云计算安全防范和对策探究.docVIP

云计算安全防范和对策探究 摘要：该文描述了云计算的概念及特征，分析了 云计算的安全现状，着重从云计算平台安全漏洞和云数据安 全两个方面分析了云计算的安全问题，针对云计算面临的安 全隐患，提出了基于云计算的安全解决方案。 关键词：云计算；漏洞；安全防范 中图分类号：TP393文献标识码：A文章编号: 1009-3044 (2013) 36-8246-03 云是一个存储资源和计算资源开放共享的环境，云计算 是指利用因特网技术和信息技术处理能力，整合成以极大规 模上，对多个外部客户作为服务来提供的一种计算方式，使 各种应用系统能够根据需要获取计算力、存储空间和各种软 件服务。在传统的计算环境中，只有少数服务器可接入互联 网。但是在云计算环境，大多数服务器可接入互联网，这显 然增大了安全风险。 自2009年以来发生的一系列云安全事件给云服务提供 商和用户敲响了警钟。2011年4月21日凌晨，云计算服务 提供商Amazon (亚马逊)公司爆出了史前最大的宕机事件， 亚马逊公司在美国北弗吉尼亚州的云计算中心宕机，导致包 括回答服务Quora、新闻服务Reddit、Hootsuite和位置跟 踪服务Foursquare在内的网站受到了重大影响。因此，云 计算的安全架构与安全解决方案，正成为当前信息安全领域 的研究热点。该文通过云计算依赖的核心技术、云计算安全 漏洞、云计算数据灾难恢复策略三个方面分析阐述云安全的 必要性。 1云计算依赖的核心技术 1依赖Web应用程序和服务 如果没有Web应用程序和Web服务技术，要发展软件即 服务（SaaS）和平台即服务（PaaS）是不可想象的。SaaS实 例通常作为Web应用程序实施，而PaaS实例提供了 Web应 用和服务的开发和运行环境。在基础设施即服务（IaaS）实 例中，管理员通常使用Web应用程序/服务技术来实施相关 服务和APIo 云计算模型通常包含四个特征、三个服务模式和四个部 署模式。云计算环境架构图，如图1所示。 图1云计算环境架构图 IaaS —般以Web服务的接口形式提供，SaaS务常通过 Web浏览器访问，PaaS服务则用上述两种技术的结合来实 现。在SaaS模式下，用户一般只需实现云终端的安全，而 对服务提供商的服务水平、安全、管理、合规性等方面提出 明确的要求。 1.2依赖虚拟化技术 虚拟化可以在两个层面上实现。第一个是硬件层，采用 IBM Systm p这类硬件。创新者可以在IBM AIX或Linux操 作系统中请求虚拟的动态LPARo LPAR的CPU资源由IBM? Enterprise Workload Manager 提 供最佳 管理。 Enterpf iseWorkload Manager监控CPU需求，并利用业务策 略来确定为每个LPAB分配多少CPU资源。System P具有微 分区能力，支持系统将部分CPU分配给LPARo部分CPU可以 细化为一个物理CPU的1/10。虚拟化的第二种实现出现在软 件层，在 IaaS 实际应用通过 VMWaxevSphere、Microsoft V让tual PC、Xen等虚拟管理程序来实施。 1.3依赖数据存储技术 DAS (Direct-attached storage) 即直连存储，通常 指那些安装在服务器内部或者安装在与服务器直接相连的 扩展盘柜中的存储介质。DAS存储与服务器之间必须有固定 的绑定连接关系，因此它们之间直接进行数据的读写。 SAN (Storage Area Network)就是一个用于存储的全 新的网络。SAN以光纤通道(FC)为基础，实现了存储设备 的共享；突破现有的距离限制和容量限制；服务器通过存储 网络直接同存储设备交换数据，释放了宝贵的LAN资源。SAN 存储指的是通过一个单独的网络(通常是髙速光纤网络)把 存储设备和挂在TCP/IP局域网上的服务器群相连。当有海 量数据的存取需求时，数据可以通过存储区域网在相关服务 器和后台存储设备之间高速传输。SAN存储具有以下功能特 点：可实现大容量存储设备数据共享，可实现高速计算机与 高速存储设备的高速互联，可实现灵活的存储设备配置要 求，可实现数据快速备份，可以兼容以前的存储设备。 快速增长的云服务器和桌面虚拟化，应用在SAN前端扩 展DAS的设计模式，在这种共享存储架构下，数据可以在一 个集群内不同节点间自动迁移，也就是说，一个虚拟机的映 像可以在集群内任何一个节点上运行。 2云计算的漏洞分析 1身份管理漏洞 按云计算身份管理有三个不同方面。一是，用户到云端 的身份管理，二是，云计算到用户的身份管理，三是，云到 云的身份管理。利用该云计算漏洞，可能发生未经授权的访 问的概率要远远髙于传统的系统，在那些系统中管理功能只 有少数管理员能够访问。 2.2