[发明专利]隔离云的方法及系统

说明书

本发明提出了一种隔离云的方法及系统，包括：隔离云接收用户终端通过互联网发送的请求；隔离云对接收到的请求进行分析，查询该请求对应的文件和数据是否存储在隔离云上，如果存在直接调用对应的文件和数据并把结果发送至互联网上的用户终端；否则通过连接内网的第二网段IP地址将请求转发至云计算平台上；云计算平台对该请求进行分析并定位出存储对应文件和数据的云上的虚拟主机，或者提取或计算处理相应数据发送至隔离云；隔离云接收到来自云设备回送的数据，再发送至互联网用户。本发明在传统云架构与互联网之间，设立隔离云，云计算平台不再直接接受来自互联网的访问，也不再承受来自互联网的云攻击。

技术领域

本发明涉及互联网和云计算安全技术领域，特别涉及一种隔离云的方法及系统。

背景技术

目前，云服务已经成为互联网领域中的常用服务，其超大规模、虚拟化、高可靠性、通用性、高可扩展性、按需服务、廉价等优点都为互联网用户带来极大的便利。但另一方面，随着云计算的不断普及，安全问题已成为制约其发展的重要因素。

Gartner2009年的调查结果显示，70％以上受访企业的CTO认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑。

而近来,Amazon,Google等云计算发起者不断爆出各种安全事故更加剧了人们的担忧。

例如，2009年3月,Google发生大批用户文件外泄事件。

2011年4月20-5月3日之间，Sony的4个云网站被攻穿，丢失了上亿的数据。面临243亿美元罚款的官司。

2015年6月4日，在云上的“首都之窗”网站发生了政治性篡改。这是安全等保3级的网站。

2017年11月30日讯亚马逊公共储存Amazon Web Services(简称AWS)

服务器泄露了美国陆军情报与安全司令部(INSCOM)至少100GB的“军事机密”文件。

更多的安全专家们的观点是：集中管理的云计算中心将成为黑客攻击的重点目标。由于系统的巨大规模以及前所未有的开放性与复杂性，其安全性面临着比以往更为严峻的考验。其安全风险不是减少而是增大了。

由于云计算采用虚拟化技术，使得用户业务系统不再明确地运行在物理的服务器上，而是在动态的虚拟机。这就使得多个数据源之间没有物理界限，一旦被侵入将难以设置隔离区。由此带来的结果是，原先一台服务器感染病毒，最多影响其所在公司设备，而云计算服务器一旦感染病毒，将影响大量企业甚至公共系统。

据360的报告，云的虚拟化漏洞爆发，从每年50个增加到每年103个，甚至更多。例如，2015年5月，CrowdStrike公司安全研究员称，一个名为“毒液(VENOM)”的漏洞使数以百万计的虚拟机处于网络攻击风险之中。该漏洞可以造成虚机逃逸，威胁到全球各大云服务提供商的数据安全。受影响的平台包括Xen、KVM、Oracle VM、Virtual Box和QEMU客户端。利用这个毒液漏洞，黑客可以透过云上虚拟主机里的Web服务器，利用毒液漏洞逃逸出该虚机，进入到虚拟层，进而攻击云上其他的虚拟主机，还可以攻击宿主机、网络。

通常，当黑客通过“直接入侵”或者“购买云主机”的方式，进入虚拟机之后，至少有这三种主要的攻击技术：

(1)利用虚拟化系统的漏洞，尝试控制虚拟化系统的执行流程，进行逃逸攻击，在宿主机中执行任意代码；

(2)利用漏洞造成宿主机的崩溃，导致该宿主机上的所有虚拟机停止服务；

(3)通过虚拟机中的通信机制以及网络划分规则，对同一宿主机上的其他虚拟机进行信道攻击和恶意扫描。

“层出不穷的云安全事件已经为我们敲响了虚拟化安全的警钟。”