云计算IaaS环境下的公共安全分析
比特网 12年05月24日 11:57 【转载】 作者:Adolph 责任编辑:周晓丽
导读:IaaS作为基础设施级别的云计算服务,其将网络、存储、计算等资源进行虚拟化等处理,能够为每个用户提供相对独立的服务器计算资源、存储资源以及在承载网上设定专有的数据转发通道,这种云计算的模式已经得到IT业界的广泛认可。
服务器虚拟化的安全
在服务器虚拟化的过程中,单台的物理服务器本身可能被虚化成多个虚拟机并提供给多个不同的租户,这些虚拟机可以认为是共享的基础设施,部分组件如CPU、缓存等对于该系统的使用者而言并不是完全隔离的。
此时任何一个租户的虚拟机漏洞被黑客利用将导致整个物理服务器的全部虚拟机不能正常工作,同时,针对全部虚拟机的管理平台,一旦管理软件的安全漏洞被利用将可能导致整个云计算的服务器资源被攻击从而造成云计算环境的瘫痪。针对这类型公用基础设施的安全需要部署防护。
内部人员的安全培训和行为审计
为了保证用户的数据安全,云服务商必须要对用户的数据安全进行相应的SLA保证。同时必须在技术和管理两个角度对内部数据操作人员进行安全培训。
一方面通过制定严格的安全制度要求内部人员恪守用户数据安全,另一方面,需要通过技术手段,将内部人员的安全操作日志、安全事件日志、修改管理日志、用户授权访问日志等进行持续的安全监控,确保安全事件发生后可以做到有迹可寻。
2.2 IaaS环境下SaaS(安全即服务)的增值服务
为了差异化用户的类型,服务商还可以根据用户的需求,将网络安全作为一种增值服务出租给用户,这些安全增值服务包含以下几个方面:
防火墙增值服务
用户在租用计算资源后,相当于自身具备了一台相对独立的网络安全存储计算环境,在这种情况下,面对自身的应用系统,需要进行安全区域的设置,并配置适当的安全域策略来规范对应用系统的访问和禁止;
与此同时,服务商需要为每个租户提供网络安全事件的日志信息,以及经过分析归并的安全事件分析报表,便于租户对自身的网络、计算及存储资源的安全状况进行评估,在必要的情况下可以给用户的策略调整提供依据和支撑。
IPS入侵防御增值服务
在IaaS环境中也存在很多的安全漏洞,用户在租用云服务商的计算资源并部署相关应用系统时,需要针对自身的应用系统的安全风险进行适当的漏洞防御;
不同的租户有各自的应用系统环境,也面对差异化的安全漏洞风险,云服务商可以提供独立的安全资源池,用户可以根据自身业务系统的安全级别合理选择是否租用该漏洞防护服务。
LB负载均衡增值服务
随着企业关键应用逐渐向Web化转移,企业所属服务器的对外Web应用正在不断增加,单业务流量带宽也在不断增加,此时,单个的虚拟机或服务器本身提供的性能不足,需要向服务商租用多台服务器或者虚拟机实现业务承载。
在这种情况下,为了保证各服务器的均衡工作,租户可以有选择地使用服务商提供的负载均衡业务。
安全VPN服务
用户在租用云计算服务时,为了保证数据的访问安全,一般情况下都会对访问数据进行VPN加密,同时针对用户访问进行严格的身份认证和权限控制。
一般来说用户可以根据自身的情况进行VPN模式的选择,如果主要是固定分支访问可以选择IPSec VPN的加密方式,如果是移动接入用户为主可以选择SSL VPN的接入方式,或者是两种方式的综合。服务商可以通过VPN增值服务来满足用户差异化的VPN访问要求。