云計算IaaS環境下的公共安全防護模型分析

IaaS作為基礎設施級別的云計算服務，其將網絡、存儲、計算等資源進行虛擬化等處理，能夠為每個用戶提供相對獨立的服務器計算資源、存儲資源以及在承載網上設定專有的數據轉發通道，這種云計算的模式已經得到IT業界的廣泛認可。

IBM、惠普、亞馬遜、谷歌等IT巨頭，憑借強大的IT基礎設施硬件能力和IaaS云計算軟件平臺總體解決方案獨占鰲頭;而國內部分傳統的IDC服務商或數據中心外包服務廠商，憑借其對IDC業務運營的經驗也逐漸開始切入到IaaS云計算市場;一些大型企業尤其是互聯網企業利用自身對互聯網運營的理解和應用系統資源也積極切入云計算市場，典型如阿里云、盛大云和騰訊云等;此外積極參與IaaS云計算服務的還包括國內多家運營商以及部分地方政府等。尤其是國內的大型運營商，憑借其在基礎網絡設施管道、互聯網出口寬帶資源、大量中小企業托管客戶資源平臺的優勢以及強大的運維支撐能力，已經成為IaaS云計算建設的重要力量。如中國電信“天翼云”已經推出云存儲、云主機等業務，中國聯通也正在推進虛擬數據中心VDC的商用并為用戶提供云存儲、云主機等IaaS服務，這些運營商所具備的大型IDC的運營能力、強大的軟件開發能力和整合硬件平臺的能力以及互聯網的運營經驗將有助于其云計算IaaS服務的推廣。

在IaaS環境下，云計算租戶無須關注基礎設施的建設和維護，只需要結合自身的業務向服務商提交相應的存儲計算網絡資源申請，就可以在服務商提供的存儲計算環境上，基于自身業務自行選擇適合自身的操作系統和安裝各種應用程序，這對于很多類型的企業或者企業中的部分業務具備很好的吸引力。尤其是對一些業務系統訪問流量具有周期性特點的企業，或者是對部分需要較大計算能力的用戶，IaaS的云計算服務可以幫助企業以最小的代價滿足自身需要。

2 SaaS（安全即服務）的主要內容

2.1 IaaS環境下的公共安全防護

IaaS的服務提供商需要對IaaS環境提供一些基礎的公共安全保障，服務商需要對用戶的數據安全或應用安全提供一定程度的安全保證，甚至簽署SLA協議。這些公共的安全防護包括以下幾個方面：

基礎網絡安全保障

對于云計算服務商而言，在其將網絡、存儲、計算和帶寬等資源統一打包租給用戶時，這些基礎物理設施的安全防護是需要重點保證的，也應該是SLA內容的一部分。包括基本的物理環境安全防護;交換機設備安全特性的開啟以防止諸如ARP攻擊和MAC地址攻擊等L2層網絡安全攻擊;云服務商互聯網出口的基礎安全防護以及針對DDoS的攻擊防護，特別是對于DDoS攻擊服務，單純的基于用戶進行防護并不能起到很好的效果，云計算服務商需要將這些危害到基礎設施基礎安全的風險統一考慮。

用戶自助服務管理平臺的訪問安全

用戶需要登錄到運營商的云服務管理平臺，進行自身的管理操作，如設置基礎的安全防護策略，針對關鍵服務器的訪問權限控制，用戶身份認證加密協議配置，虛擬機的資源配置、管理員權限配置及日志配置的自動化。這些部署流程應該被遷移到自服務模型并為用戶所利用。在這種情況下，云計算服務商本身需要對租戶的這種自服務操作進行用戶身份認證確認，用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關鍵安全事件的日志記錄以便后續可以進行問題跟蹤溯源。

服務器虛擬化的安全

在服務器虛擬化的過程中，單臺的物理服務器本身可能被虛化成多個虛擬機并提供給多個不同的租戶，這些虛擬機可以認為是共享的基礎設施，部分組件如CPU、緩存等對于該系統的使用者而言并不是完全隔離的。此時任何一個租戶的虛擬機漏洞被黑客利用將導致整個物理服務器的全部虛擬機不能正常工作，同時，針對全部虛擬機的管理平臺，一旦管理軟件的安全漏洞被利用將可能導致整個云計算的服務器資源被攻擊從而造成云計算環境的癱瘓。針對這類型公用基礎設施的安全需要部署防護。

內部人員的安全培訓和行為審計

為了保證用戶的數據安全，云服務商必須要對用戶的數據安全進行相應的SLA保證。同時必須在技術和管理兩個角度對內部數據操作人員進行安全培訓。一方面通過制定嚴格的安全制度要求內部人員恪守用戶數據安全，另一方面，需要通過技術手段，將內部人員的安全操作日志、安全事件日志、修改管理日志、用戶授權訪問日志等進行持續的安全監控，確保安全事件發生后可以做到有跡可尋。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]