网站首页 公文大全 个人文档 实用范文 讲话致辞 实用工具 心得体会 哲学范文 总结范文 范文大全 报告 合同 文书 信函 实用
  • 汇报体会
  • 节日庆典
  • 礼仪
  • 毕业论文
  • 评语寄语
  • 导游词
  • 口号大全
  • 其他范文
    • 百花范文网 > 实用范文 > 其他范文 > 云计算安全风险与保护技术框架研究*

    云计算安全风险与保护技术框架研究*

    时间:2023-06-27 19:55:07来源:百花范文网本文已影响

    陈雪

    (广州工商学院,广东 广州 510850)

    近年来中国经济增速放缓,产业格局迭代升级趋势愈发明朗,以网络科技、通信科技为依托的新兴产品、技术持续涌现,物联网、区块链等新名词不绝于耳,云计算作为其中典型代表,通用性、扩展性优势非常明显,解决了传统业务处理方式下,计算能力不足、扩建成本过高的困境,促进了数据的高速流通和交互。但该种趋势的发展也带来了一定困扰,开放环境下数据泄露、外部攻击风险明显提高,有必要对其安全防护技术框架进行完善和优化。

    云计算是科技理念更新、迭代的产物,能够通过虚拟化技术,将计算任务分布到不同资源池之中,从而增大系统存储空间,获得计算能力上的跨越式提升,从技术架构上看,其大致可以分为3 个不同层级,其中,IaaS 层位于最底层,主要包含各类基础设施、设备,可以将其整合成虚拟资源池,方便用户数据存储以及程序代码运行;
    PssS 层则提供平台、环境,可以容纳多种程序接口,并为数据库、文件系统等的测试运行提供便利;
    SaaS 层处于架构顶端,可以在Web 浏览器的支撑下,向用户开放交互界面和软件[1],满足多点访问需求。

    近年来中国网络覆盖率持续上升,各企业、用户对云计算的需求量呈现出爆发式增长,云计算应用中潜在的风险因素也显著增多,大致可以归结为以下5点:①身份冒用风险。为确保安全,云计算虚拟平台通常采用账号密码形式认证用户身份,但部分攻击者通过不法渠道窃取该类信息,借助冒用身份进行消费、窃听,严重危害了用户安全。②共享环境风险。云计算之所以能够实现大规模的覆盖和计算,关键在于虚拟资源池的搭建,在该种平台组织策略下,传统的防护墙技术很难发挥效能,恶意代码一旦传播扩散,必将造成更大范围的危害。③数据泄露风险。在新常态背景下,数据作为隐形资产的价值被越来越多的人所认可,存储于云平台的数据一旦出现泄露、篡改、丢失等问题必然影响其固有价值。④DDoS 攻击风险。Web 环境是云计算技术的关键依托,部分不法分子利用该种特征,从多个节点同时实施攻击,占据系统大量资源,并损坏运行稳定性。⑤对内防范风险。云计算服务提供开放资源池,从合作形式看,更倾向于外包业务,租户企业的内部员工、运营商员工、管理者等均具备接入资源池的能力,这就给内部防范工作带来极大压力,控制协调不当很容易导致数据异常泄露等问题。

    2.1 设计思路

    云安全框架搭建环节,需要对攻击特征、风险种类、防护需求等进行全方位分析,从既有案例来看,恶意入侵造成的波及范围是十分广泛的。从物理层视角上看,可能发生门禁破坏、设施破坏等问题;
    从网络层、主机层视角看,又可能发生非法访问、非法入侵等情况;
    针对应用层、数据层展开攻击时,还会发生数据丢失、应用宕机等情况。因此要采用针对性分析策略,分别引进联动预防、隔离预防、统一身份认证等技术,保障安全框架全面性和系统性。

    2.2 网络安全层

    2.2.1 数据中心划分与隔离

    开放、共享是云计算平台最为显著的特征,其中牵涉、覆盖的数据节点数量多、结构复杂,一旦发生恶意攻击行为,将会在平台内部发生大范围扩散,因此引入网络隔离技术,对数据中心进行分隔保护。分隔依据主要为业务功能,同时兼顾网络安全风险,重点区域分述如下:①DMZ 区,该区域位于内外防火墙中间,可以起到缓冲、防护的作用,整体安全性能低于内网,面临的潜在风险也非常之多,主要负责部署前置部件,管理对象包含API 网关[2]等。设计环节增加入侵检测、拦截设备,与基础防火墙搭配,可以起到抵御风险、保护数据安全的作用。②公共服务区,在安全框架中扮演部署、统筹角色,可以对IaaS、PaaS等层级组件进行分配,设计环节隔离等级设置为半开放,可以受限向租户提供服务,且所有操作均要经过DMZ 区过滤。

    2.2.2 业务平面划分与隔离

    云计算平台涉及的业务种类非常多样,为避免业务繁杂性带来的不利影响,确保设备、资源始终处于安全防范范畴以内,还需要对相关业务项目进行划分隔离,分隔依据包含安全风险等级、业务权限等,划分后主要分为5 个部分,其中,租户数据平面是主要通信渠道,可以与下设的各类虚拟机建立联系,保障业务的正常供应;
    业务控制平面则提供接口服务,可以保障各类API 安全性能;
    平台运维板块则为运行、维护业务设计,可以面向网络设备、服务器等开展管理。此外还有BMC 管理平面、数据存储平面等,分别负责应急维护、安全存储,业务板块相互独立、各自为政,同时又协调配合、相得益彰,能够较好地防止业务数据泄露、混淆等问题。

    2.3 主机安全层

    2.3.1 CPU 隔离

    主机板块是整个云计算平台的核心所在,本次设计中主要采用最小化裁切策略,对各主机设备进行分隔防护,并附带安全加固手段,谨防恶意攻击和入侵。在整个主机板块的安全层设计过程中,CPU 隔离占据关键位置,主要以虚拟机为中心,实现其与UⅤP(Unified Ⅴirtualization Platform,统一虚拟化平台)之间的隔离,同时相邻虚拟机节点之间,信息也应当是相互隔离独立的。框架搭建主要通过模式切换完成,Non-Root 模式下CPU 正常运转,可以支持基础的运算、交互需求,进入Root 模式后,UPⅤ对虚拟机的控制能力有所上升,可以灵活调整各类设备的访问权限,最终实现虚拟机资源隔离,确保虚拟机节点之间相互独立,无法获取到其他平台资源信息。

    2.3.2 内存隔离及I/O 隔离

    云计算平台综合处理能力强大,可以承担数据存储、交互等功能,由于虚拟平台开放性较为显著,因此海量存储数据如何隔离、独立就成为了重点,只有采取必要措施进行优化,使得各虚拟机能且只能访问对应内存,才能最大限度保证安全性。为实现该种设想,设计时引入了映射策略,在虚拟机、物理内存之间,搭建起单点映射关系,访问环节虚拟层率先运作,实现对IP 地址的转化,确保其只能访问对应内存。I/O设备同样是UⅤP隔离环节,重要的关注对象包含磁盘、网卡等重要装置,安全架构设计时采用逻辑卷策略,以虚拟磁盘设备为中心,对应关联镜像文件[3],实现各对象之间的对应,确保I/O 路径相互隔离。

    2.4 应用安全层

    纵观已有的应用层安全事故,会发现其中大部分危害因素均来源于网络,有统计的数据中甚至可以达到70%,因此安全框架设计过程中,搭设了专用的WAF(Web Application Firewall,Web 应用防火墙)进行风险抵御,运行逻辑可见。该种防火墙的增设可以实现如下4 种功能:①Web 攻击过滤。可以识别几种常见的恶意攻击行为,比如SQL 注入、代码注入以及敏感文件获取等,主要通过参数、地址等关键信息的分析处理达成预期目标。②编码还原。内部装配了集成语义分析引擎,与原有的正则引擎搭配使用,可以实现高精度还原和识别,防止编码混合乱入。③恶意信誉库。这是一种基于已有经验设计的防范模块,通过云计算平台与全球情报库连接,收集了大量的恶意IP、恶意bot 等。④CC 攻击防护。该种攻击类型较为隐蔽,攻击者不直接执行DDoS 攻击,而是借助代理服务器实现伪装,一旦成功将会严重影响系统稳定性,因此安全层设计中,依托WAF 完善识别功能,可以对IP、cookie 文件开展标识处理,精准识别出超阈限访问节点,并阻断相关攻击行为。

    2.5 数据安全层

    2.5.1 访问隔离设计

    近年来高新科技产业迅猛发展,数据、信息作为无形资产的地位得到加强稳固,云计算平台中,必须以机密性、完整性作为数据存储、交互衡量要点,以确保云安全体系切实有效。访问隔离设计是该体系的重要关卡,本系统中引入了IAM(Identity and Access Management,统一身份认证)技术进行优化,面向企业、个体租户提供服务,可以实现用户集中管理,安全凭证集中验证等功能,除用户账号注册外,还可以调整资源操作权限,从而降低系统防内压力,确保云计算平台安全性能。

    2.5.2 传输通道设计

    应用云计算平台开展业务处理工作时,经常会涉及到数据传输问题,为确保安全主要引入了ⅤPN 技术,可以以ⅤPC 为依托,与远端用户建立联系,与传统开放渠道相比,通信路径经过加密更加严谨安全,可以实现数据中心的无缝扩展。当系统中产生新的数据、信息,租户也可以借助该通道打包上传,启动额外服务器增强计算能力,降低泄露风险的同时保证使用性能。在通信协议上,使用了TLS(Transport Layer Security,传输层安全协议)技术与证书管理,一方面可以提供REST 网络,以RESTful 为依托,对目标API进行直接调用;
    另一方面开放Highway 通道,可以满足特殊场景下的使用需求,私密性、高效性更有保障。

    2.5.3 存储安全设计

    数据存储环节引进KMS(Key Management Service,密钥管理服务)技术,依托硬件安全模块进行密钥创建,避免出现密钥泄露等问题,密钥正式使用环节,所有操作均会被同步到日志板块,以便后期调取审计。对数据进行删改操作、销毁操作时,系统会事先处理前一阶段内存,通过写“零”操作防止有效信息泄露,对于已经废弃的数据,则开放安全删除功能,直接在磁盘中执行相关操作,消除数据恢复读取可能[4]。此外还搭配了自发加密功能,租户可以根据实际需求,对上云数据进行加密,若有丢弃需求直接销毁密钥即可,物理磁盘报废后,也会通过云平台消磁,并提醒租户折弯、破碎,以阻断所有可能的隐私泄露渠道。

    2.6 运维安全层

    2.6.1 安全日志设计

    从云计算平台运行现状来看,会发现安全防护需求基本上是逐年增长的,各类攻击事件、泄露事件严重威胁着数据安全性,除了完善防护性能外,还应当做好日志记录,以防恶意篡改删除造成隐性数据资产损失。要结合需求划定云安全事件,包含系统入侵、基础设施受损、网络扫描窃听等,发现苗头后及时记录用户名、源头IP 地址、变更内容等,设置90 d 左右的开放查询事件,方便回溯和修补,日志内融入大数据技术,可以将异常状况生成可视化成果,辅助人工决策。

    2.6.2 灾难恢复设计

    云计算平台依托资源池完成业务计算和运行,节点宕机、损坏等均有可能影响架构运行质量,因此安全设计环节,还开辟了灾难恢复模块,异地数据中心之间相互联通,邻近节点互为灾备,当其中一点出现故障时,数据会自动拷贝、转移,所有传递操作依托高速光纤实现,以确保业务连续性。针对难以预见的自然灾害、重大灾难等,同样编制了系统的连续性计划,借助仿真平台模拟测试,将目标区域云平台转换为离线状态,模拟灾难并规定处理路线,测试过程、结果被系数记录下来,方便后续调取删改。

    综上所述,云计算技术具有覆盖范围广、计算能力强大等优势特征,应用于企业管理、信息传递时,可以显著减少硬件资源开销,保障资源池供应充足性,实践环节要正视其中存在的身份冒用、数据泄露、DDoS 攻击等风险,积极引入网络隔离技术,对数据中心、业务平面等关键区域进行分隔防护,同时关注主机层安全隐患,通过权限设置、映射关系搭建等确保CPU、I/O 设备的隔离,在应用层增加Web 攻击过滤、CC 防护攻击等功能,最大限度保障云计算平台应用安全性。

    猜你喜欢租户设计多租户数据隔离及加密研究微型电脑应用(2020年12期)2020-12-26何为设计的守护之道?现代装饰(2020年7期)2020-07-27《丰收的喜悦展示设计》流行色(2020年1期)2020-04-28基于多租户隔离的云安全建设电子技术与软件工程(2020年12期)2020-02-04瞒天过海——仿生设计萌到家艺术启蒙(2018年7期)2018-08-23设计秀海峡姐妹(2017年7期)2017-07-31有种设计叫而专Coco薇(2017年5期)2017-06-05基于MVC模式的多租户portlet应用研究*计算机与数字工程(2016年11期)2016-12-13企业多租户云存储平台的设计与实现西安工程大学学报(2014年2期)2014-02-28SaaS模式下多租户数据比较存储模式研究电子设计工程(2014年18期)2014-02-27

    相关热词搜索:框架 风险 保护

    • 范文大全
    • 说说大全
    • 学习资料
    • 语录
    • 生肖
    • 解梦
    • 十二星座
    最新文章

    推荐访问

    保护 保护人格权的意义 保护人身权的作用 保护优秀文化倡议书 保护伞 保护住户活动工作总结 保护公园环境建议书 保护公物 保护动物 保护动物主题活动教案 保护动物优秀作文400字 保护动物作文400字三年级 保护动物作文400字作文 保护动物作文400字免费 保护动物作文400字六年级 保护动物作文400字四年级 保护动物作文400字左右 保护动物作文400字左右4年级 保护动物作文400字说明文 保护动物倡议书100字 保护动物倡议书200字 保护动物倡议书300字 保护动物倡议书400字 保护动物倡议书800字 保护动物和环境的倡议书怎么写 保护动物国旗下讲话稿3篇 保护动物建议书 保护动物建议书500字 保护动物建议书600字 保护动物活动设计方案 保护动物的作文450 保护动物的倡议书50字 保护区 保护南极倡议书 保护发展森林资源目标责任书 保护和利用非物质文化遗产情况汇报供借鉴 保护和发展森林资源目标责任制 保护地球 保护地球从我做起宣传语 保护地球倡议书100字 保护地球倡议书150字 保护地球倡议书200字 保护地球倡议书作文 保护地球共抗疫情 保护地球图片 保护地球家园倡议书 保护地球建议书300字 保护地球建议书400字作文 保护地球建议书400字六年级 保护地球建议书400字内容 保护地球建议书400字左右

    本文云计算安全风险与保护技术框架研究*由百花范文网整理提供,版权归原作者、原出处所有。

    Copyright © 百花范文网 All Rights Reserved.