运营商的云安全研究与设计

时间:2022-10-15 10:43:07

运营商的云安全研究与设计

【 摘 要 】 云计算的发展,尤其是其创新的计算模式和商业模式,给信息产业带来了深刻的变化。与此同时,不时出现的云安全问题,也对企业的可持续发展构成了挑战。通过对运营商当前安全服务中的主要问题进行探讨,并提出全新的云安全服务体系,以实现安全的数据访问与控制。

【 关键词 】 云计算;云安全;运营商

1 引言

云计算是继微型计算机、互联网后的再一次IT革命,其是互联网技术发展、优化的必然结果,它的出现,充分体现了“网络就是计算机”的思想,尤其是其创新的计算模式和商业模式,给信息产业带来了深刻的变化。随着云计算市场规模的扩大,一个完整的产业链也在形成,而云计算也将成为互联网的核心,一些使用过云计算服务的企业和个人,其数据和信息的安全将取决于相关系统的安全性和保密性。在这过程中,云计算的安全问题不时出现,给企业,尤其是运营商的可持续发展带来了挑战。通过对运营商当前安全服务中的主要问题进行探讨,并提出全新的云安全服务体系,以实现安全的数据访问与控制,这具有重要的意义。

2 运营商云计算服务中存在的问题

2.1 身份假冒

对于运营商云计算服务而言,身份假冒是最主要的安全问题。从用户身份安全角度来看,客户所需要的是一种强认证机制,这种认证机制应综合一般的ID和密码保护,以确保用户在得到授权以后方可访问特定的系统和应用。而在云计算服务领域,没有身份认证这一定义,从一个云服务转移到另一个云服务的时候,如何验证用户的身份是合法、真实、有效的?如何确定用户是在其权限范围内享受云服务?因此在云服务领域,只有通过联合身份认证技术,才能实现服务和应用在云领域的安全转移。但由于云计算与其他网络服务相同,其存在着一定的虚拟性,不法分子可以通过攻击客户端、网络传输和服务器等环节,来获取客户信息,从而成为合法用户,使用户的信息完全暴露在不法分子面前。

2.2 共享风险

在云计算中,共享风险是一种特有的安全风险。云计算服务,通过虚拟化技术,将软硬件平台共享给多个用户使用,从而提高IT资源的利用效率,节省硬件设备。正是由于云计算的这一特性,使云计算服务中存在着一定的风险。虚拟化技术使认证、授权和访问更加难以控制,并且在用户体验过程中,不法分子传播恶意代码的行为也难以发现,这将会感染主机。此外,虚拟化技术如同虚拟机,如果虚拟机因故障而消失,存储在虚拟机上的数据将会随之扩散到不安全的地方。因此,在运营商的云安全中,要解决虚拟平台的安全问题,尤其是虚拟机管理软件的安全问题。

2.3 隐私泄漏

数据安全与否和隐私泄漏,是用户最为关注的问题,这类问题如果解决不好将会给用户带来巨大的损失。一般而言,数据安全风险,主要包括数据泄漏、数据丢失、数据篡改等,这些风险点集中在数据传输、处理和存储环节。如果用户在传输数据的过程中,没有采取足够的安全防范措施,将面临泄漏和篡改的风险,这将给用户造成严重的影响。

2.4 不安全接口

云计算服务有一个重要的特点,即开放性,服务商根据不同的商务模式,将软件、硬件和应用,划分成不同的权限,向用户提供相应的标准化应用程序接口,即API。API是用户进行管理和服务的平添,其安全性,也体现了云服务的安全性。如果接口不安全,产生API漏洞,或造成API密钥丢失,将使得不法分子能够轻易地通过虚拟机的安全机制,从而获得相应的系统管理权限,这将会云计算服务一路带来严重的后果。

3 运营商的云安全框架设计

运营商移动的云安全服务,主要是基于其在云计算领域所具有的计算、存储和网络安全防护资源,通过虚拟化技术对其进行整合,将业务受理、技术支撑和计费结算等系统融合在一起,实行集中管理,以实现虚拟资源在全国范围内的调度,按需分配。

3.1 运营商云安全的模块框架

运营商的云安全模型框架,应与云计算的三层SPI模型相对应,即基础设施层(IaaS)、功能与服务平台层(PaaS)、服务展现层(SaaS),每一层之间都通过资源接口、安全接口、服务支持接口等与接口层相连接。

基础设施层(IaaS)主要包括基础设施(如防火墙、主机、IPS、网络设备等)、采集适配装置(如采集配置、采集调度、事件过渡、状态监测、管理、协议适配等)、虚拟化资源池、Web应用云中间件(服务、弹性扩充、云事务处理等)。在基础设施层中,采集适配装置,用来收集来自相关安全对象,如主机、安全设备的安全事件和示警信息,并进行基本的过渡,同时通过协议适配装置来处理不同协议的Syslog示警。当这些信息进入虚拟化资源池后,由虚拟机监控器进行监控和管理,并根据用户的权限,进行相应的资源分配。IaaS通过Web应用云中间件与PaaS实现连接。

功能与服务平台层(PaaS),既包括了服务子层,又包括了安全功能子层。其中服务子层,由数据管理区和服务管理区组成,数据管理区与基础设施层(IaaS)相连,该区域主要是为整个安全框架提供数据交换和存储服务,如安全事件和漏洞库、解决方案库、专家知识库等,相关知识库的自动更新,为安全事件和漏洞的应急处理,提供充足的知识储备。服务管理区,包括资产管理、策略管理、故障相应管理、SLA质量管理等,并与服务展现层(SaaS)相连,向上管理与安全相关的业务,而向下则负责处理安全事件,为运营商的云安全服务提供保障。安全功能子层,包括安全评估、安全监控、DDoS 流量清洗、基本关联分析、事件匹配等,该子层作为具体的安全业务功能承载和输出组件,同时负责对各类安全事件处理,是云安全事件处理的核心。

服务展现层(SaaS)是云安全服务的门户,其用来为用户提供按需自助服务,如统计分析相关的安全事件、输出安全事件报表等。此外,在这一层,用户还可根据自己的需要,定制云安全服务,通过SaaS层,可方便地了解云安全服务的计费信息,并实时了解云安全服务的使用状况。

除了与云计算相呼应的三大层次以外,要实现云安全服务,还需通过一系列接口进行连接,如通过资源接口与基础设施层(IaaS)进行连接,同时与国家计算机应急处理中心、国家病毒处理中心和其他资质较高的安全厂商的数据接口进行连接,不断完善运营商的云安全服务能力。通过安全接口与功能与服务平台层(PaaS)进行连接,收集来自其他安全服务中的数据,向有需要的客户提供运营商基层网络数据。通过服务支持接口与服务展现层(SaaS)连接,随时随地获取有关运营服务的安全信息,并通过运营商在全国范围内统一的业务受理号,如移动的10086,实现云安全服务的一站式受理,通过运营商的计费系统实现服务收费,通过资源管理,实现全国范围内的资源统一调度和技术支持,优化资源配置。

3.2 云安全服务的主要内容

安全检测服务。安全检测是运营商云安全服务的重要内容,其主要通过云端探针,对系统、主机、网络及相应应用的行为和态势进行收集,并通过安全分析,发现其中的隐患。对于发现的安全隐患,通过PaaS层中的基本关联分析,与相应的安全规则进行匹配,再将结果提交到云平台,由云安全服务平台对客户的安全行为和安全事件监控,随时收集安全事件信息,并对此进行汇总生成报表传送给客户,而对于应急事件,可通过示警机制提交应急流程进行处理。安全检测服务,具体包括对主机状况、网络可用性、数据库、Web应用安全等进行检测。

安全防护与相应服务。通过运营商在云安全服务PaaS层中设置的分布式安全事件处理模块,能够对非法入侵进行防护、对DDOS 流量进行清洗、溯源攻击、过滤Web恶意攻击等,为用户提供24小时安全事故处理、在线技术咨询,对突发的安全事件,能够帮助用户分析原因,发现问题来源,排除安全隐患。

3.3 云安全服务的演进部署

按照运营商云安全服务的业务模式、演进原则和部署时序,对云安全服务的演进部署可划分为三个阶段,即基础安全服务、安全增值服务和集中安全管理等。在基础安全服务阶段,要完成云安全模块中的基础设施层建设,利用运营商现有的安全服务平台进行功能扩展,要实现云安全平台的身份鉴别、访问控制、边界保护和安全监控等功能。在安全增值服务阶段,要进一步整合流量监控系统、Web 安全检测系统、安全网关、流量清洗防护单元和解决方案库、专家知识库等,实现用户应用、数据安全等安全增值服务。而在集中安全管理阶段,对数据、应用进一步整合,实现云端大规模安全检测、漏洞扫描等,将区域本地漏洞样本库与虚拟安全网关进行关联,同时实现安全检测与安全防护联动,按需过滤存在漏洞的应用链接。此外,还应推进安全接口的标准化,降低第三方安全应用的准入门槛,以统一和标准化的形式呈现安全应用。

4 运营商云安全框架的支撑体系

要真正推广运营商的云安全服务,不仅要设计和建设完整的云安全框架,还要依托现有的增值服务平台,建设相应的支撑体系,与现有流程相配合,提高云安全服务能力。云安全服务支撑体系主要由营销体系、运营体系和服务体系构成。其中营销体系,由运营商的各级业务部门所组成,其负责本区域内的业务受理及处理、市场开拓和客户维护等。而运营体系通过设立运营中心而成,在总部设立一个统一的云安全服务运营中心,负责业务平台的日常运营和系统维护工作,如业务定制中,为业务部门提供业务受理和技术支撑,对用户的网络安全和应用安全进行监控,而在服务中,根据客户对安全服务的需求,将安全事件信息汇总,形成报表发送给客户。对于安全业务计费,也可利用运营商现有的统一计费体系,进行付费。在服务体系中,要实现运营商云安全服务的标准化,除了推进安全接口的标准化,还要规范相应的服务体系,从服务推广、业务受理、服务实施到服务结束全过程,同时还要对应急服务流程进行规范。

5 结束语

随着云计算的不断发展,数据和信息安全显得越来越重要,而运营商拥有雄厚的资本实力、先进的技术、完整的服务体系和广泛的客户资源,为云安全应用的发展提供了良好的基础。对此,应通过整合现有的网络、存储和虚拟机等云计算基础设施,构建云安全服务体系。

参考文献

[1] 冯登国,张敏,张妍等.云计算安全研究[J]软件学报,2011(22).

[2] 张新跃,刘志勇,赵进延等.基于电信运营商的安全应急响应体系研究[J]信息网络安全,2011(8).

作者简介:

宁建创(1979-),男,广西人,桂林电子科技大学,研究生,助理工程师;主要研究方向和关注领域:通信网络安全技术。

上一篇:当前荷兰经济形势及推进中荷双边经济合作前景 下一篇:浅谈高校物理实验室安全管理