摘要 这篇信息管理论文发表了云计算中容器技术的安全风险和对策,容器技术是一种基于系统内核的轻量级虚拟化技术, 可以在单一宿主机上同时提供多个拥有独立进程、文件和网络空间的
这篇信息管理论文发表了云计算中容器技术的安全风险和对策,容器技术是一种基于系统内核的轻量级虚拟化技术, 可以在单一宿主机上同时提供多个拥有独立进程、文件和网络空间的虚拟环境。随着计算机网络的不断进步,容器技术得到了进一步发展,论文概述了容器技术的实现与安全风险,并给出了相关对策。
关键词:信息管理论文投稿,云计算;信息安全;容器技术
引言
计算机网络技术不断发展使得容器技术迅速崛起,同时也给信息安全领域带来了巨大的挑战。一方面云计算的各项技术在信息安全领域尚未完全收取,另一方面容器技术相继而来不断冲击信息安全体系,因此我们要及时做好准备,充分应对即将带来的挑战。本文根据容器技术来分析在云计算方面它所带来的信息安全风险,并针对带来的风险提出应对之策。
1容器技术概述
1.1容器技术及其实现
容器技术属于虚拟化技术之一,是操作系统级别的虚拟化。容器技术不是模拟软件,而是在特定系统的条件下对主机各项资源进行分配,从而形成容器,每个容器都是独立的操作系统。但是不同容器技术实现方法大相径庭,主要有chroot方式、容器虚拟层方式以及操作系统内核功能方式。
1.2容器技术优势
与使用硬件虚拟化技术主机相比,使用容器技术主机的系统层次少,具有唯一的操作系统内核,所以其使用的转换层级更少,使得系统缓存的效率更高。容器技术正常工作不需要建立完整的系统,甚至不需要保存应用程序,而且该项技术的内存耗用非常的小,程序运行的时候占用的内存也很小。在加载内核和程序的时候与传统虚拟机相比,容器技术可以避免启动繁琐程序,同时启动速度非常快,且容器技术的运行性能好。
1.3云计算高级容器技术
Docker是一种高级容器管理引擎,可以在任何容器中打包、处理、迁移、部署应用,同时对于任何容器也可以进行相关操作,因此该项技术可以在云时代如此流行。目前该项技术已经得到各大软件公司的强力支持,并且很多大型企业也参与其中。云时代的容器技术具有高度的技术优势,凭此优势已经可以逐步替代传统硬件虚拟化技术,成为云时代的主流技术方案。以Docker为代表的云时代容器技术不断得到广泛的应用和发展,并且与当代技术高度契合,因此各大云计算服务商也愿意投入巨大的力量促使其发展,在各大高级容器计算中,最让人记忆犹新的是Docker技术。与其他技术相比,容器技术可以承载更多的虚拟机,也就意味着等量云服务中可以使用较少的基础设施,进而可以进行低价管理和维护,降低成本。
2云计算中使用容器技术的信息安全风险与分析
2.1云计算安全技术体系
云计算技术依靠传统的安全体系支持,但是云计算中的虚拟化技术要在传统安全技术基础上添加虚拟化的云计算特有安全技术。而且云计算特有的安全技术具有主导地位,也是当今热点。首先是宿主机安全,在宿主机上运行的虚拟机都要服从宿主机。即宿主机具有对它们的绝对领导权,一旦宿主机受到了威胁,其他虚拟机都会处于危险之中,因此要及时保护宿主机,宿主机的安全是云计算安全中最为重要的环节。云计算的宿主机有两种部署方式:一是全功能系统的安装,二是虚拟主机专用系统的安装。第一种方式宿主机不仅可以运行虚拟机,还可以运行自己所需要的应用程序。
第二种则具有局限性,只能承载虚拟机,不能运行程序。宿主机上的虚拟机与其他传统服务器的区别就是是否具有天然隔离性,在虚拟环境中必须要部署专用的安全更新和反病毒虚拟设备,这就是虚拟机加固环节。在虚拟的环境中各个虚拟机同时进行更新或者病毒扫描会大幅度消耗宿主机的系统资源,长此以往有些虚拟机不能得到及时的更新导致漏洞的暴露,虚拟机加固和传统服务的区别即在于此。
虚拟机安全监控与审计的两种方式为内部监控和外部监控,内部监控是指在各大虚拟机中被监控的部分需要加载出监控,截住系统和目标虚拟机的状态,并且将信号发送回管理过程中的监控程序,同时做出相应的处理,主要借鉴安全策略,从而对虚拟机安全进行监控和审计。外部监控是指利用相关功能对目标虚拟机的状态进行反馈,同时要将信息发送回安全监控系统,从而对虚拟机安全进行监控和审计。
宿主机上的虚拟机之间要进行网络通信,并且会在物理网络中出现,然而此时传统网络安全监测不发挥作用,需要虚拟网络安全监测和入侵检测监测信息安全。就目前来看,对虚拟网络安全保护方式有两种:虚拟机与虚拟机之间进行网络流量的监测和保护,虚拟网络流量到外部网络交换机中,对于其中部分流量要利用传统流量的监测和保护,主要对宿主机资源进行缩减,方便宿主机上的其他计算。
2.2容器技术环境下信息安全风险分析
目前情况下云计算信息安全技术最大针对对象是传统硬件虚拟化,容器技术与传统硬件虚拟化相比还是会有一些本质上的区别,因此云计算条件下使用容器技术也会暴露出一些新型问题,在信息安全方面也会带来一些前所未有的困难和危险。首先,在容器技术的条件下,容器内部进程就是容器主机的进程,容器内部通过某种方式获得了一定用户权限,则容器的主机也会获得一定超级用户权限,进而将会对容器进行任意的指示,同时也会对相同主机进行任意指示,因此容器获得权力方面会有风险。其次,容器主机中的文件部分内容是容器内部系统上的内容,一旦容器主机遇到风险,漏洞将会出现,容器主机上的敏感信息将会被读取。
再次,容器与内核之间缺少中间层,一旦容器遭到攻击,内核也会遭受攻击,但是现有的云环境安全技术无法保护两者安全,缺乏专门安全技术监测和审计。最后,传统虚拟机之间通信要用网络进行,同一主机上的容器可以通过其他方式通信,但在该种通信情况下信息安全技术无法监测网络安全,排除信息风险。基础镜像在容器之间的使用非常广泛,被认为基本无风险,但是不能完全认为是安全的,不排除篡改的可能,有时容器的基础镜像会被人恶意植入危险代码,同时给人带来安全威胁和信息暴露的危险。就目前的技术无法对容器基础镜像进行检测,基础镜像的安全标准也无法测得,也不能利用相关的技术产品进行保护和监测,而且同一个基础镜像可以被多种容器共同使用,安全与否更无从得知。
3解决策略
3.1容器主机加固
在云环境下的容器主机要适当地避免直接运行程序,同时这些程序要被容器化,为容器主机节省资源,使得容器主机的功能在最大程度上进行缩减,这样有助于容器主机本身漏洞的减少,防止漏洞出现。
3.2减少容器主机权限提取
容器主机极易出现获得超级用户权利的情况,为了避免这种情况出现,需要强制执行限制对容器主机资源访问和超级用户访问,最大限度地减少超级用户权力的赋予情况出现。
3.3加强容器主机隔离
容器主机资源要进行隔离,每个部分都有单独区域,必要时要对容器实施不可访问权限。容器主机的监控进程要扩展,可以发送到相关的监管管理程序。这些程序可以分别安放在已经加固了的容器各个方位,及时阻止信息发送和日志审计。同时对于容器也要进行分割,划分成多个安全组,对于安全需要高的容器要进行数据加密存储,以及对内存部分进行加密和控制非法访问。
3.4容器基础镜像安全管理
容器像源要建立成可靠安全的,对于原始镜像要进行多方位扫描及检测,充分检查是否有恶意篡改的代码,同时对于基础镜像要进行及时的更新,检查镜像中是否有漏洞。及时对基础镜像进行安全管理和检测,对于多余不可用的镜像要进行删除处理。
3.5容器安全防护和监测
在通信功能和网络功能要进行及时扩充,并且要在安全的容器内进行交流,从而能够保护容器安全,达到防护效果,与容器安全监控和审计的效果一致。
4结语
综上所述,高级容器技术和传统的硬件虚拟化技术相比较具有多方面的巨大优势,尤其在容器技术管理和运作方面较为明显,这种技术在云环境下流传广泛。但是在信息安全方面其具有滞后性,云环境下容器技术广为使用的同时也带来了信息安全风险,因此建立云环境下的该种技术要权衡好利弊。技术网络的不断发展将会给容器技术带来机遇,利用容器技术的相关产品也会发展得越来越全面完整,其带来的信息安全危险也是可控的。
参考文献:
[1]董宁.云计算环境下的信息安全防护策略解析[J].电子测试,2016,5(18):131-137.
[2]张云勇,陈清全.云计算安全关键技术分析[J].软件学报,2017,1913(7):96-110.
[3]王静.容器虚拟化技术研究[D].长沙国防科学技术大学,2017,13(2):279-308.
作者:梁琦 单位:胜利石油管理局
推荐阅读:《科技文献信息管理》(季刊)创刊于1986年,由西安石油大学、全国石油高等院校图书馆协会和陕西省高等学校图书情报工作委员会联合主办。
转载请注明来自:http://www.lunwenhr.com/hrlwfw/hrkjlw/8758.html