win7系統(tǒng)下載
當(dāng)前位置: 首頁 > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁面

云計算的安全問題

發(fā)布時間:2022-07-27 文章來源:xp下載站 瀏覽:

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機(jī)、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

  1.  前言

  云計算已經(jīng)是非常火爆的概念了,涉及的服務(wù)也非常多,彈性計算服務(wù)、文件存儲服務(wù)、關(guān)系數(shù)據(jù)庫服務(wù)、key-value數(shù)據(jù)庫服務(wù)等等不勝枚舉。本文將簡要闡述一下彈性計算服務(wù)的安全問題,因為彈性計算是應(yīng)用得最普遍的云服務(wù),也是安全風(fēng)險最大的云服務(wù)。

  由于許多東西涉及公司機(jī)密,細(xì)節(jié)、實現(xiàn)或者新的方向,本文中不進(jìn)行講解。有興趣的可以投一份簡歷過來,我們共同為云計算努力。

  2.  云計算帶來的新風(fēng)險

  在云計算之前的時代,傳統(tǒng)IDC機(jī)房就面臨著許多的安全風(fēng)險。然后這些問題毫無遺漏的傳遞到了云計算時代,不僅如此,云計算獨(dú)有的運(yùn)作模式還帶來了更多新的問題。

  2.1.  云內(nèi)部的攻擊

  l 安全域被打破

  在對外提供云計算業(yè)務(wù)之前,互聯(lián)網(wǎng)公司使用獨(dú)立的IDC機(jī)房,由邊界防火墻隔離成內(nèi)外兩塊。防火墻內(nèi)部屬于可信區(qū)域,自己獨(dú)占,外部屬于不可信區(qū)域,所有的攻擊者都在這里。安全人員只需要對這一道隔離墻加高、加厚即可保障安全,也可以在這道墻之后建立更多的墻形成縱深防御。

  但是在開始提供云計算業(yè)務(wù)之后,這種簡潔的內(nèi)外隔離的安全方案已經(jīng)行不通了。通過購買云服務(wù)器,攻擊者已經(jīng)深入提供商網(wǎng)絡(luò)的腹地,穿越了邊界防火墻。另外一方面,云計算內(nèi)部的資源不再是由某一家企業(yè)獨(dú)享,而是幾萬、幾十萬甚至更多的互相不認(rèn)識的企業(yè)所共有,當(dāng)然也包含一些懷有惡意的用戶。顯然,按照傳統(tǒng)的方式劃分安全域做隔離已經(jīng)行不通了,安全域被打破。

  l 新的攻擊方式

  傳統(tǒng)IDC時代攻擊者處于邊界防火墻外部,和企業(yè)服務(wù)器、路由器之間只有IP協(xié)議可達(dá),也就是說攻擊者所能發(fā)起的攻擊,只能位于三層之上。

  但是對于云計算來說,情況發(fā)生了變化。在一個大二層網(wǎng)絡(luò)里面,攻擊者所控制的云服務(wù)器與云服務(wù)提供商的路由器二層相連,攻擊者可以在更低的層面對這些設(shè)備發(fā)動攻擊,如基于ARP協(xié)議的攻擊,比如說常見的ARP欺騙攻擊,甚至更底層的以太網(wǎng)頭部的偽造攻擊。

  關(guān)于以太網(wǎng)頭部的偽造攻擊,我曾經(jīng)遇到過一次。攻擊者發(fā)送的數(shù)據(jù)包非常小,僅僅包含以太網(wǎng)頭部共14個字節(jié),源和目的物理地址都是偽造的,上層協(xié)議類型為2個字節(jié)的隨機(jī)數(shù)據(jù),并非常見的IP協(xié)議或者ARP協(xié)議,對交換機(jī)造成了一些不良影響。

  l  虛擬層穿透

  云計算時代,一臺宿主機(jī)上可能運(yùn)行著10臺虛擬機(jī),這些虛擬機(jī)可能屬于10個不通的用戶。從某種意義上說,這臺物理機(jī)的功能與傳統(tǒng)IDC時代的交換機(jī)相當(dāng),它就是一臺交換機(jī),承擔(dān)著這10臺虛擬機(jī)的所有流量交換。

  入侵了一臺宿主機(jī),其危害性與入侵了傳統(tǒng)時代的一個交換機(jī)新黨。但是與交換機(jī)相比,是這臺宿主機(jī)更容易被入侵還是交換機(jī)更容易被入侵?顯然是宿主機(jī)更容易入侵。

  首先,攻擊者的VM直接運(yùn)行在這臺宿主機(jī)的內(nèi)存里面,僅僅是使用一個虛擬層隔離,一旦攻擊者掌握了可以穿透虛擬層的漏洞,毫不費(fèi)力的就可以完成入侵,常見的虛擬化層軟件如xen、kvm都能找到類似的安全漏洞。

  其次,交換機(jī)的系統(tǒng)比較簡單,開放的服務(wù)非常有限。而宿主機(jī)則是一臺標(biāo)準(zhǔn)的Linux服務(wù)器,運(yùn)行著標(biāo)準(zhǔn)的Linux操作系統(tǒng)以及各種標(biāo)準(zhǔn)的服務(wù),可被攻擊者使用的通道也多得多。

  2.2.  大規(guī)模效應(yīng)

  l 傳統(tǒng)攻擊風(fēng)險擴(kuò)大

  為了方便讓VM故障漂移以及其它原因,云計算網(wǎng)絡(luò)一般的都會基于大二層架構(gòu),甚至是跨越機(jī)房、跨越城市的大二層架構(gòu)。一個VLAN不再是傳統(tǒng)時代的200來臺服務(wù)器,數(shù)量會多達(dá)幾百臺、幾千臺。在大二層網(wǎng)絡(luò)內(nèi)部,二層數(shù)據(jù)交換依賴交換機(jī)的CAM表尋址。當(dāng)MAC地址的規(guī)模達(dá)到一定規(guī)模之后,甚至可能導(dǎo)致CAM表被撐爆。

  類似的,ARP欺騙、以太網(wǎng)端口欺騙、ARP風(fēng)暴、NBNS風(fēng)暴等等二層內(nèi)部的攻擊手法,危害性都遠(yuǎn)遠(yuǎn)超過了它們在傳統(tǒng)時代的影響。

  l 攻擊頻率急劇增大

  由于用戶的多樣性以及規(guī)模巨大,遭受的攻擊頻率也是急劇增大。以阿里云現(xiàn)在的規(guī)模,平均每天遭受數(shù)百起起DDoS攻擊,其中50%的攻擊流量超過5GBit/s。針對WEB的攻擊以及密碼破解攻擊更是以億計算。

  這種頻度的攻擊,給安全運(yùn)維帶來巨大的挑戰(zhàn)。

  2.3.  安全的責(zé)任走向廣義


網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

本文章關(guān)鍵詞: 云計算 安全 問題 
主站蜘蛛池模板: 99久久婷婷国产综合精品草原| 欧美成电影综合网站色www| 亚洲综合国产精品| 狠狠色噜噜狠狠狠狠色综合久| 婷婷综合缴情亚洲狠狠尤物| 久久久久高潮综合影院| 色婷婷色综合激情国产日韩| 亚洲精品欧美综合在线| 婷婷国产天堂久久综合五月 | 狠狠色丁香婷婷综合| 区三区激情福利综合中文字幕在线一区| 一本一道久久a久久精品综合| 66精品综合久久久久久久| 久久久久久久尹人综合网亚洲 | 亚洲综合色在线观看亚洲| 亚洲一区综合在线播放| 国产人成精品综合欧美成人| 天天综合网网欲色| 欧美日韩国产综合视频在线观看| 国产精品日韩欧美久久综合| 色综合网站国产麻豆| 精品久久人人做人人爽综合| 一本一本久久aa综合精品| 亚洲 综合 国产 欧洲 丝袜| 丁香五月天综合缴情网| 激情五月婷婷综合| 精品国产国产综合精品| 亚洲综合国产一区二区三区| 久久综合视频网| 久久久久青草线蕉综合超碰 | 欧美亚洲另类久久综合| 国产欧美日韩综合精品一区二区| 亚洲激情综合网| 六月婷婷国产精品综合| 色综合合久久天天给综看| 日韩综合在线观看| 欧美综合天天夜夜久久| 色久悠悠婷婷综合在线亚洲| 伊人色综合一区二区三区| 久久综合亚洲欧美成人| 色婷婷狠狠久久综合五月|