云计算平台安全风险防护技术研究

伍晓泉 胡春潮 尤毅 曾杰

广东电科院能源技术有限责任公司 广东 广州 510030

1 云计算平台的内涵

云计算(Cloud Computing)是由分布式计算(Distributed Computing)、并行处理(Parallel Computing)、网格计算(Grid Computing)发展来的，是一种新兴的商业计算模型。云计算平台厂商通过建立网络服务器集群，向各种不同类型客户提供在线软件服务、硬件租借、数据存储、计算分析等不同类型的服务。近几年，随着虚拟化、边缘计算、人工智能、容器和区块链计数的高速发展，云计算平台凭借响应快速、部署方便灵活、高可用性、成本低廉等优势，在网络服务中得以广泛应用[1]。

2 云计算平台的安全风险和主要威胁

（1）镜像篡改。云主机的部署通常采用同一个镜像以期获得统一的运行环境和应用软件，从而避免复杂的配置过程，但如果该镜像被恶意篡改，如被植入病毒，那么后续基于此镜像创建的云主机都会遭到破坏。确保镜像的完整性不受破坏是整个云主机安全的基石，尤为重要。

（2）越权的操作和访问。对系统和数据的访问管理和控制不力往往导致非法（越权）访问，例如凭据保护不足、缺乏自动轮换密钥密码和证书的功能、未使用多因素身份验证、未使用强密码等导致关键密钥密码的容易被窃取或者暴力破解，从而对云计算主机造成破坏或者被攻击者非法使用，如托管恶意软件，发起DDoS攻击，分发网络钓鱼电子邮件，挖掘数字货币，执行自动点击欺诈或进行暴力攻击以窃取凭据。另一方面，若云主机配置的变更控制不力，内部人员可能有意或无意地使系统和数据面临风险。例如运维人员错误地配置了资源权限而意外地泄露了机密数据。

（3）资源迁移。在虚拟环境中，虚拟机的迁移很常见。在虚拟资源迁移过程中，需要采取校验或密码技术等措施保证虚拟资源数据的完整性，并在检测到完整性受到破坏时也应该采取必要的恢复措施。

（4）主机越权。提供虚拟资源的主机上通常存在管理组件，如Hypervisor，这些组件可以说是当前虚拟化的核心。由于它们可以协调各种硬件资源的分配，因此它的权限非常之大。云服务商也可能会使用其他云服务商的服务，使用第三方的功能、性能组件，造成云计算平台复杂且动态变化。随着复杂性的增加，云计算平台实施有效的数据保护措施更加困难，客户数据被未授权访问、篡改、泄露和丢失的风险增大。如果管理组件或主机操作系统被攻击，则运行在虚拟化组件之上的所有虚拟资源都会被波及。

（5）数据泄露。数据泄露是云计算平台应用中面临的一项重大安全威胁。其原因在于数据泄露可能会严重损害企业的声誉和财产安全，甚至导致重大的法律责任。数据泄露威胁包括存储数据泄露和传输数据泄露。在SaaS模式，企业数据存储在供应商的数据中心，企业应采取措施保障数据安全，防止由于应用程序漏洞或者恶意特权用户泄漏敏感信息。在一个多租户SaaS的部署中，多个企业的数据可能会保存在相同的存储位置，也会出现数据泄露问题。企业和提供商之间的数据流在传输过程中必须得到保护，以防止敏感信息外泄。

3 提升计算云平台的安全性的防护技术

（1）敏感信息数据的存储和访问控制。数据的存储安全性通过数据隔离和数据加密配合数据访问控制手段进行提升。隔离管理数据和业务数据，分开存储敏感数据和普通数据，只将敏感数据如密钥密码和用户鉴别信息等加密存储，可以兼顾服务效率和数据的机密性。当云主机处理的数据大部分是敏感数据时，加密处理会对服务器性能造成损害，此时则考虑使用专用加密设备来提升，谁有权访问数据是解决数据保护的关键问题，对于访问管理，管理员账户应采用双因素认证，并配合程序化、集中式方法进行密钥轮换。隔离和细分资源访问权限，对于数据按照最低特权原则进行访问，未使用的凭据和访问权限及时删除。管理员修改信息资源的访问控制权限时，需要二次确认，并定期审核和修复云计算主机的配置，监控云计算主机是否受到滥用。

（2）数据传输过程中的信息安全。传输的数据分为机密数据和普通数据。对于普通数据，仅需保证其在传输过程中不被篡改，数据的完整性不被破坏。普通的云主机镜像和资源迁移就属于此类数据。而对于机密数据，还需进一步加密处理。对于行业内私有平台内部相关数据和信息资源，采用公钥基础设施和数字签名证书技术的专有协议加密传输的数据。专有协议需考虑到机密性、不可抵赖性、数据完整性以及抗重放攻击。机密性遵循“一次一密”的原则，并能定时更新；不可抵赖性则主要依靠PKI（公钥基础设施）技术；数据完整性则依赖于摘要算法如SM3等；抗重放攻击则通过在报文中添加时间戳解决。由于使用了专用的加密传输协议，破解难度极大，安全性极高，可很好地解决传输过程中的数据泄露问题。

（3）操作系统加固。云主机应对操作系统进行定制裁剪处理，禁用不必要的和危险的系统服务，对常用服务进行安全加固；调整内核参数。对系统镜像进行签名，确保其完整性不受破坏。

（4）日志审计。一个完整的信息安全技术保障体系应由检测、保护和响应三部分组成，而日志审计是检测安全事件的不可或缺重要手段之一。日志审计是一种被动防护手段，作为主动防护手段的补充。目前，大部分信息系统的所依赖的IDS/IPS系统只能检测部分来之网络的攻击事件，对运维人员的违规操作、系统运行异常、设备故障等安全事件缺乏监控能力，而这些异常事件恰恰是对内部信息系统安全威胁的最大部分。日志审计通过分析系统、应用、数据库产生的运行日志，能够及时发现入侵检测系统检测到的各类安全隐患，并及时发出告警，从而避免安全事件的发生；即使安全事件不幸发生了，也可通过日志审计做到追本溯源，有助于找到问题的根本原因，厘清责任。

4 结束语

相信随着云计算的深入发展，国内云计算安全标准化工作的推进，各种安全实践会不断成熟，将进一步丰富和完善云计算平台的安全防护技术。