云计算安全防范及对策的研究.docVIP

云计算安全防范及对策的研究 　　摘要：该文描述了云计算的概念及特征，分析了云计算的安全现状，着重从云计算平台安全漏洞和云数据安全两个方面分析了云计算的安全问题，针对云计算面临的安全隐患，提出了基于云计算的安全解决方案。 　　关键词：云计算；漏洞；安全防范 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）36-8246-03 　　云是一个存储资源和计算资源开放共享的环境，云计算是指利用因特网技术和信息技术处理能力，整合成以极大规模上，对多个外部客户作为服务来提供的一种计算方式，使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。在传统的计算环境中，只有少数服务器可接入互联网。但是在云计算环境，大多数服务器可接入互联网，这显然增大了安全风险。 　　自2009年以来发生的一系列云安全事件给云服务提供商和用户敲响了警钟。2011年4月21日凌晨，云计算服务提供商Amazon（亚马逊）公司爆出了史前最大的宕机事件，亚马逊公司在美国北弗吉尼亚州的云计算中心宕机，导致包括回答服务Quora、新闻服务Reddit、Hootsuite和位置跟踪服务FourSquare在内的网站受到了重大影响。因此，云计算的安全架构与安全解决方案，正成为当前信息安全领域的研究热点。该文通过云计算依赖的核心技术、云计算安全漏洞、云计算数据灾难恢复策略三个方面分析阐述云安全的必要性。 　　1 云计算依赖的核心技术 　　1.1 依赖Web应用程序和服务 　　如果没有Web应用程序和Web服务技术，要发展软件即服务（SaaS）和平台即服务（PaaS）是不可想象的。SaaS实例通常作为Web应用程序实施，而PaaS实例提供了Web应用和服务的开发和运行环境。在基础设施即服务（IaaS）实例中，管理员通常使用Web应用程序/服务技术来实施相关服务和API。 　　云计算模型通常包含四个特征、三个服务模式和四个部署模式。云计算环境架构图，如图1所示。 　　 　　图1 云计算环境架构图 　　IaaS 一般以Web 服务的接口形式提供，SaaS 务常通过Web 浏览器访问，PaaS 服务则用上述两种技术的结合来实现。在SaaS模式下，用户一般只需实现云终端的安全，而对服务提供商的服务水平、安全、管理、合规性等方面提出明确的要求。 　　1.2 依赖虚拟化技术 　　虚拟化可以在两个层面上实现。第一个是硬件层，采用IBM Systm p这类硬件。创新者可以在IBM AIX或Linux操作系统中请求虚拟的动态LPAR。LPAR的CPU资源由IBM？Enterprise Workload Manager提供最佳管理。 EnterpfiseWorkload Manager监控CPU需求，并利用业务策略来确定为每个LPAB分配多少CPU资源。System P具有微分区能力，支持系统将部分CPU分配给LPAR。部分CPU可以细化为一个物理CPU的1/10。虚拟化的第二种实现出现在软件层，在IaaS实际应用通过VMWarevSphere、Microsoft Virtual PC、Xen等虚拟管理程序来实施。 　　1.3 依赖数据存储技术 　　DAS（Direct-attached storage） 即直连存储，通常指那些安装在服务器内部或者安装在与服务器直接相连的扩展盘柜中的存储介质。DAS存储与服务器之间必须有固定的绑定连接关系，因此它们之间直接进行数据的读写。 　　SAN（Storage Area Network）就是一个用于存储的全新的网络。SAN以光纤通道（FC）为基础，实现了存储设备的共享；突破现有的距离限制和容量限制；服务器通过存储网络直接同存储设备交换数据，释放了宝贵的LAN资源。SAN存储指的是通过一个单独的网络（通常是高速光纤网络）把存储设备和挂在TCP/IP局域网上的服务器群相连。当有海量数据的存取需求时，数据可以通过存储区域网在相关服务器和后台存储设备之间高速传输。SAN存储具有以下功能特点：可实现大容量存储设备数据共享，可实现高速计算机与高速存储设备的高速互联，可实现灵活的存储设备配置要求，可实现数据快速备份，可以兼容以前的存储设备。 　　快速增长的云服务器和桌面虚拟化，应用在SAN前端扩展DAS 的设计模式，在这种共享存储架构下，数据可以在一个集群内不同节点间自动迁移，也就是说，一个虚拟机的映像可以在集群内任何一个节点上运行。 　　2 云计算的漏洞分析 　　2.1身份管理漏洞 　　按云计算身份管理有三个不同方面。一是，用户到云端的身份管理，二是，云计算到用户的身份管理，三是，云到云的身份管理。利用该云计算漏洞，可能发生未经授权的访问的概率要远远高于传统的系统，在那些系统中管理功能只有少