云計算IaaS環(huán)境下的公共安全防護(hù)模型分析

IaaS作為基礎(chǔ)設(shè)施級別的云計算服務(wù)，其將網(wǎng)絡(luò)、存儲、計算等資源進(jìn)行虛擬化等處理，能夠為每個用戶提供相對獨(dú)立的服務(wù)器計算資源、存儲資源以及在承載網(wǎng)上設(shè)定專有的數(shù)據(jù)轉(zhuǎn)發(fā)通道，這種云計算的模式已經(jīng)得到IT業(yè)界的廣泛認(rèn)可。

IBM、惠普、亞馬遜、谷歌等IT巨頭，憑借強(qiáng)大的IT基礎(chǔ)設(shè)施硬件能力和IaaS云計算軟件平臺總體解決方案獨(dú)占鰲頭;而國內(nèi)部分傳統(tǒng)的IDC服務(wù)商或數(shù)據(jù)中心外包服務(wù)廠商，憑借其對IDC業(yè)務(wù)運(yùn)營的經(jīng)驗也逐漸開始切入到IaaS云計算市場;一些大型企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)利用自身對互聯(lián)網(wǎng)運(yùn)營的理解和應(yīng)用系統(tǒng)資源也積極切入云計算市場，典型如阿里云、盛大云和騰訊云等;此外積極參與IaaS云計算服務(wù)的還包括國內(nèi)多家運(yùn)營商以及部分地方政府等。尤其是國內(nèi)的大型運(yùn)營商，憑借其在基礎(chǔ)網(wǎng)絡(luò)設(shè)施管道、互聯(lián)網(wǎng)出口寬帶資源、大量中小企業(yè)托管客戶資源平臺的優(yōu)勢以及強(qiáng)大的運(yùn)維支撐能力，已經(jīng)成為IaaS云計算建設(shè)的重要力量。如中國電信“天翼云”已經(jīng)推出云存儲、云主機(jī)等業(yè)務(wù)，中國聯(lián)通也正在推進(jìn)虛擬數(shù)據(jù)中心VDC的商用并為用戶提供云存儲、云主機(jī)等IaaS服務(wù)，這些運(yùn)營商所具備的大型IDC的運(yùn)營能力、強(qiáng)大的軟件開發(fā)能力和整合硬件平臺的能力以及互聯(lián)網(wǎng)的運(yùn)營經(jīng)驗將有助于其云計算IaaS服務(wù)的推廣。

在IaaS環(huán)境下，云計算租戶無須關(guān)注基礎(chǔ)設(shè)施的建設(shè)和維護(hù)，只需要結(jié)合自身的業(yè)務(wù)向服務(wù)商提交相應(yīng)的存儲計算網(wǎng)絡(luò)資源申請，就可以在服務(wù)商提供的存儲計算環(huán)境上，基于自身業(yè)務(wù)自行選擇適合自身的操作系統(tǒng)和安裝各種應(yīng)用程序，這對于很多類型的企業(yè)或者企業(yè)中的部分業(yè)務(wù)具備很好的吸引力。尤其是對一些業(yè)務(wù)系統(tǒng)訪問流量具有周期性特點(diǎn)的企業(yè)，或者是對部分需要較大計算能力的用戶，IaaS的云計算服務(wù)可以幫助企業(yè)以最小的代價滿足自身需要。

2 SaaS（安全即服務(wù)）的主要內(nèi)容

2.1 IaaS環(huán)境下的公共安全防護(hù)

IaaS的服務(wù)提供商需要對IaaS環(huán)境提供一些基礎(chǔ)的公共安全保障，服務(wù)商需要對用戶的數(shù)據(jù)安全或應(yīng)用安全提供一定程度的安全保證，甚至簽署SLA協(xié)議。這些公共的安全防護(hù)包括以下幾個方面：

基礎(chǔ)網(wǎng)絡(luò)安全保障

對于云計算服務(wù)商而言，在其將網(wǎng)絡(luò)、存儲、計算和帶寬等資源統(tǒng)一打包租給用戶時，這些基礎(chǔ)物理設(shè)施的安全防護(hù)是需要重點(diǎn)保證的，也應(yīng)該是SLA內(nèi)容的一部分。包括基本的物理環(huán)境安全防護(hù);交換機(jī)設(shè)備安全特性的開啟以防止諸如ARP攻擊和MAC地址攻擊等L2層網(wǎng)絡(luò)安全攻擊;云服務(wù)商互聯(lián)網(wǎng)出口的基礎(chǔ)安全防護(hù)以及針對DDoS的攻擊防護(hù)，特別是對于DDoS攻擊服務(wù)，單純的基于用戶進(jìn)行防護(hù)并不能起到很好的效果，云計算服務(wù)商需要將這些危害到基礎(chǔ)設(shè)施基礎(chǔ)安全的風(fēng)險統(tǒng)一考慮。

用戶自助服務(wù)管理平臺的訪問安全

用戶需要登錄到運(yùn)營商的云服務(wù)管理平臺，進(jìn)行自身的管理操作，如設(shè)置基礎(chǔ)的安全防護(hù)策略，針對關(guān)鍵服務(wù)器的訪問權(quán)限控制，用戶身份認(rèn)證加密協(xié)議配置，虛擬機(jī)的資源配置、管理員權(quán)限配置及日志配置的自動化。這些部署流程應(yīng)該被遷移到自服務(wù)模型并為用戶所利用。在這種情況下，云計算服務(wù)商本身需要對租戶的這種自服務(wù)操作進(jìn)行用戶身份認(rèn)證確認(rèn)，用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關(guān)鍵安全事件的日志記錄以便后續(xù)可以進(jìn)行問題跟蹤溯源。

服務(wù)器虛擬化的安全

在服務(wù)器虛擬化的過程中，單臺的物理服務(wù)器本身可能被虛化成多個虛擬機(jī)并提供給多個不同的租戶，這些虛擬機(jī)可以認(rèn)為是共享的基礎(chǔ)設(shè)施，部分組件如CPU、緩存等對于該系統(tǒng)的使用者而言并不是完全隔離的。此時任何一個租戶的虛擬機(jī)漏洞被黑客利用將導(dǎo)致整個物理服務(wù)器的全部虛擬機(jī)不能正常工作，同時，針對全部虛擬機(jī)的管理平臺，一旦管理軟件的安全漏洞被利用將可能導(dǎo)致整個云計算的服務(wù)器資源被攻擊從而造成云計算環(huán)境的癱瘓。針對這類型公用基礎(chǔ)設(shè)施的安全需要部署防護(hù)。

內(nèi)部人員的安全培訓(xùn)和行為審計

為了保證用戶的數(shù)據(jù)安全，云服務(wù)商必須要對用戶的數(shù)據(jù)安全進(jìn)行相應(yīng)的SLA保證。同時必須在技術(shù)和管理兩個角度對內(nèi)部數(shù)據(jù)操作人員進(jìn)行安全培訓(xùn)。一方面通過制定嚴(yán)格的安全制度要求內(nèi)部人員恪守用戶數(shù)據(jù)安全，另一方面，需要通過技術(shù)手段，將內(nèi)部人員的安全操作日志、安全事件日志、修改管理日志、用戶授權(quán)訪問日志等進(jìn)行持續(xù)的安全監(jiān)控，確保安全事件發(fā)生后可以做到有跡可尋。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]