(guān)鍵虛擬化 服務(wù)器進(jìn)行重點(diǎn)的病毒防護(hù)。對(duì)需要進(jìn)行病毒防護(hù) 的虛擬主機(jī)安裝客戶端���,通過部署于運(yùn)行管理區(qū) 的防病毒服務(wù)器統(tǒng)一進(jìn)行病毒防護(hù)策略管理�。針 對(duì)云數(shù)據(jù)中心防病毒的要求,對(duì)基于Windows, Linux, Unix平臺(tái)的虛擬化服務(wù)器提供全方位的病毒防護(hù)能力����。 無客戶端的病毒防護(hù)系統(tǒng)不需要在被防護(hù)的虛擬主機(jī)上安裝任何客戶端,只需要在被防護(hù)的虛擬主 機(jī)所在宿主機(jī)上安裝防病毒模塊就可以實(shí)現(xiàn)對(duì)相應(yīng)虛 擬主機(jī)的防護(hù)�����。通常防病毒模塊也是用虛擬機(jī)的方式 安裝在云環(huán)境中����,用戶可以配置策略����,對(duì)已安裝防病 毒模塊的宿主機(jī)上的任意虛擬主機(jī)進(jìn)行病毒防護(hù)。 對(duì)于云計(jì)算網(wǎng)絡(luò)安全的整個(gè)防護(hù)架構(gòu)�,只要在 網(wǎng)絡(luò)入口處把好關(guān),做到相關(guān)防護(hù)工作����,網(wǎng)絡(luò)內(nèi)部 結(jié)構(gòu)合理,橫向主機(jī)之間做好權(quán)限管理以及流量管 理���,日常維護(hù)管理及使用行為做到規(guī)范化就能夠維持云計(jì)算網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行�。通過建立以防火墻、毒組成的完整云計(jì)算網(wǎng)絡(luò)安全防護(hù)架構(gòu)�,能夠最大異常流量檢測與清洗、入侵檢測�、漏洞掃描、防病程度保障整個(gè)云計(jì)算環(huán)境的穩(wěn)定運(yùn)行����。 4 結(jié) 語 現(xiàn)代計(jì)算機(jī)技術(shù)發(fā)展太快,云計(jì)算服務(wù)把整個(gè) 世界都結(jié)合在了一起����。也把以前很多不相干的事物 也結(jié)合起來了,很好地運(yùn)用了網(wǎng)絡(luò)為我們提供便利��, 但在為我們提供各種便利的同時(shí)也暴露了很多安全 性問題�����。信息的共享性無法保證信息的保密程度�, 導(dǎo)致很多信息泄漏在網(wǎng)絡(luò)上也是常有的事,所以網(wǎng) 絡(luò)安全相關(guān)技術(shù)發(fā)展對(duì)當(dāng)今社會(huì)也非常的重要��,在 大型企業(yè)或者集團(tuán)對(duì)網(wǎng)絡(luò)安全的需求就非常的大�, 因?yàn)樗鼱窟B的利益更大���。每個(gè)人都應(yīng)該提升信息安 全意識(shí),建立良好的安全意識(shí)從而維護(hù)自身利益��。 信息的保密性和完整性可以為社會(huì)生活帶來高 效的服務(wù)�,網(wǎng)絡(luò)的互通性和自由性可以為社會(huì)生活 帶來便捷的服務(wù)。但是信息的不可控性和流動(dòng)性又 給社會(huì)生活帶來一定信息安全危害��,網(wǎng)絡(luò)的開放性 和虛擬性給社會(huì)生活帶來了信息泄露的威脅�����。 所以 說包含萬千信息的網(wǎng)絡(luò)是一把雙刃劍�,基于云計(jì)算 的網(wǎng)絡(luò)信息體系更是有利有弊。我們應(yīng)該合理地利 用信息及網(wǎng)絡(luò)為生活提供便利的服務(wù)�,提高網(wǎng)絡(luò)與 信息安全防護(hù)技術(shù),提高個(gè)人信息安全防范意識(shí)���, 才能造就一個(gè)完整可靠的網(wǎng)絡(luò)信息環(huán)境。作者簡介 >>> 田春平( 1982-),男�����,學(xué)士�����,助理工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全��; 張晉源( 1996-),男��,學(xué)士�,技術(shù)員, 主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全��; 武靖瑩( 1992-),女�����,學(xué)士�,技術(shù)員,主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全����。 選自《通信技術(shù)》2019年第四期 (為便于排版,已省去原文參考文獻(xiàn))
|
