I互联网+安全
nternet Security 云计算安全威胁及防护研究
□孙海波国家广播电视总局广播电视科学研究院
温鸿翔王竹琚张立权陕西广信新媒体有限责任公司
【摘要】云计算已经成为我国数字经济发展的重要支撑基础,云计算安全状况直接关系到我国经济发展前景。在国家网络安全等
级保护2.0标准下,本文针对云计算面临的安全威胁,依据云计算安全防护的原则,从云计算安全保障框架、云计算安全平台框架体
系提出对云计算安全问题的解决方案。
国家网络安全教育网入口【关键词】等保2.0云计算公有云云租户
R e s e a r c h o n security t h r e a t a n d p r o t e c t i o n o f c l o u d c o m p u t i n g
H a i b o S u n A c a d e m y o f B r o a d c a s t i n g S c i e n c e,N a t i o n a l R a d i o a n d T e l e v i
s i o n A d m i n i s t r a t i o n,Beijing 100866
H o n g x i a n g W e n Z h u j u n W a n g L i q u a n Z h a n g S H A A N X I G U A N G X I N n e w m e d i a limited liability c o m p a n y,X i5a n, 710061
A b s t r a c t:C l o u d c o m p u t i n g h a s b e c o m e a n i m p o r t a n t f o u n d a t i o n for t h e d e v e l o p m e n t o f C h i n a5s digital e c o n o m y.T h e s e c u r i t y situation o f c l o u d c o m p u t i n g is directly rela t e d t o t h e d e v e l o p m e n t p r o s p e c t s o f C h i n a*s e c o n o m y.U n d e r t h e n a t i o n a l n e t w o r k security level p r o t e c t i o n 2.0 s t a n d a r d,this article p u t s f o r w a r d a s o l u t i o n t o t h e s e c u r i t y p r o b l e m o f c l o u d c o m p u t i n g f r o m t h e c l o u d
c o m p u t i n g s e c u r i t y f r a m e w o r k a n
d t h
e c l o u d c o m p u t i n g s e c u r i t y p l a t
f o r m f r a m e w o r k b a s e d o n t h e principle o f c l o u d c o m p u t i n g
s e c u r i t y p r o t e c t i o n.
K e y w o r d s:I n f o r m a t i o n s y s t e m s e c u r i t y level p r o t e c t i o n2.0; C l o u d c o m p u t i n g;P u b l i c c l o u d;C l o u d t e n a n t
引言
云计算所发挥的作用日益突显,以阿里云、腾讯云、亚 马逊等为代表的公有云已成为互联网时代发展的风向标,云 计算以其强大的功能作用支撑各行业的运行。云计算具有节省成本、异地移动化、计算速度快、可扩展性强等优势。其 在带来方便的同时,使得用户将数据和应用迁移到了云上,从而使用户失去了对这些资源的物理控制,导致产生了一系列新的安全风险111。
一、云计算面临的安全威胁
使用云计算必须要考虑安全问题。云计算同样存在很多的安全问题,其多租户、分布布局、多极管理等特性,都具有安全隐患,所以必须加强对云计算的安全防护。
1.1虚拟资源安全风险
云计算最主要的特征就是大量采用虚拟化技术,将计算资源、存储资源和网络资源进行虚拟化,形成统一的资源池。根据用户的需求,实现资源的按需分配,使得云平台用户可以快速部署,灵活获取所需资源,提高资源利用率和工作效率。虚拟化技术的采用在传统计算架构上增加了一个新的虚拟化软
件层,也就引入了新的被攻击面,而且虚拟化软件层往往运行在核心态,具有最高特权,针对虚拟化软件层的攻击将直接对上层的虚拟机和应用带来安全威胁m。
1.1.1虚拟机监控器自身安全威胁
由于虚拟机监控器运行在比虚拟机更高的级别上,因此虚拟机监控器自身的安全漏洞一旦被利用,可能会威胁到与该虚拟机监控器相联的其它所有虚拟机。
1.1.2特权虚拟机安全威胁
特权虚拟机拥有比普通用户虚拟机更大的权限,而针对特权虚拟机的攻击就可能危害到其他普通用户虚拟机。
1.1.3资源共享风险
在多租户环境下,租户的资源面临着被其他租户非法访问的威胁,同时某一租户的恶意或误操作有可能会扩大影响,对同一云平台的其他租户业务系统造成安全威胁。
1.2虚拟网络安全风险
云计算将网络资源虚拟化后,在物理网络架构下形成了新的虚拟化网络拓扑,并且随着资源的动态分配,虚拟网络边界会动态变化,这样就会带来新的安全风险m。
1.2.1虚拟网络边界安全风险
传统IT基础设施网络是安全隔离的,网络边界非常明确。而在云计算模式下,网络边界就非常模糊了,并没有明确的分界。我们在之前传统网络中所部署的I P S、I D S、防火墙等网络安全设备并不能对云计算模式下的网络起到很好的保护作用,无法对虚拟机之间的通信进行控制,假如网络内的某一台虚拟机向其他虚拟机进行攻击,将会长驱直入,危害相当大,会直接对整个网络造成破坏。
1.2.2虚拟机之间网络流量无法监控
在云计算模式下的虚拟网络之中,网络流量的传播与传统的网络不同,其是通过虚拟机内部的虚拟交换机或集线器进行传播的,没有被网络安全设备所监测。这种形式的网络流量传播,导致的结果就是虚拟机之间如果存在恶意攻击,那么是不能被网络外部的网关进行检查和拦截的,存在网络被攻击的风险。
1.2.3虚拟机动态迁移过程存在风险
虚拟机迁移可以解决资源分配的问题,通过对网络中虚拟机可利用资源进行调整和重新部署,可以有
效提高网络资源的利用率W。虚拟网络节点的网络拓扑和网络边界由于虚拟机动态迁移的原因往往是动态变化的,主机环境的改变以及虚拟网络接口设备的改变,会造成安全策略配置不一致,或者安全策略配置失效,进而会影响整个虚拟网络的安全性。
1.3数据安全风险
在云计算模式下,网络的各种资源,比如计算资源、存
149
]■互联网+安全Internet Security
储资源等是被集中统一管理的,并且对外提供云计算服务,使租户根据自己的需求使用分配的网络资源。这样存在一个问题,那就是用户的数据资源归用户所有,但是管理权却并不在租户手上,那么数据就可能被泄漏,存在安全风险。
1.3.1云租户数据被非法访问的风险
由于多租户、多业务共享云平台资源,各租户的业务系统在运行过程中面临着数据可能被其他租户、云服务提供商的内部人员或外部恶意攻击者非法访问,以及被特权管理员非法访问等风险。
1.3.2数据处理过程中的风险
由于云计算环境下数据存储集中化,管理人员误操作或系统损坏等异常情况也会导致数据丢失或泄露,租户数据也可能存在删除不彻底而造成信息泄露。数据在传输、存储和处理过程中造成破坏或泄露。
0.3虚拟机数据泄露的风险
虚拟化是科学技术快速发展的体现,其已经改变了传统的网络结构,将物理边界衍变为逻辑边界,进而产生出了网络虚拟化、存储虚拟化、终端桌面虚拟化等形式。但虚拟化在带来方便快捷的同时,网络攻击也变得更加复杂多样。这 些情况,都容易对虚拟机数据造成泄露|51。
1.4安全管理风险
安全管理是保障信息系统安全的重要环节,大多数的安全事件往往都因为管理不当产生。由于云计算资源集中化,多租户和服务外包等特点,安全管理就显得尤为重要。
1.4.1云服务的信任风险
不同的云计算模式下,云提供商与租户对服务管理的权限划分并不一致,租户无法持续感知、把控自
身资源,对是否享有应得服务以及服务的质量,资源的操作情况并不了解,因此也就导致对云服务的信任风险。
1.4.2云服务的权限管控风险
云计算生态环境下,存在多个不同的角,比如云服务提供商、第三方服务集成方、独立软件开发方、云租户和用户等。他们之间往往权限职责的划分并不清晰,这样会导致产生安全问题时无法确定责任方。服务提供商管理不规范,也会导致内部人员存在违规操作的风险。
1.4.3安全策略配置管理的风险
云计算环境下,安全策略的配置管理
更加复杂。比如不同租户的安全需求、安
全策略等各不相同,网络虚拟化使得安全
策略的部署和维护变的更加复杂,如果配
置管理不当,就容易出现安全策略冲突或
失效等情况。
二、云计算安全防护原则
《信息系统安全等级保护基本要求云
i十算扩展要求》(以下简称《扩展要求》),
明确定义了在使用云计算资源的云租户侧,
也必须作为网络安全等级保护的对象进行
定级。
2.1严格执行国家网络安全等级保护
2.0标准
云租户侧必须严格执行《国家网络安
全等级保护2.0标准》。按照标准中的要求进行加固,比如 对照等保二级要求,则应至少部署堡垒机、防火墙等安全设备达到控制措施要求。
2.2做好系统安全漏洞发现及修复工作
《扩展要求》第五章节中提出,必须加强信息系统网络安全漏洞的发现和修复,保障系统的安全性。发现并修复网络安全漏洞,无论何时都是保障网络安全的重要工作,必须高度重视。网络安全漏洞,是不法分子对系统造成攻击破坏的重要手段,决不可以疏忽大意。
2.3做好系统上线前的安全检验
《扩展要求》第五章节中提出,对于单位的等重要系统,在上级前必须进行安全检验,一定不能存在“带 病”上线的情况。如果信息系统上线后,因为各种的安全漏洞,比如跨站脚本、弱口令、远程执行代码等,被不法分子利用了安全漏洞使系统出现问题,将会造成巨大损失。
三、云计算安全平台框架体系
根据国家等级保护制度2.0整体防护框架要求,从虚拟化基础运行环境、虚拟化区域边界安全隔离、虚拟化网络防护和虚拟化存储安全防护等多个方面构建一个全方位、完善 的云计算环境,建立“一个中心三重防护”的信息系统,如 图1所示。
3.1虚拟化可信基础设施
虚拟化可信基础设施层是基于可信计算技术、虚拟化安全技术等建立虚拟化运行环境的基础设施。它能够为虚拟存储资源,计算资源和网络资源提供信任链传递、可信度量、可信验证、可信存储等基本的可信支撑功能,并能够被虚拟化软件层及其它各层次上的安全功能和服务所使用,是构建可信云计算环境的基础。虚拟化可信基础设施层能够为第二方云安全检测工具,以及应用服务提供一个基于可信功能的服务支撑层。
3.2功能聚合层
功能聚合层通过聚合虚拟存储、虚拟节点和虚拟网络等三个层次上的安全防护功能,并利用统一的第三方安全代理层为各功能聚合提供支撑,从而形成一个三位一体的虚拟化
s金安全态势T虚拟网虚拟存储T虚似节麻¥移迅冬拽■
g理量_丄安全》理1安全管理量安金管理量安全管理邏
安全管理
中心
云边界防护
(集成)
安全宙计
内容出e
访问I雜
身份认谨
网络防护
(集成)
网络加速
渣置控期营理
核心跡冗余
安全区域边界 安全通信s络
图-个中心三重防护”信息系统架构组成
150
安全计肆环堍
虚拟化可d硪设麻
计轉资源
网络防护
功能聚合
节点防护
功能聚合
存储防护
功能聚合
云安全
管3平台
浅析权益中心在运营商的应用
互联网+安全
nternet Security
□王小锦中国联通山西省分公司
【摘要】本文阐述了权益中心的概念和权益中心的功能,分析了权益中心在运营商的应用及效果,从而提出了权益运营对于企业的 重要意义。
【关键词】权益中心客户价值经营生态
引言
受到、钉钉等即时通信业务的冲击,运营商面临成 为管道化可能性越来越大,这就倒逼运营商通过客户价值运 营突破包围,同时迎合数字化社会转型的需要,驱动客户价 值经营成为当务之急,逐步填充价值洼地。在运营商聚焦数 字化及经营模式转型的积极推动下,通过B 2I 2C 模式与互联 网公司开展合作,相继推出了定制卡、定向流量优惠、专属 服务等互联网权益,不断整合客户多行业权益资源,实现权 益经营模式下客户发展与价值提升。特别是随着5G 时代的 来临,电信和联通5G 网络共
建共享,在网络能力趋同形势下, 差异化的服务成为关键,而权益运营可以实现显著数字化转 型差异。纵观各主流运营商,伴随着市场成熟,产品同质化 不可避免,通过差异化权益提升产品价值,抢占细分市场, 谋求生态布局,建立客户高频互动运营模式已成为数字化转 型趋势。
权益中心概述
权益中心是数字化社会转型过程通过大数据汇聚行业资
源,进行权益生成、发布、获取、兑换及使用的统一入口, 具有权益的共享性、灵活性、多样性、实时性等特点,实现 权益一点管理、一点看全、一点兑付、一点结算、一点对账。
二、权益中心的功能2.1权益管理
权益中心分为自有权益和异业权益,各类权益都可以通 过权益中心发放,自有券有流量券、语音券、终端券、话费 券等、异业券包含视频类(如腾讯视频会员)、出行类(如
滴滴快车10元代金券)、生活类(如京东E 卡10元)、娱 乐类(如酷狗音乐豪华V I P 产品-月卡)、教育类(如学而 思轻课小学同步课-月卡)、健康医疗类(如好大夫全家宝 五口之家全家宝)等。这些券可以通过权益打包的方式创建 权益活动。功能有权益活动管理、权益查询、权益维护、权 益发放、权益返销、权益打包、规则管理、权益批量发放管 理和批量短信下发功能。
2.2合作商管理
包含合作伙伴信息管理、合作伙伴审批功能。实现引入
可信可控防护技术体系,有效应对引入虚拟化技术后,给计 算模式及网络结构所带来的安全风险。功能聚合层是“云安
全套件”产品的主要防护功能实现层。虚拟节点防护技术, 通过强制访问控制技术和针对虚拟环境的可信计算技术,切 实提升系统中虚拟节点的安全能力;虚拟网络安全技术,通 过动态安全域隔离技术、虚拟安全域间访问控制、流量监控, 策略动态迁移等,构建边界清晰、安全可控的虚拟网络环境; 虚拟存储防护技术,基于可信链的虚拟安全存储引擎,确保 虚拟存储的高可用性和可持续的数据保护能力。
3.3统一的云安全管理平台
统一的云安全管理平台,能够集中管控安全服务功能。 它能够协调不同的安全功能和服务运行状态,动态调配资源,
并为用户提供一个按需使用的定制化可信云服务界面。通过 管理平台,多个第三方安全服务能够协同运行、信息互通, 达到多种服务联动的效果。它能够全面扩展云计算环境的可 信服务能力,整体提升云服务的安全等级,确保云计算环境 满足等级保护及不同的行业合规性要求。
四、总结
传统的信息安全解决方案在云计算中面临诸多问题,而 数据安全更是云计算安全的核心,数据存储在云上,其所有 权、管理权和使用权的分离必然带来风险。本文针对云计算 当前面临的安全威胁,从云计算安全保障框架、云计算安全 平台框架体系提出对云计算安全问题的解决方案,只是一种 思路,在实际应用中还需不断完善。
参考文献
[1] 王钰芝.云计算技术下的计算机实验室网络安全技术探讨[J].计算机系统应用,2019(9): 56-57.[2] 周子敬.大数据云计算下网络安全技术实现的路径研究[J ].网络安全技术与应用,2019(8): 5-7.[3] 陈梦杰.云计算环境下网络安全技术研究[J].科学与信息化,2019(19): 43.
[4] 王晶,何利力.基于虚拟机动态迁移的负载均衡策略[J].计算机系统应用,2020 (5): 167 - 174.[5] 肖红威.云时代下企业数据防泄露安全研究[J].数据安全与云计算,2019(11):76.
孙海波(1979-),男,籍贯河北省怀来县,工程师,学
士学位
,网络安全,
项目基金:面向IP T V 未来业务发展的关键技术研究,ZZLX -2020-0706
15
1