云计算下网络安全接入方式研究.docVIP

云计算下的网络安全接入方式研究 　　摘 要：云计算在当下发展极为迅速，而云计算下的安全问题也一直备受关注，重要性也更为突出。网络攻击手段与防护措施一直都在以循环螺旋的模式发展，几乎所有的云计算业务都不可能脱离严密的安全策略而独立存在。文章从云计算的业务模型入题，剖析当前环境下网络安全面临的新挑战，说明安全对云计算的重要性，进而阐述云计算的网络准入安全建设方式如何实现安全的网络接入保障。 　　 关键词：云计算;网络安全;网络准入 　　 中图分类号：TP309 文献标志码：A 文章编号：1673-8454（2015）04-0075-02 　　一、引言 　　 云计算（Cloud Computing）是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算强调资源请求与资源调度的分离，实际处理请求的后台系统与发出请求的最终用户之间是一种松耦合关系。在这种情况下，安全对于云计算服务的重要性是显而易见的。在企业用户眼里，云计算的灵活性、高性价比、高可靠性都有着无可比拟的优势，但如果在安全性上不过关，那么没有一个企业级用户会将自己的内部数据托管到一个存在泄密风险的平台上。 　　 从IaaS到PaaS、SaaS，云计算服务包含的内容越来越多，用户能够接触到的底层信息却越来越少。由于缺少基础架构的细节信息，用户会对接入云服务的过程提出更高的安全要求，如果云服务提供商无法满足这些标准，可能直接导致失去用户。可见，完善的安全机制是云服务能够落地的前提条件，云计算的任何一个环节对安全防护都提出了相当高的要求。 　　与安全的重要性相对应的是相关领域发展的滞后。云计算的安全机制是一个非常庞大的课题，几乎没有机构或厂家能够从上到下一手包揽所有细节，因此业界也缺乏一个统一的思路来指导安全建设，加上云计算产业本身也处于一个高速发展的阶段，远远没有定型，大家对云计算安全架构的意见也就更加发散。 　　目前为止，在云计算安全方面最有影响力的组织是CSA（Cloud Security Alliance――云计算安全联盟）。CSA成立于2009年，是一个致力于推动云计算安全最佳实践的公开组织，CSA的最高目标是提出一套最优的云计算安全建设指导方案。 　　 网络安全是整体安全的一部分，对于云服务来说，网络是输送服务的途径，因此对网络的保障非常重要。CSA明确提出了云服务的挑战很大一部分来自于“怎样安全地从云中存取数据”，在这种情况下，数据传输隧道的建立和防护是必不可少的。而VPN通道可以用来保护数据的私密性，即使这些数据在公网上传输。 　　 除了对网络传输管道本身的保护，对网络资源的获取也是云服务安全的重要内容。其中用户身份验证就是最为关键的一部分。授权的用户身份是云计算安全的基础，如果非法用户获得了访问数据中心资源和设备的权限，那么所有的安全保障措施都岌岌可危。基于此，可以将复杂的网络安全策略划分为准入和加密两个维度。本文将主要围绕准入展开云计算下网络安全接入方式的研究，并介绍不同的准入方式进行对比。 　　 二、网络准入的技术分类 　　 随着云计算的不断深入，越来越多的企业业务系统由传统的C/S架构向B/S架构迁移，以往访问后台数据需要安装专用软件，IT部门控制客户端软件的许可发放，就能够大致控制访问用户的范围。而在B/S架构中，用户只需要一个Web浏览器即可登录系统。 　　 另一方面，智能手机、平板电脑和WiFi的流行推动了BYOD（Bring Your Own Device――携带自己的设备办公）的兴起。越来越多的人开始在办公场所使用自己的无线移动设备进行公司的业务系统访问，这对数据安全造成了严重威胁。于是，对网络的准入控制被重新提上IT部门日程，只有合法的用户才能够介入网络。 　　 控制用户接入网络的技术伴随网络本身的诞生和发展已经衍生出多个派别，每种方式都有自己的特点和使用场景，很难说哪种方式在技术实现和最终效果上技高一筹，取得绝对的领先地位。在当下的实际环境中，常见的认证准入方式包括二层准入、三层准入、客户端准入三种。 　　 1.二层准入 　　 目前大部分网络利用DHCP协议为用户接入设备进行IP地址的分发。二层准入就是用户在获得三层IP地址之前必须通过的认证，用户在接入网络之初，需要通过二层连接进行认证数据交互，以确保接入身份的合法性。 　　 二层准入的代表实现方式就是802.1x。802.1x协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（