云计算系统:云安全

目录

云安全的定义

从广义上说,云安全是为了确保用户能在云计算中心稳定、私密地运行业务,并保证存储在云中数据的完整性和机密性。狭义上的“云安全”计划是中国特有概念),它融合了并行处理、网格计算、未知病毒行为判断等。其核心思想在于:将威胁检测从本地特征库转向云端网络服务。通过海量客户端监测网络异常行为,将信息传至云端服务器进行自动分析处理,再将解决方案分发到每个客户端。最终目标是将整个互联网构建成一个巨大的“杀毒软件”,实现全民联防,参与者越多越安全。
云计算资源共享、用户控制权减弱的特性,引入了新的安全威胁和挑战。用户必须重新评估自身的安全模式,安全责任常需用户与服务商共同承担。目前,云安全概念已被主流安全厂商广泛接受并推出相应解决方案,并已在实际应用中有效拦截了大量攻击。

云安全威胁

根据云安全联盟(CSA)的总结,云端主要面临以下十一大安全威胁:

  1. 数据泄露:云中集中存储的海量敏感数据,如财务、医疗、商业机密和知识产权,使其成为极具吸引力的高价值攻击目标。一旦发生泄露,可能造成毁灭性的商业与声誉打击。虽然云服务商提供基础安全控制,但保护自身数据的最终责任在于用户企业自身,不能完全外包。
  2. 凭证被盗与身份验证薄弱:弱密码、松散的密钥管理、权限分配不当或离职未及时撤销权限是主要根源。例如,Anthem 公司 8000 万客户记录泄露,根本原因在于缺乏多因子认证,导致凭证被盗后攻击者如入无人之境。高风险行为还包括将凭证硬编码在源代码并上传至公开仓库。防御的核心在于强制采用多因子身份验证和严格的凭证生命周期管理。
  3. 不安全的接口和 API:用于管理和配置云服务的 API 与界面是暴露在公网的前沿阵地,其安全性直接决定了云服务的整体安全水平。脆弱的 API 会直接危及数据的机密性、完整性与可用性。此外,基于这些不安全接口构建的第三方应用也会引入连锁风险,扩大攻击面。
  4. 系统漏洞:系统或应用中的漏洞是普遍存在的,但云计算的多租户共享特性会显著放大其影响,如共享内存、数据库,可能催生跨越租户的新攻击路径。因此,云环境下的定期漏洞扫描、及时补丁管理和跟进威胁情报比传统环境更为紧迫,其防护成本远低于潜在攻击造成的损失。
  5. 账户劫持:通过网络钓鱼、诈骗或软件漏洞获取用户账户凭证是常见手段。在云环境中,账户一旦被劫持,危害尤为严重:攻击者不仅能窃听活动、操纵交易和篡改数据,还能以被信任的云服务为跳板发起进一步攻击。因此,需要采用深度防护策略来遏制此类威胁。
  6. 恶意的内部人员:威胁可能来自现员工、前雇员、承包商或商业伙伴。在云环境下,恶意的内部人员可能破坏整个基础设施或大规模篡改数据,尤其是云服务商侧具有高级权限的人员。由于用户将数据和系统的控制权部分让渡,其安全性高度依赖于服务商的内控与诚信,风险更为集中。
  7. 高级持续性威胁:APT 攻击隐蔽性强,长期潜伏在网络中以窃取数据或破坏系统,难以被常规手段检测。它们通常通过鱼叉式钓鱼、定向漏洞利用或供应链攻击渗透。云服务商虽能提供底层防护,但用户必须主动监测自身云账户中的异常活动,像对待内部网络一样保持警惕。
  8. 永久性数据丢失:除恶意黑客故意删除外,自然灾害导致数据中心物理损毁、或客户在加密数据后自行丢失密钥,都可能导致数据无法恢复。这不仅造成业务中断,还可能因违反数据留存法规而面临严厉处罚。因此,采用多地备份、分布式部署和健全的灾难恢复计划很重要,同时必须安全地管理加密密钥。
  9. 云服务滥用:攻击者可能利用云强大的计算与带宽资源进行违法活动,如破解密钥、发起 DDoS 攻击、发送垃圾邮件或托管恶意内容。即使客户并非直接目标,这类滥用也可能导致其所在平台的服务质量下降、IP 被封锁或面临法律风险。云服务商有责任监控和阻止滥用,客户也应关注服务商的相关政策与报告机制。
  10. 拒绝服务攻击:DoS/DDoS 攻击旨在耗尽目标资源,导致服务不可用。在云环境中,大规模的流量型攻击虽常见,但应用层的小规模、针对性的 DoS 攻击同样有害,且能造成巨额资源消耗账单。尽管云服务商通常具备更强的流量清洗能力,但用户仍需提前制定缓解与应急响应计划,确保在攻击发生时能快速启用防护资源。
  11. 共享技术漏洞:这是云计算架构固有的风险。云服务商共享底层的基础设施、平台或应用组件。一旦这些共享的核心层出现一个关键漏洞或错误配置,如在虚拟化层、共享数据库平台中,就可能产生一损俱损的连锁效应,危及该环境下所有租户的安全,导致大规模的数据泄露或服务中断。

cloud-security-alliance-csa

云安全防护策略

云安全防护主要包括基础设施安全、数据安全、应用安全和虚拟化安全四个方面:

基础设施安全

作为云计算的底座,基础设施的安全是上层服务可信的基础。相比传统环境,云环境面临着更高的网络开放性、资源共享性和服务迁移需求,其防护策略也有所不同。第一种策略是强化数据可控与隔离,不同层面的需求如下:

层面 说明
网络层面 赋予客户自定义网络策略与安全组的权限
存储层面 利用如 VMFS 的虚拟化存储技术和底层存储阵列的隔离机制,确保客户只能访问自己的数据
计算层面 通过大规模部署虚拟机并进行合理配置,实现不同租户间的严格隔离

image

鉴于 IaaS 资源的远端特性,远程管理是刚需,因此需要建立安全的远程管理机制。应优先采用虚拟局域网建立安全隧道,或使用 SSH 等加密协议进行远程登录。杜绝使用简单的静态密码,确保所有管理通道启用高强度加密,如 IPSec、TLSv1.2+;及时更新系统补丁,修补管理软件自身的漏洞。

image

选择具有长期安全维护承诺、对安全高度重视的虚拟化厂商。成熟的虚拟化平台通常内置了完善的安全功能,如 VMware vSphere,功能包括不限于虚拟机隔离、动态资源调度 DRS 等,能增强系统的整体安全性。
image

为应对服务中断、自然灾害等不可抗拒因素,必须建立异地容灾备份机制。通过在不同地理位置部署生产中心与灾备中心,确保在极端情况下能快速切换,最大限度减少服务中断时间和数据损失。
v2-98fa8c73dea0235b86e83902c23d4251_r

在构建数据中心时需要综合考量软硬件选型,不应仅关注成本,需综合评估硬件品牌的质量、易用性、可维护性以及软件的成熟度,选择性价比高且安全可靠的解决方案。针对云环境下用户对数据位置不可知的焦虑,需健全法规与技术追踪

  1. 法律上:需完善数据保护法规,严惩数据泄露和不道德行为;
  2. 技术上:应开发虚拟机漂移追踪技术和针对云环境优化的加密技术,让用户能够感知并掌控数据的物理位置与安全状态。

数据安全

数据安全是云用户最关注的方面,无论采用何种服务模式,都需要围绕数据流,特别是传输、存储和残留这三个敏感阶段进行防护。在数据传输过程中,数据在公共网络上流动,极易遭受窃听和篡改。

因此,防护的核心策略是在传输前使用强加密算法对数据进行加密,并采用 SSL/TLS 等安全传输协议,从而确保数据在传输过程中的保密性、完整性和真实性
image

数据存储方面:

  1. IaaS 模式****:用户拥有对虚拟机的控制权,因此建议对静止数据**进行加密,以防范来自云服务商、恶意租户或内部人员的未授权访问;
  2. PaaS 和 SaaS 模式:由于数据需要被平台或应用直接处理(如索引、搜索),全量加密会阻碍功能实现,因此需要在安全性与功能性之间做出审慎权衡。

用户还需要在服务协议中明确数据的具体存储地理位置,以满足数据主权和合规性要求。面对多租户架构,虽然可以通过数据标记和逻辑隔离技术来降低风险,但对于极高敏感度的数据,最稳妥的方案仍是采用私有云部署。此外,必须采用多地多副本备份策略来确保数据的持久性与可恢复性,并借助外部安全审计和合规认证来验证云服务商的数据保护能力。
image

最后,必须重视数据残留风险,即存储介质被释放后,残留的物理痕迹可能被恢复导致数据泄露。云服务商有责任建立严格的数据清除流程,包括彻底销毁关联的加密密钥、执行多次磁盘擦拭、乃至对物理介质进行消磁或粉碎,确保任何租户释放的资源中都不会包含可恢复的敏感数据。

应用安全

云应用因其开放性与公众可访问性,需在终端、SaaS 应用和 PaaS 应用的多层都实施相应的策略。终端客户安全是用户直接操作的层面,用户需在其设备上部署并启用反病毒、防火墙及入侵防御软件,并确保作为主要访问入口的浏览器保持最新状态,及时修补漏洞。企业还应建立制度,规范用于连接云应用的计算机使用。

SaaS 应用安全层面,由于用户不管理底层设施,安全责任主要由提供商负责。用户在选择 SaaS 服务时,应重点评估其安全实践,包括要求提供商披露安全开发细节,并考虑引入第三方进行渗透测试。同时,必须审查其身份验证与访问控制机制,需确保其支持最小权限原则和强密码策略。此外,理解服务商在多租户架构下实现数据隔离的技术方案也至关重要。
image

对于 PaaS 应用安全,PaaS 提供商负责平台运行引擎及底层安全,用户则需对其部署在平台上的应用自身安全负责。这要求用户确保应用配置正确并及时打补丁,尤其当应用集成第三方服务时,需对这些组件进行独立的安全风险评估。用户应要求 PaaS 提供商提供沙盒隔离机制,以保障多租户环境下的安全边界。应用开发者自身也必须熟悉平台的安全 API 与配置规范,在代码中正确实现访问控制。
image

虚拟化安全

虚拟化安全聚焦于虚拟化软件(管理程序) 和其上层运行的虚拟服务器。虚拟化软件安全的完整性与可用性直接决定了整个云环境的安全性。因此,需要选择经过充分安全验证的成熟虚拟化平台,并实施严格的管理员访问控制,将攻击面降至最低。

在虚拟服务器安全方面,在底层硬件方面优先选用支持可信平台模块(TPM)和硬件辅助虚拟化的服务器,以增强启动安全和物理隔离。其次,在虚拟化层内部,应为每个虚拟机分配独立的逻辑存储空间,并在虚拟机内部部署主机级安全套件,如防火墙、杀毒软件。网络层面,需通过 VLAN、细粒度安全组策略对虚拟机流量进行逻辑隔离,对敏感通信加密。最后对虚拟机的运行状态和日志进行严密监控,并及时关闭闲置实例,以持续减少潜在的攻击面。
75656f6225baa085235e848b357a6120

身份识别和访问管理

身份识别和访问管理的核心在于通过对用户、角色、权限和凭证的管理,确保只有经过验证的实体才能访问特定资源。

身份识别和访问管理 说明
用户管理 通过创建用户组来批量分配权限,提升管理效率。
角色管理 通过为需要临时权限的用户或服务分配 IAM 角色并颁发短期凭证,避免长期凭证泄露的风险,并解决跨账户访问。所有的权限授予都默认拒绝,需要时通过灵活的授权策略来控制访问。
安全凭证管理 除了管理密码、密钥等,还要对高权限操作启用多因子认证。

操作系统安全

在云环境中,保障操作系统安全的关键在于实现漏洞补丁的及时、自动化修复。云平台应提供自动化补丁管理功能,能够支持在线或离线补丁的下载、自动分类与过滤,并允许用户按需部署。更智能的系统还应具备补丁依赖分析、自动推荐和基于黑白名单的部署策略,从而帮助管理员在海量、动态的虚拟机环境中,高效完成系统加固工作。
image

操作审计

操作审计模块通过自动、不可篡改地记录所有通过控制台、API 或命令行工具执行的操作,形成完整的活动事件。因为所有证据清晰可查,这项功能极大地简化了合规性审计,同时提升运维与安全的可见性,让管理员能够检查所有用户和资源的操作行为。基于日志可以进行安全事件分析和故障排查,快速定位问题根源。审计日志还能驱动安全自动化响应,通过配置规则对特定的高危操作进行实时告警甚至自动阻断,如异常登录、关键配置变更等,将安全防护从事后追溯推向事前预警与事中响应。
image

参考资料

《云计算导论(第2版)》,吕云翔、柏燕峥、许鸿智、张璐、王佳玮 编著,清华大学出版社
VMware vSphere
VMware vSphere Foundation: Optimizing Private Clouds and Driving IT Value
奇安信天守终端安全 SaaS 服务
安全 PaaS 部署的最佳做法 - Microsoft Azure | Microsoft Learn
虚拟化安全:从逃逸漏洞到实战分析
阿里云操作系统安全
阿里云日志审计服务

posted @ 2026-06-06 02:24  乌漆WhiteMoon  阅读(10)  评论(0)    收藏  举报