云計算安全，或稱云安全，是一套用于保護(hù)云計算系統(tǒng)的服務(wù)和資源的策略和技術(shù)。云安全是網(wǎng)絡(luò)安全的一個子領(lǐng)域，包括保護(hù)服務(wù)、應(yīng)用程序、數(shù)據(jù)、虛擬化 IP 和云計算系統(tǒng)相關(guān)基礎(chǔ)設(shè)施的流程。包括虛擬機(jī)(VM) 和容器在內(nèi)的虛擬化環(huán)境給云安全帶來了獨(dú)特的風(fēng)險。在這里，我們將討論云遷移的影響、云安全挑戰(zhàn)以及保護(hù)虛擬服務(wù)器的技巧。

上云對服務(wù)器安全的影響

簡而言之，云計算是一種通過互聯(lián)網(wǎng)提供計算服務(wù)和資源的方式。將多個數(shù)字化操作從本地服務(wù)器遷移到云服務(wù)器稱為云遷移。數(shù)字化運(yùn)營包括移動數(shù)據(jù)、應(yīng)用程序、IT 流程和其他業(yè)務(wù)元素。

越大越好

云服務(wù)由更大的、受信任的公司維護(hù)。一般來說，這些公司可以提供比本地服務(wù)器或家用計算機(jī)設(shè)備更強(qiáng)大和更強(qiáng)大的安全性。

安全倉庫

云服務(wù)器通常位于高度安全的數(shù)據(jù)倉庫中，大多數(shù)工作人員甚至無法訪問。

數(shù)據(jù)加密

存儲在云服務(wù)器上的文件是加密的，這使得網(wǎng)絡(luò)犯罪分子更難訪問它們。

多種數(shù)據(jù)保護(hù)技術(shù)

云提供商經(jīng)常使用各種技術(shù)來保護(hù)數(shù)據(jù)，例如：

• 一致的安全更新
• AI tools
• 自動修補(bǔ)
• 內(nèi)置防火墻
• 備份
• 第三方安全測試

新的網(wǎng)絡(luò)威脅

云遷移有很多好處，但將服務(wù)器開放到云中也可能存在風(fēng)險。云帶來了不會影響未連接到云的服務(wù)器的新型網(wǎng)絡(luò)威脅。這可能包括漏桶、云控制臺接管、SaaS 服務(wù)劫持等。

虛擬機(jī)的云安全挑戰(zhàn)

虛擬機(jī)帶來的云安全問題可能包括性能問題、硬件費(fèi)用、語義差距、惡意軟件和整體 VM 系統(tǒng)安全。

表現(xiàn)

系統(tǒng)上運(yùn)行的云安全服務(wù)會損害虛擬機(jī)系統(tǒng)的性能。這是由于虛擬化和虛擬機(jī)間通信的開銷。通過跨 VM 通信的設(shè)備訪問請求和結(jié)果交換需要額外的上下文切換，這增加了系統(tǒng)開銷。

硬件成本

為了確保虛擬機(jī)的完全安全，需要大量的物理資源。此外，使用較舊的資源或有限的內(nèi)存可能無法運(yùn)行系統(tǒng)。

語義鴻溝

來賓操作系統(tǒng)和底層虛擬機(jī)監(jiān)視器 (VMM) 之間的語義差距是對 VM 安全性的挑戰(zhàn)。VMM 可以監(jiān)控來賓 VM 的原始狀態(tài)，而安全服務(wù)通常需要處理時間來推斷更高級別的來賓 VM 狀態(tài)。

惡意軟件

惡意軟件是虛擬機(jī)安全的另一個挑戰(zhàn)。也就是說，虛擬機(jī)也可以用來阻止這些攻擊。例如，有多種技術(shù)可用于 VM 指紋識別，這些技術(shù)可以充當(dāng)惡意軟件的蜜罐，例如 Agobot 蠕蟲系列。

系統(tǒng)安全

云安全服務(wù)的功能更新可能會無意中將后門漏洞引入虛擬機(jī)，然后可以利用這些漏洞來訪問整個基礎(chǔ)架構(gòu)。

容器的云安全挑戰(zhàn)

容器帶來的云安全問題可能包括鏡像依賴、與權(quán)限標(biāo)志相關(guān)的漏洞、容器之間的互通、短暫的運(yùn)行時間和不正確的隔離。

圖像漏洞

容器是使用父鏡像或基礎(chǔ)鏡像構(gòu)建的。圖像或其依賴項可能包含漏洞，就像任何其他代碼一樣。

特權(quán)標(biāo)志

使用特權(quán)標(biāo)志運(yùn)行的容器可以訪問主機(jī)的設(shè)備。如果攻擊者破壞帶有特權(quán)標(biāo)志的容器，他們可以破壞系統(tǒng)。

容器之間的通信

容器可能需要相互通信以實(shí)現(xiàn)其目標(biāo)。容器和微服務(wù)的數(shù)量、容器的短暫性以及實(shí)施遵循最小特權(quán)原則的網(wǎng)絡(luò)/防火墻規(guī)則都可能帶來安全挑戰(zhàn)。

運(yùn)行

容器的壽命非常短，有時只有幾小時或幾分鐘。因此，幾乎不可能在任何給定時間監(jiān)控哪些容器進(jìn)程正在運(yùn)行。

隔離

如果容器沒有適當(dāng)隔離或配置錯誤，這可能會威脅到底層主機(jī)。

保護(hù)虛擬化環(huán)境的 5 個步驟

1.積極監(jiān)控和更新安全系統(tǒng)

主動監(jiān)控和分析虛擬機(jī)管理程序是否存在任何潛在的危害跡象，并持續(xù)審計和監(jiān)控所有虛擬活動。隨著安全版本的發(fā)布，系統(tǒng)必須是最新的。請務(wù)必使用最新的管理程序，并及時進(jìn)行產(chǎn)品維護(hù)。

2. 實(shí)施訪問控制

強(qiáng)大的防火墻控制保護(hù)機(jī)密信息免受未經(jīng)授權(quán)的訪問。為用戶提供有限的訪問權(quán)限，以防止修改管理程序環(huán)境。對虛擬機(jī)管理程序上的任何管理功能實(shí)施嚴(yán)格的訪問控制和多因素身份驗(yàn)證。

3.分離和安全管理

為了降低 VM 流量污染的風(fēng)險，管理基礎(chǔ)架構(gòu)應(yīng)該在物理上是獨(dú)立的。最重要的是，保護(hù)管理和 VM 數(shù)據(jù)網(wǎng)絡(luò)。

4. 使用管理程序并禁用不必要的服務(wù)

hypervisor 主機(jī)管理接口應(yīng)放置在專用的虛擬網(wǎng)段中，只允許從企業(yè)網(wǎng)絡(luò)中的指定子網(wǎng)訪問。應(yīng)該停用不必要的訪客服務(wù)帳戶或會話。禁用不需要的服務(wù)，例如剪貼板或文件共享。

5. 使用翻譯技術(shù)和 SSL 加密

始終使用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)和安全套接字層 (SSL) 加密與虛擬服務(wù)器命令系統(tǒng)進(jìn)行通信。