基于云計算環(huán)境的虛擬網(wǎng)絡安全防護技術(shù)

方紅梅

（韶關(guān)市技師學院 廣東 韶關(guān) 512000）

0 引言

進入21 世紀以來，我國網(wǎng)絡技術(shù)、云計算、計算機技術(shù)及移動通信技術(shù)等均取得了實質(zhì)性進步，尤其是移動通信技術(shù)經(jīng)歷了3G 時代到4G 時代再到5G 時代的跨步轉(zhuǎn)變，得益于5G 技術(shù)的加持，云計算操作系統(tǒng)成為各個領(lǐng)域的主要信息運用平臺，不斷代替著傳統(tǒng)的計算軟件。 從客觀層面來講，云計算是一種基于互聯(lián)網(wǎng)平臺由各種計算處理程序合成的系統(tǒng)，其具備著資源配置動態(tài)化、需求服務自主化、網(wǎng)絡中心化、服務可計量化、資源透明化與池化、信息共享化、數(shù)據(jù)自動計算與運用等特征。 云計算不僅為企業(yè)帶來管理方式的變革，更為學校帶來教育方式的革新，為醫(yī)院、行政單位、公共服務機構(gòu)等帶來服務方式、生產(chǎn)模式的變革。 由于云計算促進了網(wǎng)絡資源、數(shù)據(jù)、信息的交互共享，因此就增加了網(wǎng)絡信息的暴露與外泄風險，尤其是企業(yè)、醫(yī)院、行政單位、軍事部門等涉及大量保密信息的機構(gòu)，在使用云計算平臺時，其面臨著外界病毒侵犯、內(nèi)部系統(tǒng)破壞等多重風險。 本文立足于云計算環(huán)境，對虛擬網(wǎng)絡安全防護的關(guān)鍵性技術(shù)進行明確，提出技術(shù)運用方法，最終搭建起完整化的虛擬網(wǎng)絡安全防護系統(tǒng)，為我國相關(guān)領(lǐng)域提供技術(shù)參考。

1 云計算的概況

云計算（cloud computing）是通過網(wǎng)絡“云”將巨大的數(shù)據(jù)計算處理程序分解成無數(shù)個小程序，然后通過多臺服務器組成的系統(tǒng)進行處理和分析這些小程序得到結(jié)果并返回給用戶的一種技術(shù)方式。 云計算區(qū)別于網(wǎng)絡計算，其往往與該計算技術(shù)概念相混淆。 網(wǎng)絡計算屬于一種由計算機組直接構(gòu)成一個超級虛擬計算機，直接進行執(zhí)行數(shù)據(jù)計算任務、信息分析任務的技術(shù)方式，而云計算則是依托于強大的網(wǎng)絡系統(tǒng)，先是由網(wǎng)絡系統(tǒng)提供基礎資源與信息與數(shù)據(jù)依據(jù)，再通過網(wǎng)絡系統(tǒng)連接計算機多個部件進行數(shù)據(jù)計算與信息加工分析的技術(shù)方式［1］。 編程系統(tǒng)、海量數(shù)據(jù)分布存儲技術(shù)、海量數(shù)據(jù)管理技術(shù)、云計算平臺管理技術(shù)、信息安全管理技術(shù)是構(gòu)成云計算的核心要素，其中，信息安全管理技術(shù)的主體就是虛擬網(wǎng)絡安全防護系統(tǒng)。 虛擬網(wǎng)絡安全防護系統(tǒng)主要發(fā)揮著檢測云計算平臺數(shù)據(jù)、程序行為的功能，同時，也發(fā)揮著識別外界風險因素、內(nèi)部風險因素的作用，是保證云計算平臺安全化運營的關(guān)鍵［2］。

2 云計算環(huán)境下關(guān)鍵性虛擬網(wǎng)絡安全防護技術(shù)

2.1 基于虛擬網(wǎng)絡設備的數(shù)據(jù)轉(zhuǎn)發(fā)控制技術(shù)

虛擬網(wǎng)絡設備是云計算的重要支持部分，也是云計算平臺進行數(shù)據(jù)存儲、計算、分析時主要依靠的程序載體。虛擬網(wǎng)絡設備在云計算系統(tǒng)中主要發(fā)揮著支持數(shù)據(jù)計算、共享、操作、調(diào)出、引用等功能［3］。 虛擬網(wǎng)絡設備面臨的風險包括人員對控制器、數(shù)據(jù)包的惡意篡改，被篡改后的虛擬網(wǎng)絡系統(tǒng)會出現(xiàn)數(shù)據(jù)故障與信息變更，導致后續(xù)產(chǎn)出的相關(guān)數(shù)據(jù)不準或丟失。 因此，為了強化對虛擬網(wǎng)絡系統(tǒng)的控制，確保云計算平臺產(chǎn)生的數(shù)據(jù)、信息安全，目前較為常用且有效的安全防護技術(shù)是數(shù)據(jù)轉(zhuǎn)發(fā)控制技術(shù)。 其技術(shù)原理是在云計算系統(tǒng)所在的計算機平臺上載入一個數(shù)據(jù)轉(zhuǎn)發(fā)控制軟件或程序，其與云平臺內(nèi)部程序直接連接。 技術(shù)人員按照云平臺的操作權(quán)限，事先將操作權(quán)限程序錄入到數(shù)據(jù)轉(zhuǎn)發(fā)控制軟件中，數(shù)據(jù)轉(zhuǎn)發(fā)控制軟件就可以對云平臺的登錄界面、信息內(nèi)容進行24 h 監(jiān)測，在發(fā)現(xiàn)權(quán)限信息異常時會自動發(fā)出報警、彈窗提示、強制關(guān)閉系統(tǒng)等功能，達到對外界非法操作行為的阻攔［4］。

2.2 基于可信調(diào)用層次關(guān)聯(lián)的租戶行為監(jiān)控技術(shù)

目前，對于惡意調(diào)用虛擬網(wǎng)絡服務接口的操作以及網(wǎng)絡病毒惡意竊取計算機系統(tǒng)信息的行為，一般采用基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法，通過構(gòu)建起租戶行為監(jiān)控系統(tǒng)，達到對云計算環(huán)境下虛擬網(wǎng)絡的調(diào)用流程關(guān)聯(lián)分析與檢測。 一方面，可信調(diào)用層次關(guān)聯(lián)的租戶行為是指云平臺關(guān)聯(lián)的計算機操作系統(tǒng)的所有用戶，包括具備內(nèi)部數(shù)據(jù)、信息管理的權(quán)限用戶，也包括計算系統(tǒng)的游客。無論是具備權(quán)限的用戶，還是游客，其操作云計算關(guān)聯(lián)的計算機平臺時，都有可能出現(xiàn)誤操作的情況，從而影響到虛擬網(wǎng)絡綁定的IP 地址運作流程，增加數(shù)據(jù)計算與分析失誤的風險［5］。 同時，云平臺關(guān)聯(lián)性的計算機系統(tǒng)可能面臨著各種網(wǎng)絡病毒侵犯，增加虛擬網(wǎng)絡系統(tǒng)中存儲信息與數(shù)據(jù)泄漏風險。 另一方面，為了解決這些安全風險，可以對虛擬網(wǎng)絡服務接口的運作標準進行規(guī)制，并備份出相應的運作程序作為租戶行為檢測模板。 依據(jù)模塊，在虛擬網(wǎng)絡服務系統(tǒng)中構(gòu)建起相應的租戶正常行為的模型，在模型自動化計算與分析下，完成對整個虛擬網(wǎng)絡服務系統(tǒng)的監(jiān)測，在出現(xiàn)誤操作、誤碰或虛擬網(wǎng)絡綁定IP 地址更改情況下（一般受網(wǎng)絡病毒侵犯），監(jiān)控模型就會自動記錄異常行為，并發(fā)出警報，同時開啟應急管理工作，如：強制轉(zhuǎn)回正常系統(tǒng)界面，阻止錯誤信息源出現(xiàn)。

3 云計算環(huán)境下虛擬網(wǎng)絡安全防護技術(shù)運用

3.1 運用數(shù)據(jù)轉(zhuǎn)發(fā)控制技術(shù)，建立SDN 控制器的流表監(jiān)控系統(tǒng)

基于上文所述，數(shù)據(jù)轉(zhuǎn)發(fā)控制技術(shù)的關(guān)鍵就是在虛擬網(wǎng)絡系統(tǒng)中建立起能夠監(jiān)測租戶行為的檢測體系，通過流表監(jiān)控與轉(zhuǎn)發(fā)控制，對各種權(quán)限人員進行智能化管理，確保操作者在操作云平臺時的行為規(guī)范與正確，也避免了部分人員惡意登錄或篡改云平臺信息。 為了實現(xiàn)轉(zhuǎn)發(fā)控制技術(shù)的運用，有效防范各種人為風險，關(guān)鍵方法在于建立起軟件定義網(wǎng)絡（software defined network， SDN）控制器的流表監(jiān)控系統(tǒng)［6］。 其建立步驟為：第一，選擇目前市面上較為主流的SDN 控制器硬件設備，將其安裝至云平臺關(guān)聯(lián)的交換機設備上，如：Open Flow 交換機設備。 第二，對SDN 控制器的對應控制軟件界面進行布置與優(yōu)化，設置對SDN 控制器控制與管理的流表監(jiān)控模塊。 第三，將SDN 控制器與轉(zhuǎn)發(fā)控制單元連接，通過SDN 控制器系統(tǒng)對計算機的轉(zhuǎn)發(fā)控制單元進行縱向監(jiān)測，以實時跟蹤虛擬網(wǎng)絡系統(tǒng)操作人員的行為。 第四，SDN 控制器與上一個單元的流表監(jiān)控模塊連接，與下一個單元的控制單元連接，在中間發(fā)揮著過渡層作用（邏輯如圖1 所示）。

圖1 SDN 控制器的流表監(jiān)控系統(tǒng)運行邏輯

3.2 利用多重身份認證技術(shù)，建立起完整的租戶行為監(jiān)控機制

云計算網(wǎng)絡處于發(fā)展過程中，對于諸多新接入的設備，默認設置、弱口令等問題也比較普遍，尤其是與外部網(wǎng)絡的接口處的身份認證就顯得至關(guān)重要。 對于管理平臺，盡量使用強口令且定期更換一次，除此之外需要多重身份認證，包含但不限于手機號碼驗證或指紋識別認證技術(shù)。尤其是對于上述提及的租戶行為監(jiān)控，其要想防止租戶違法違規(guī)操作行為的發(fā)生，避免云平臺關(guān)聯(lián)性的計算機系統(tǒng)遭到破壞，更需要運用手機號碼驗證、指紋識別、人臉驗證等技術(shù)，在基于可信調(diào)用層次關(guān)聯(lián)層級中建立起多重身份認證模塊，確保能夠?qū)γ恳幻脩粜袨榈母櫯c監(jiān)督。 租戶行為監(jiān)控方法主要為：首先，調(diào)用云平臺的各種接口，在相應的控制節(jié)點、計算機節(jié)點中進行虛擬機的創(chuàng)建和私有網(wǎng)絡的創(chuàng)建，并進行相關(guān)更改、刪除、接觸映射等自動化運作模塊的建立。 通過各個控制節(jié)點的監(jiān)控模塊建立為載入多重認證設備或系統(tǒng)奠定基礎［7］。 其次，在云平臺、計算機的各個端口節(jié)點的自動化檢測模塊支持下，在其相互連接的終端系統(tǒng)中載入人臉識別、身份證識別、手機號識別、指紋識別等多重身份認證模塊。 其建議遵循著認證層次性與多元性特征，盡量保證各個認證層級之間關(guān)聯(lián)與等級遞進，比如：第一層設計“身份證+手機號+用戶名”的認證模塊，第二層級設計“人臉驗證”模塊，第三層級設定為“指紋識別”模塊，通過三級身份認證系統(tǒng)，確保登錄人員的身份匹配與安全，避免惡意內(nèi)部運維管理人員的非法操作或其他人員的惡意行為。 最后，在多重身份認證系統(tǒng)的下一組單元層中建立起行為追溯與自動檢測的模塊，利用租戶行為監(jiān)控技術(shù)，對登錄系統(tǒng)的人員操作行為、過程進行自動化監(jiān)督、記錄，確保操作人員行為的可追溯。

3.3 利用多層級數(shù)據(jù)過濾軟件，建立起完整的防火墻防護體系

除了做好外部風險、內(nèi)部風險的防范外，更應利用多層級數(shù)據(jù)過濾、檢測軟件，建立起能夠防范各種網(wǎng)絡病毒的防火墻防護體系，確保云平臺數(shù)據(jù)資源的安全，避免數(shù)據(jù)信息泄漏。 同時，更要注重硬件設備的安全，加強對硬件設備維護，盡量避免硬件設備損壞帶來的數(shù)據(jù)信息丟失或網(wǎng)絡資源崩潰與BUG 出現(xiàn)。 例如：虛擬網(wǎng)絡系統(tǒng)的網(wǎng)絡病毒防護上，重點構(gòu)建起基于云平臺數(shù)據(jù)信息安全保護的網(wǎng)絡防護網(wǎng)、資源安全監(jiān)控系統(tǒng)等，對建立起的云平臺數(shù)據(jù)模塊內(nèi)部局域網(wǎng)與外網(wǎng)實行物理隔層，通過射頻識別定位，實時監(jiān)控與記錄每一條數(shù)據(jù)信息的走向。 同時，在計算機系統(tǒng)中下載目前市面上主流的病毒防護軟件與廣告、不良信息數(shù)據(jù)的過濾軟件，聯(lián)合射頻識別定位技術(shù)，對整個云平臺的數(shù)據(jù)走向與運作進行實時監(jiān)督，在監(jiān)測到網(wǎng)絡病毒威脅時，可自動實現(xiàn)報警、數(shù)據(jù)信息隱藏、威脅數(shù)據(jù)的阻止與屏蔽等功能。 又如，硬件設備安全管理上，重點引進6S 管理理念，注重相關(guān)設備的整理（SEIRI）、整頓（SEITON）、 清掃（SEISO）、 清潔（SEIKETSU）、 素養(yǎng)（SHITSUKE）、安全（SECURITY）六要素。 重點做好硬件安全建設，引入先進的高端服務器、數(shù)據(jù)交換機、防火墻、路由器、光端設備、網(wǎng)絡存儲設備、計算機設備等等，由專管人員負責，形成安全監(jiān)管小組，采取6S 管理理念，對硬件設備實施常態(tài)化巡視、評估，確保硬件設施安全［8］。

3.4 運用租戶行為監(jiān)控技術(shù)機制，搭建VPC 安全防護服務模型

現(xiàn)實情況表明，云計算環(huán)境的虛擬網(wǎng)絡安全問題主要是網(wǎng)站入侵、網(wǎng)頁內(nèi)容篡改、數(shù)據(jù)泄漏、網(wǎng)絡勒索、分布式拒絕服務攻擊等等，針對這些網(wǎng)絡安全風險隱患，防護技術(shù)要點就是對租戶行為的監(jiān)控，通過監(jiān)控租戶行為，及時發(fā)現(xiàn)網(wǎng)絡系統(tǒng)運行情況及出現(xiàn)的風險因子［9］。 對此，針對上文提及的租戶行為監(jiān)控，可根據(jù)租戶行為監(jiān)控技術(shù)機制，通過虛擬化軟件安全網(wǎng)關(guān)在云端的部署，搭建起虛擬私有云（virtual private cloud，VPC）全防護服務模型，使該模型與云計算服務控制端連接，達到對整個服務端運作的監(jiān)控與安全防護（VPC 服務架構(gòu)如圖2 所示）。 搭建起VPC安全防護服務模型基礎上，普通的云計算VPC 模型的租戶，既可以將數(shù)字視頻開發(fā)包／局部總線等安全業(yè)務安裝在業(yè)務服務器內(nèi)，也可以部署獨立的安全業(yè)務網(wǎng)關(guān)服務器。 云計算服務商也可以選擇分布式數(shù)字視頻開發(fā)包／局部總線模型，建設高性能的安全業(yè)務資源池，此時多個VM 虛擬機或者獨立的服務器資源邏輯上被認為是單一管理節(jié)點，對外提供高性能的安全業(yè)務。 這種情況下，虛擬多業(yè)務安全網(wǎng)關(guān)可以獨立分配給不同租戶，由于虛擬網(wǎng)關(guān)邏輯上相互獨立，不會相互影響，因此可以由租戶自行負責虛擬網(wǎng)關(guān)的管理，自主實現(xiàn)安全策略的配置管理，大大減輕服務提供商的維護工作量，滿足租戶完全獨立管理需求［10］。

圖2 VPC 安全防護架構(gòu)

4 結(jié)語

總而言之，人工智能、大數(shù)據(jù)、5G 等新興技術(shù)發(fā)展，網(wǎng)絡安全問題日益凸顯。 虛擬網(wǎng)絡安全防護體系的搭建是云平臺得以安全操作運行的基本前提，也是確保云平臺使用者或權(quán)益方的數(shù)據(jù)信息安全的根本要求。 從云平臺的操作與生成機制來講，虛擬網(wǎng)絡系統(tǒng)、租戶行為監(jiān)控系統(tǒng)、虛擬網(wǎng)絡內(nèi)部風險檢測是虛擬網(wǎng)絡安全防護的重點。 對于虛擬網(wǎng)絡系統(tǒng)，主要面臨著外界權(quán)限信息被篡改的風險，其需要運用到數(shù)據(jù)轉(zhuǎn)發(fā)控制技術(shù)構(gòu)建起數(shù)據(jù)轉(zhuǎn)發(fā)控制軟件與程序，輔助檢測虛擬網(wǎng)絡平臺的運轉(zhuǎn)行為。 對于租戶行為、虛擬網(wǎng)絡內(nèi)部數(shù)據(jù)信息，則重點是運用租戶行為監(jiān)控技術(shù)，在云計算的源代碼層級構(gòu)建起能夠監(jiān)視租戶行為與狀態(tài)的程序，達到對操作者操作行為與管控，通過網(wǎng)絡內(nèi)部系統(tǒng)中載入目前先進的數(shù)據(jù)庫技術(shù)、病毒防護軟件，打造多元化、多層次的內(nèi)部防護屏障，保障好云平臺的安全性。