本發(fā)明提出了一種隔離云的方法及系統(tǒng)，包括：隔離云接收用戶終端通過(guò)互聯(lián)網(wǎng)發(fā)送的請(qǐng)求；隔離云對(duì)接收到的請(qǐng)求進(jìn)行分析，查詢?cè)撜?qǐng)求對(duì)應(yīng)的文件和數(shù)據(jù)是否存儲(chǔ)在隔離云上，如果存在直接調(diào)用對(duì)應(yīng)的文件和數(shù)據(jù)并把結(jié)果發(fā)送至互聯(lián)網(wǎng)上的用戶終端；否則通過(guò)連接內(nèi)網(wǎng)的第二網(wǎng)段IP地址將請(qǐng)求轉(zhuǎn)發(fā)至云計(jì)算平臺(tái)上；云計(jì)算平臺(tái)對(duì)該請(qǐng)求進(jìn)行分析并定位出存儲(chǔ)對(duì)應(yīng)文件和數(shù)據(jù)的云上的虛擬主機(jī)，或者提取或計(jì)算處理相應(yīng)數(shù)據(jù)發(fā)送至隔離云；隔離云接收到來(lái)自云設(shè)備回送的數(shù)據(jù)，再發(fā)送至互聯(lián)網(wǎng)用戶。本發(fā)明在傳統(tǒng)云架構(gòu)與互聯(lián)網(wǎng)之間，設(shè)立隔離云，云計(jì)算平臺(tái)不再直接接受來(lái)自互聯(lián)網(wǎng)的訪問(wèn)，也不再承受來(lái)自互聯(lián)網(wǎng)的云攻擊。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)和云計(jì)算安全技術(shù)領(lǐng)域，特別涉及一種隔離云的方法及系統(tǒng)。

背景技術(shù)

目前，云服務(wù)已經(jīng)成為互聯(lián)網(wǎng)領(lǐng)域中的常用服務(wù)，其超大規(guī)模、虛擬化、高可靠性、通用性、高可擴(kuò)展性、按需服務(wù)、廉價(jià)等優(yōu)點(diǎn)都為互聯(lián)網(wǎng)用戶帶來(lái)極大的便利。但另一方面，隨著云計(jì)算的不斷普及，安全問(wèn)題已成為制約其發(fā)展的重要因素。

Gartner2009年的調(diào)查結(jié)果顯示，70％以上受訪企業(yè)的CTO認(rèn)為近期不采用云計(jì)算的首要原因在于存在數(shù)據(jù)安全性與隱私性的憂慮。

而近來(lái),Amazon,Google等云計(jì)算發(fā)起者不斷爆出各種安全事故更加劇了人們的擔(dān)憂。

例如，2009年3月,Google發(fā)生大批用戶文件外泄事件。

2011年4月20-5月3日之間，Sony的4個(gè)云網(wǎng)站被攻穿，丟失了上億的數(shù)據(jù)。面臨243億美元罰款的官司。

2015年6月4日，在云上的“首都之窗”網(wǎng)站發(fā)生了政治性篡改。這是安全等保3級(jí)的網(wǎng)站。

2017年11月30日訊亞馬遜公共儲(chǔ)存Amazon Web Services(簡(jiǎn)稱AWS)

服務(wù)器泄露了美國(guó)陸軍情報(bào)與安全司令部(INSCOM)至少100GB的“軍事機(jī)密”文件。

更多的安全專(zhuān)家們的觀點(diǎn)是：集中管理的云計(jì)算中心將成為黑客攻擊的重點(diǎn)目標(biāo)。由于系統(tǒng)的巨大規(guī)模以及前所未有的開(kāi)放性與復(fù)雜性，其安全性面臨著比以往更為嚴(yán)峻的考驗(yàn)。其安全風(fēng)險(xiǎn)不是減少而是增大了。

由于云計(jì)算采用虛擬化技術(shù)，使得用戶業(yè)務(wù)系統(tǒng)不再明確地運(yùn)行在物理的服務(wù)器上，而是在動(dòng)態(tài)的虛擬機(jī)。這就使得多個(gè)數(shù)據(jù)源之間沒(méi)有物理界限，一旦被侵入將難以設(shè)置隔離區(qū)。由此帶來(lái)的結(jié)果是，原先一臺(tái)服務(wù)器感染病毒，最多影響其所在公司設(shè)備，而云計(jì)算服務(wù)器一旦感染病毒，將影響大量企業(yè)甚至公共系統(tǒng)。

據(jù)360的報(bào)告，云的虛擬化漏洞爆發(fā)，從每年50個(gè)增加到每年103個(gè)，甚至更多。例如，2015年5月，CrowdStrike公司安全研究員稱，一個(gè)名為“毒液(VENOM)”的漏洞使數(shù)以百萬(wàn)計(jì)的虛擬機(jī)處于網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)之中。該漏洞可以造成虛機(jī)逃逸，威脅到全球各大云服務(wù)提供商的數(shù)據(jù)安全。受影響的平臺(tái)包括Xen、KVM、Oracle VM、Virtual Box和QEMU客戶端。利用這個(gè)毒液漏洞，黑客可以透過(guò)云上虛擬主機(jī)里的Web服務(wù)器，利用毒液漏洞逃逸出該虛機(jī)，進(jìn)入到虛擬層，進(jìn)而攻擊云上其他的虛擬主機(jī)，還可以攻擊宿主機(jī)、網(wǎng)絡(luò)。

通常，當(dāng)黑客通過(guò)“直接入侵”或者“購(gòu)買(mǎi)云主機(jī)”的方式，進(jìn)入虛擬機(jī)之后，至少有這三種主要的攻擊技術(shù)：

(1)利用虛擬化系統(tǒng)的漏洞，嘗試控制虛擬化系統(tǒng)的執(zhí)行流程，進(jìn)行逃逸攻擊，在宿主機(jī)中執(zhí)行任意代碼；

(2)利用漏洞造成宿主機(jī)的崩潰，導(dǎo)致該宿主機(jī)上的所有虛擬機(jī)停止服務(wù)；

(3)通過(guò)虛擬機(jī)中的通信機(jī)制以及網(wǎng)絡(luò)劃分規(guī)則，對(duì)同一宿主機(jī)上的其他虛擬機(jī)進(jìn)行信道攻擊和惡意掃描。

“層出不窮的云安全事件已經(jīng)為我們敲響了虛擬化安全的警鐘。”