作者:***
来源:《计算机与网络》2020年第18期
安全心理学论文
当前虚拟化平台处于快速发展中,但同时安全问题也同步上升,成为网络安全领域亟待解决的关键问题。主流虚拟化平台虽然具有多方面的优势,但只有不断提高安全性,才能保证云计算的发展。对于虚拟化平台的安全问题,原有的安全解决方案难以实现,主流虚拟化平台,要明确当前所面临的各种安全风险,结合安全漏洞类型提出相关应对措施。 云计算改变了网络服务模式,在云计算条件下,用户对于数据的处理不再依赖硬件资源,而是借助服务器实现集中计算,不同用户可以处于隔离条件下,拥有安全、可信的服务环境。虚拟化技术是当前云计算发展的主要方向之一,其架构形式如图1所示。随着技术的普及,虚拟化平台的安全问题也更加突出,其危害程度与影响范围远高于传统模式下的单机。分析主流虚拟化平台存在的安全问题并采取优势措施,有利于为云计算的稳定发展创造条件。 流虚拟化平台的安全问题分类
虚拟化平台引发的安全风险
虚拟化平台存在的安全风险,是由于自身有难以避免的安全漏洞存在。不法分子出于利益原因利用平台漏洞,借助虚拟化网络对平台的接口展开攻击,导致虚拟化平台上的用
户信息发生泄露。由于我国技术的局限性,平台的核心技术大多源于国外的内核,虚拟化平台的基础被国外的少数厂商垄断,导致虚拟化平台在构建时可控性差,难以有效部署安全措施,难以判别引入的平台技术是否被厂商留有控制“后门”,可信度难以保证。在虚拟化平台上,不同虚拟主机的资源共享或数据交换需要通过虚拟资源池,因此资源存在被恶意抢占的风险,难以保证安全利用,平台的服务会伴随风险。
虚拟化网络存在的安全风险
虚拟化的网络结构不同于传统的网络,原有的防护模式难以应对风险。在云计算下,资源池内存在大量的虚拟化资源,可以结合数据的需要对资源加以调配。在这种模式下,原有的安全防护方式不能保证虚拟化平台的安全,难以应对恶意代码的攻击以及协议审计等安全威胁。在虚拟化条件下,为了有效调整负载,虚拟化平台采用了动态漂移技术,这导致传統的虚拟化主机位置有了变化,边界防护策略也要改变。平台原有的边界隔离、防护策略不能同步随虚拟机发生调整,边界防护与安全策略不能发挥作用,存在安全漏洞。
索溪峪的野教学设计
云计算中存在多租户架构,借助共享系统提升了运算资源的有效利用率,云计算服务商会依据租户的共享资源计费。采用多租户架构,虚拟化技术实现了云计算。在多租户云
计算下,平台更加开放,由于平台的租户众多,不可避免会存在恶意租户,租户间受到利益驱动有竞争问题。云计算资源还会发生滥用和租户间相互攻击的情况,传统模式下的安全防护措施难以应对云环境下的安全风险。用户可以控制虚拟机,随意改变IP或MAC地址,与其他虚拟机发生地址冲突,影响到虚拟机的应用,虚拟机通信如果缺少强制隔离机制,恶意用户会监听其他虚拟机,发起DoS攻击,资源的安全难以保证。
虚拟化主机存在的安全风险
虚拟机发生故障后,恶意用户会主动抢占资源,借助被控制的虚拟机获取更多的网络资源,平台上的存储空间会受到影响,平台资源如果耗尽,其他业务也难以实现。云平台完成构建后,会有众多的虚拟机同时运行,但是虚拟机操作方式有所差异,安全意识有所区别,安全防范措施也不相同。安全审计如果缺失,虚拟机会受到非法操作、感染病毒,系统已有的漏洞会被利用实施各种攻击。虚拟机存在镜像安全风险,不同于物理主机,虚拟机镜像资源采用文件形式,容易被复制或修改,安全级别低的镜像文件会被替换。虚拟机镜像文件如果缺少安全防控措施,合法用户的数据安全会受到影响。
虚拟化存储的安全风险
终端用户的数据存储于虚拟化平台后,数据的访问权有了变化。云计算服务商具有了访问优先权,增加了保证数据的隐私的难度。用户在平台存储的敏感数据或不宜公开的商业秘密会有被非法入侵、窃取或篡改的风险,影响到数据的保密性和完整性,甚至会发生数据泄露。
数据难以保证完整性,会导致数据失真,难以保证可用性,关键参数如果失真,会产生严重的影响。虚拟化平台存储数据为碎片化,数据整合会对数据的有效性产生影响,可用性难以保证。对数据实施容灾、备份和恢复是风险防控要解决的关键问题。虚拟化平台中,用户的数据不保存在本地,变为云存储,用户对于数据的访问需要通过完整性验证。数据要实现可恢复性与冗余性,要通过冗余存储,借助数据审计来验证,以确保数据的完整性。对于数据的使用,要有审计措施,如果审计方法存在缺陷,也会有风险。在虚拟化条件下,数据处于离散状态,分布于平台中,用户难以确定数据实际的存储位置,以及是通过哪个服务器来管理,数据发生不可用或泄露时,难以确定问题点,数据存在检测风险。索引采用了非结构化的方式,通过结构化表来加以实现,是实际应用与数据存储的桥梁。数据库中结构化的数据本身也存在风险,不法分子发起的恶意攻击会通过数据库存在的漏洞非法获取数据,或借助恶意代码窃取、篡改数据库的结构化语句,影响数据的保密
性、完整性和可用性。
虚拟化应用安全风险
虚拟化平台下的应用还涉及可用性风险,导致数据服务受阻,还会波及数据的审计。通过分析策略可在风险发生前感知存在异常信息,避免风险扩大。在云计算下数据高度集,边界变得模糊化,如果单台主机不可用,也会导致多种业务的应用受影响。云计算的可用性不同于原有的模式,影响范围变大,危害程度更加严重。此外,虚拟化平台还会存在Web攻击风险,Web攻击是指Web服务受到恶意代码攻击,如SQL注入攻击以及发生网页篡改等,这些问题的发生是由于输入HTTP表单的信息缺少审查,在代码设计时Web本身抗风险能力不足。中国思维
主流虚拟化平台安全问题的优化措施
意思自治原则
数据安全技术的应用
1.数据加密
存储数据风险防控常用的技术是对数据进行加密。在前端,针对客户端可借助SSL进行加密,以消除假冒网站以及钓鱼等安全风险的发生,解决网络及数据盗窃事件等问题,在后端采用加密的方式来防止黑客对数据实施窃取和篡改。在虚拟化平台的管理中,如何保证数据的安全可靠,同时还要保证检索效率,是应用加密技术要考虑的重点。传统技术在加密后,结构特征会发生改变,会给数据的检索、分析和挖掘带来不利影响,因此加密技术的应用可以采用带关键字检索,搜索方式可以采用完全匹配以及模糊关键字搜索等。
2.数据隔离
传统模式下的程序应用中不同用户采用独立的进程,因此无需采用隔离技术。在云平台条件下变为多用户结构,数据的共享要在设定的权限范围内,用户经过授权后才可以访问数据,在虚拟条件下,数据存贮要有隔离措施。为了解决虚拟条件下的安全风险,目前有3种架构。①共享表:系统的建立采用了统一化的数据格式,借助标志来体现不同类型数据的差异,此框架利于灵活存储,配置标准低,但数据表达需要复杂的逻辑,要多次备份才可以实现;②分离数据库:不同类型的系统采用相应的数据形式,架构不用多次备份,
但配置高;③分离表:对差异化数据加以合并,用户的数据统一存在难度,但配置较低,且需要备份操作。
3.虚拟化安全的应用
云平台还使用了虚拟化安全技术,作为核心技术之一,虚拟化下的安全可以采用以下措施。尸体标本
虚拟机隔离:要同一台上运行多个虚拟机,物理硬件处于共享状态,不同虚拟机之间存在隐蔽通道,针对这类风险要对虚拟机的数据加以隔离。应用隔离技术还要硬件的支持,包括内存和存储单元等。
虛拟机漏洞:虚拟机的用户如果存在安全风险,虚拟机难以保证本身的安全,整个云平台的运行会处于风险中。IaaS云平台支持下,漏洞扫描系统能动态检测到虚拟机的安全漏洞,依据检测结果更新补丁,以保证虚拟机的安全防护效果。
虚拟机安全管理:应用虚拟云平台还要考虑到如何实现负载均衡,易于在线维护。云平台有动态迁移服务功能,要求虚拟机在迁移中还要保持稳定的运行条件。虚拟机在迁移
过程中如何消除重放攻击、使用者攻击;针对网络攻击,除了要监视虚拟机外,还要监测迁移时机,确定触发迁移阈值,保证迁移节点的合理性。
虚拟机监控:虚拟云平台投放应用后,虚拟机需要面对更加复杂的网络环境,所以要部署专项服务器,这样可以有效监控内核和内存的状态。应用监控器要保证具有完全控制能力,还要有管理权,客户虚拟机在没有授权的情况下不能直接访问数据库,不能执行敏感指令。针对安全防护,采用的监控技术要保证可靠性,提升安全防范效果。
虚拟化平台具有方便、灵活以及经济等优势。但是这种方式也带来了信息安全问题。分析虚拟化平台存在的安全隐患,采取有效的防护措施,有利于消除虚拟化平台存在的安全风险,发挥虚拟化平台的价值。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议