论文部分内容阅读
【摘要】在云存储应用中,安全虚拟化和安全网络为云存储服务提供了基本的保证。研究基于云计算的虚拟化安全和存储网络安全,目的在于基础设施云服务中更加合理利用网络与存储资源,为云存储的安全应用提供参考和保障。
【关键词】云存储虚拟化网络安全
一、引言
云存储是以存储设备为核心,通过应用软件对外提供数据存储和业务访问服务[1]。云存储安全的关键技术研究中,又以虚拟化安全技术和存储网络的安全技术为研究核心之一。
二、云存储技术之虚拟化的安全
虚拟化技术在逻辑上分离了物理设备与操作系统和应用软件,基于虚拟化的计算资源调配可使有限的硬件和软件资源按需重新规划分配,灵活扩展硬件容量,简化软件配置和资源的访问与管理,提高硬件与软件的综合效率和应用能力[2]。
基于虚拟化的云存储应用环境中,VM Hopping可以访问被接入宿主机的存储和内存;VM Escape攻击可获得Hypervisor的访问权限,从而对其他虚拟机进行攻击[3];通过管理平台进行跨站脚本攻击、SQL入侵;拒绝服务攻击会获取宿主机资源,造成系统拒绝客户所有请求;Rootkit能够获得Hypervisor的管理员级访问控制权,进而取得整个物理机器的控制权[4];在虚拟机迁移过程中,随着虚拟磁盘的重建,攻击者可改变源配置文件和虚拟机特性[3];虚拟机的镜像安全漏洞、生命周期的复杂性和故障会导致其承载的数据和服务不可用和控制难度。
因此,可以将所有虚拟机全部安装防毒软件或杀毒软件;提高容错监视服务器的利用率,避免服务器过载;在数据库和应用层之间设置防火墙,防止虚拟机溢出;使用可信平台模块;为虚拟服务器分配独立硬盘分区,并使用VLAN技术和网段划分,对虚拟服务器逻辑隔离;使用VPN在虚拟服务器间通信;按计划备份,进行虚拟化的灾难恢复;监测分析网络流量确保存储网络安全运行;通过可信第三方机构的安全认证和监管。
三、云存储的安全网络
云存储服务的应用中,其网络防护不当会导致用户私密数据被非法访问;云存储网络应用在服务提供商的控制下,用户无法通过网络监管自己的程序和数据的使用情况;网络传输协议和数据移动过程容易被窃听和分析;云存储服务平台中的软硬件故障和其他灾难会导致服务的异常终止和数据丢失;云存储集中存储的大量数据容易引起攻击者的注意;基于虚拟化技术的访问控制、认证和授权的实现更为困难;云存储中大量廉价计算资源和数据资源可能成为攻击者的工具。
由虚拟机监控器实现基于存储区域网络及应用层的域分割为寻址提供了逻辑隔离,可以在虚拟的网络域执行全面的状态监视以及其他网络安全监测;如能承担足够资源开销,可由服务提供商完成网络访问控制和安全防火墙服务;使用SSL、IPSec、数字签名等技术对传输中的数据进行有效加密;选择使用安全传输协议;加强安全日志审计和应用基于网络的入侵检测和防御系统;及时修补虚拟机实例配置和迁移中的管理漏洞和补丁;实现存储网络信任边界的通信控制;限制访问管理程序及其他虚拟化层面;阻止所有到虚拟服务器的端口;限制应用程序栈功能,加固镜像,限制主机所有攻击面;防止未授权访问;在镜像中除解密文件系统的密钥外,不包含其他身份认证作证[5];保护访问主机私钥,从数据所在的平台中隔离密钥;关闭不必要的服务。
四、结束语
随着云服务层次的提高,基于云存储的虚拟化安全技术与网络存储安全技术为云存储的发展提供了有效的保障。研究可信的虚拟化云存储将是提高云存储服务的主要方向之一。
参考文献
[1]黄晓云.基于HDFS的云存储服务系统研究.大连海事大学.硕士论文. 2010年6月
[2]黄振华.基于云计算的虚拟化存储技术研究.硅谷. 2012年第20期. 24,71
[3]房晶等.云计算的虚拟化安全问题.电信科学. 2012年第4期. 135-140
[4] Hanqian Wu,Yi Ding,Winer Chuck,et al.Network security for virtual machine in cloud computing.Proceedings of 5th International Conference on Computer,Sciences and Convergence Information Technology(ICCIT). Seoul, Korea. 2010. 18-21
[5] Tim Mather,Subra Kumaraswamy,Shahed Lati. Cloud Security and Privacy.刘戈舟,杨泽明,刘宝旭译.机械工业出版社. 2011年5月
【关键词】云存储虚拟化网络安全
一、引言
云存储是以存储设备为核心,通过应用软件对外提供数据存储和业务访问服务[1]。云存储安全的关键技术研究中,又以虚拟化安全技术和存储网络的安全技术为研究核心之一。
二、云存储技术之虚拟化的安全
虚拟化技术在逻辑上分离了物理设备与操作系统和应用软件,基于虚拟化的计算资源调配可使有限的硬件和软件资源按需重新规划分配,灵活扩展硬件容量,简化软件配置和资源的访问与管理,提高硬件与软件的综合效率和应用能力[2]。
基于虚拟化的云存储应用环境中,VM Hopping可以访问被接入宿主机的存储和内存;VM Escape攻击可获得Hypervisor的访问权限,从而对其他虚拟机进行攻击[3];通过管理平台进行跨站脚本攻击、SQL入侵;拒绝服务攻击会获取宿主机资源,造成系统拒绝客户所有请求;Rootkit能够获得Hypervisor的管理员级访问控制权,进而取得整个物理机器的控制权[4];在虚拟机迁移过程中,随着虚拟磁盘的重建,攻击者可改变源配置文件和虚拟机特性[3];虚拟机的镜像安全漏洞、生命周期的复杂性和故障会导致其承载的数据和服务不可用和控制难度。
因此,可以将所有虚拟机全部安装防毒软件或杀毒软件;提高容错监视服务器的利用率,避免服务器过载;在数据库和应用层之间设置防火墙,防止虚拟机溢出;使用可信平台模块;为虚拟服务器分配独立硬盘分区,并使用VLAN技术和网段划分,对虚拟服务器逻辑隔离;使用VPN在虚拟服务器间通信;按计划备份,进行虚拟化的灾难恢复;监测分析网络流量确保存储网络安全运行;通过可信第三方机构的安全认证和监管。
三、云存储的安全网络
云存储服务的应用中,其网络防护不当会导致用户私密数据被非法访问;云存储网络应用在服务提供商的控制下,用户无法通过网络监管自己的程序和数据的使用情况;网络传输协议和数据移动过程容易被窃听和分析;云存储服务平台中的软硬件故障和其他灾难会导致服务的异常终止和数据丢失;云存储集中存储的大量数据容易引起攻击者的注意;基于虚拟化技术的访问控制、认证和授权的实现更为困难;云存储中大量廉价计算资源和数据资源可能成为攻击者的工具。
由虚拟机监控器实现基于存储区域网络及应用层的域分割为寻址提供了逻辑隔离,可以在虚拟的网络域执行全面的状态监视以及其他网络安全监测;如能承担足够资源开销,可由服务提供商完成网络访问控制和安全防火墙服务;使用SSL、IPSec、数字签名等技术对传输中的数据进行有效加密;选择使用安全传输协议;加强安全日志审计和应用基于网络的入侵检测和防御系统;及时修补虚拟机实例配置和迁移中的管理漏洞和补丁;实现存储网络信任边界的通信控制;限制访问管理程序及其他虚拟化层面;阻止所有到虚拟服务器的端口;限制应用程序栈功能,加固镜像,限制主机所有攻击面;防止未授权访问;在镜像中除解密文件系统的密钥外,不包含其他身份认证作证[5];保护访问主机私钥,从数据所在的平台中隔离密钥;关闭不必要的服务。
四、结束语
随着云服务层次的提高,基于云存储的虚拟化安全技术与网络存储安全技术为云存储的发展提供了有效的保障。研究可信的虚拟化云存储将是提高云存储服务的主要方向之一。
参考文献
[1]黄晓云.基于HDFS的云存储服务系统研究.大连海事大学.硕士论文. 2010年6月
[2]黄振华.基于云计算的虚拟化存储技术研究.硅谷. 2012年第20期. 24,71
[3]房晶等.云计算的虚拟化安全问题.电信科学. 2012年第4期. 135-140
[4] Hanqian Wu,Yi Ding,Winer Chuck,et al.Network security for virtual machine in cloud computing.Proceedings of 5th International Conference on Computer,Sciences and Convergence Information Technology(ICCIT). Seoul, Korea. 2010. 18-21
[5] Tim Mather,Subra Kumaraswamy,Shahed Lati. Cloud Security and Privacy.刘戈舟,杨泽明,刘宝旭译.机械工业出版社. 2011年5月