跳到主要內容區塊

ntuccepaper2019

專題報導

雲端時代的資源配置與資安的挑戰
  • 卷期:v0023
  • 出版日期:2012-12-20

作者:陳柏鍠 / 計算機及資訊網路中心作業管理組幹事


這幾年來,「雲端」的口號喊的震天作響,幾乎每個人都聽過幾個雲端相關的名詞,只要有個「雲」字,馬上變身先進科技,像是公有雲、私有雲、個人雲,虛擬化……
其實雲端大致上,其實就是實現一種「資源的有效利用」之精神,當把能使用的資源集中,丟到雲上,對使用者而言,可以隨取隨用,共有共享,對管理者而言,可以集中管理,彈性調配,資源就能發揮最大效益,這才是雲端的精神。

 

這幾年來,「雲端」的口號喊得震天作響,幾乎每個人都聽過幾個雲端相關的名詞,只要有個「雲」字,馬上變身先進科技,像是公有雲、私有雲、個人雲,虛擬化……
其實,雲端主要的精神是實現一種「資源的有效利用」,當把能使用的資源集中,丟到「雲」上,對使用者而言,可以隨取隨用,共有共享,對管理者而言,可以集中管理,彈性調配,資源就能發揮最大效益,這才是雲端的精神。


當然,在實務上要把資源集中丟到雲上並不是容易的事情,如何保護的難度又更高了。以「資源集中」來說,如果是硬體的資源,比如說是CPU、記憶體或是網路卡,我們可以透過虛擬化的方式,將實體的伺服器轉為虛擬機器,這樣就增加了硬體的彈性,要隨時增加或減少機器數量,增加CPU或增加記憶體,這類快速的配置都非常方便,但「管理」方面呢?

前面說過,在雲端的時代,除了一堆實體的伺服器、網路、儲存裝置,還多了一堆虛擬的機器還有網路設備。每一台都有獨特的設定值,加上一堆四散的AP及資訊系統,更可怕的是越來越大量的資料。以臺大的電子郵件來說,就是上百TB的等級,一旦成長到這種等級,不論要搬要備份都是一項大工程,所以一開始在規劃未來將長在雲上的資訊系統時,就要花時間設計出一個簡潔又具彈性的架構,最好是可以用一套監控系統集中管控,可以隨時看出這個Resource是位在哪個系統,在那個網域,是實體或虛擬,否則系統就會像雜物,四散又難整理。

有了虛擬化,有了管理,當然少不了保護,保護通常的要點就是資訊安全。筆者覺得資訊安全有幾個層次:首先是到不了,就是阻擋惡意攻擊的連結;再來是看不到,就是讓駭客即使進來,也沒有讀取的權限;最後是拿不走,即使他們拿到檔案,也無法打開看到裡面的內容,所以在下面列舉了幾個常用的方法:
(1) 高可用性架構
以Web形式的資訊系統是現在最常見的形式,通常會以流量平衡 (Load Balance)的方式,將一樣的服務,平均分散在好幾台虛擬機器,這樣可以避免某一台機器被駭客打到掛點時,造成服務的停擺。

(2) 安裝防毒軟體,網站原始碼的漏洞及弱點定期掃描並修補
資訊系統是人寫的,一定會有某種程度的漏洞,駭客的程度日漸提升,攻擊手段日新月異,必須在伺服器上架設防毒軟體並定期更新病毒碼,在網站方面要做到定期的弱點掃描及修補漏洞,這都是非常必要的,這樣可以減少網站被攻擊,資料遭到竊取的風險。

(3) 網站資料夾的權限設定
系統管理員應該對於每個資料夾做嚴謹的權限規範,每個資料夾都要針對裡面放置的檔案類型作不同權限的設定。比如說,針對有「上傳」功能的系統,將其放置檔案的資料夾,設定「不可執行」的限制,就可以減少一些木馬或病毒的擴散;另外還要嚴格限制「寫入」的權限,避免惡意人士在系統放置大量垃圾檔案。

(4) 網站資料的定期備份
定期備份當然是不可少的,但定期的演練備份還原更是必要,等到網站異常時,可以馬上在另外一台機器,快速而穩定的回復服務,是管理者最重要的課題之一。

(5) 防火牆設定
在網站的設定部分,對於惡意將系統搞掛的行為,比如說DDos(分散式阻斷服務攻擊)的攻擊,在防火牆的設定也有一些防禦的手段,我們可以針對存取這個網站的IP做一個設定,一旦偵測到有異常存取的行為(比如說每秒存取超過五次以上),就將這個IP加入禁止存取清單,直接把它擋在門外。

(6) SSL設定
針對網站部分,務必要以SSL (Secure Socket Layer安全套接層協議)的方式連結,可避免中間傳輸的資料被竊走。

(7) 針對特定Port作ACL設定
伺服器的服務透過通訊埠(Port)提供給外界存取,常見的如FTP(21),HTTP(80)與SSL(443)等。我們可以透過設定存取控制清單(Access Control List, ACL)的方式,例如IP為140.112開頭的才能使用,限制只有校內的電腦才能存取MyNTU的HTTP(80)服務。還有設定只有特定幾個IP可以連結FTP(21),這樣就可以把被攻擊的機率又降低一些。

 

(8) 以VLAN對網站伺服器作隔離
我們可以將每個服務所在的虛擬機器或實體伺服器,指定一個單獨的VLAN(虛擬區域網路),這樣即使駭客取得了這台機器的控制權,他依舊無法透過區域網路存取到別的機器,可以避免造成更大的傷害。

在雲端的世界中,達到資訊安全其實並沒有最好的方案,但永遠有更好的方案。無論是程式開發或是系統分析,抑或是系統管理員,都要隨時吸收新的知識,建立正確的觀念,有著永遠與惡勢力對抗到底的決心。從規劃、建置與維護,都要隨時有保護資訊安全的理念,才可以做出一個穩定又具效能的雲端服務。