云计算安全风险与保护技术框架研究＊

云计算安全风险与保护技术框架研究＊一文创作于：2023-04-12 06:41:52，全文字数：13038。

云计算安全风险与保护技术框架研究＊

��bot 等。④CC 攻击防护。该种攻击类型较为隐蔽，攻击者不直接执行DDoS 攻击，而是借助代理服务器实现伪装，一旦成功将会严重影响系统稳定性，因此安全层设计中，依托WAF 完善识别功能，可以对IP、cookie 文件开展标识处理，精准识别出超阈限访问节点，并阻断相关攻击行为。

2.5 数据安全层

2.5.1 访问隔离设计

近年来高新科技产业迅猛发展，数据、信息作为无形资产的地位得到加强稳固，云计算平台中，必须以机密性、完整性作为数据存储、交互衡量要点，以确保云安全体系切实有效。访问隔离设计是该体系的重要关卡，本系统中引入了IAM（Identity and Access Management，统一身份认证）技术进行优化，面向企业、个体租户提供服务，可以实现用户集中管理，安全凭证集中验证等功能，除用户账号注册外，还可以调整资源操作权限，从而降低系统防内压力，确保云计算平台安全性能。

2.5.2 传输通道设计

应用云计算平台开展业务处理工作时，经常会涉及到数据传输问题，为确保安全主要引入了ⅤPN 技术，可以以ⅤPC 为依托，与远端用户建立联系，与传统开放渠道相比，通信路径经过加密更加严谨安全，可以实现数据中心的无缝扩展。当系统中产生新的数据、信息，租户也可以借助该通道打包上传，启动额外服务器增强计算能力，降低泄露风险的同时保证使用性能。在通信协议上，使用了TLS（Transport Layer Security，传输层安全协议）技术与证书管理，一方面可以提供REST 网络，以RESTful 为依托，对目标API进行直接调用；另一方面开放Highway 通道，可以满足特殊场景下的使用需求，私密性、高效性更有保障。

2.5.3 存储安全设计

数据存储环节引进KMS（Key Management Service，密钥管理服务）技术，依托硬件安全模块进行密钥创建，避免出现密钥泄露等问题，密钥正式使用环节，所有操作均会被同步到日志板块，以便后期调取审计。对数据进行删改操作、销毁操作时，系统会事先处理前一阶段内存，通过写“零”操作防止有效信息泄露，对于已经废弃的数据，则开放安全删除功能，直接在磁盘中执行相关操作，消除数据恢复读取可能[4]。此外还搭配了自发加密功能，租户可以根据实际需求，对上云数据进行加密，若有丢弃需求直接销毁密钥即可，物理磁盘报废后，也会通过云平台消磁，并提醒租户折弯、破碎，以阻断所有可能的隐私泄露渠道。

2.6 运维安全层

2.6.1 安全日志设计

从云计算平台运行现状来看，会发现安全防护需求基本上是逐年增长的，各类攻击事件、泄露事件严重威胁着数据安全性，除了完善防护性能外，还应当做好日志记录，以防恶意篡改删除造成隐性数据资产损失。要结合需求划定云安全事件，包含系统入侵、基础设施受损、网络扫描窃听等，发现苗头后及时记录用户名、源头IP 地址、变更内容等，设置90 d 左右的开放查询事件，方便回溯和修补，日志内融入大数据技术，可以将异常状况生成可视化成果，辅助人工决策。

2.6.2 灾难恢复设计

云计算平台依托资源池完成业务计算和运行，节点宕机、损坏等均有可能影响架构运行质量，因此安全设计环节，还开辟了灾难恢复模块，异地数据中心之间相互联通，邻近节点互为灾备，当其中一点出现故障时，数据会自动拷贝、转移，所有传递操作依托高速光纤实现，以确保业务连续性。针对难以预见的自然灾害、重大灾难等，同样编制了系统的连续性计划，借助仿真平台模拟测试，将目标区域云平台转换为离线状态，模拟灾难并规定处理路线，测试过程、结果被系数记录下来，方便后续调取删改。

3 结论

综上所述，云计算技术具有覆盖范围广、计算能力强大等优势特征，应用于企业管理、信息传递时，可以显著减少硬件资源开销，保障资源池供应充足性，实践环节要正视其中存在的身份冒用、数据泄露、DDoS 攻击等风险，积极引入网络隔离技术，对数据中心、业务平面等关键区域进行分隔防护，同时关注主机层安全隐患，通过权限设置、映射关系搭建等确保CPU、I/O 设备的隔离，在应用层增加Web 攻击过滤、CC 防护攻击等功能，最大限度保障云计算平台应用安全性。

《云计算安全风险与保护技术框架研究＊》在线阅读地址：云计算安全风险与保护技术框架研究＊