探討運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池所采用的安全技術(shù)及建設(shè)方案

嚴(yán)金昌

（廣東長高通信服務(wù)有限公司）

探討運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池所采用的安全技術(shù)及建設(shè)方案

嚴(yán)金昌

（廣東長高通信服務(wù)有限公司）

隨著我國社會(huì)經(jīng)濟(jì)的不斷發(fā)展，社會(huì)各行各業(yè)對數(shù)據(jù)的需求量也越來越大，運(yùn)營商業(yè)務(wù)平臺開始采用云計(jì)算技術(shù)，建立云計(jì)算資源池。這在一定程度上提升了資源的完整性、準(zhǔn)確性和及時(shí)性，有利于業(yè)務(wù)平臺的可持續(xù)發(fā)展。本文就針對運(yùn)營業(yè)務(wù)平臺云計(jì)算資源池所采用的安全技術(shù)及建設(shè)方案，進(jìn)行了分析。

運(yùn)營商；業(yè)務(wù)平臺；云計(jì)算資源池；安全技術(shù)；建設(shè)

云計(jì)算資源池的建設(shè)，是一項(xiàng)綜合性、復(fù)雜性、技術(shù)性的工作，在建設(shè)過程中，必須綜合考慮技術(shù)水平、業(yè)務(wù)需求以及建設(shè)成本等各方面的因素。其中，最重要的是現(xiàn)有技術(shù)水平這一因素，尤其是安全技術(shù)，因?yàn)檫\(yùn)用云計(jì)算技術(shù)建立的運(yùn)營商業(yè)務(wù)平臺是一個(gè)開放性的平臺，其面臨著一個(gè)廣闊的市場環(huán)境，這就意味著各種不安全因素的存在。只有采用最科學(xué)實(shí)用的安全技術(shù)，才能實(shí)現(xiàn)運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池的順利建成及高效運(yùn)行。

1 運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池所采用的安全技術(shù)分析

一般來說，云計(jì)算資源池的安全技術(shù)主要涉及當(dāng)前仍具有一定適用性的傳統(tǒng)安全技術(shù)以及與云計(jì)算聯(lián)系緊密的現(xiàn)代化安全技術(shù)，以下是具體分析：

1.1 傳統(tǒng)安全技術(shù)

從實(shí)踐經(jīng)驗(yàn)來看，傳統(tǒng)安全技術(shù)對云計(jì)算資源池的建設(shè)來說，具有一定的適用性，主要原因在于傳統(tǒng)安全防護(hù)與云計(jì)算安全防護(hù)并沒有太大差別，其本質(zhì)基本相同。不同之處，無非在于安全的實(shí)現(xiàn)方式。將傳統(tǒng)安全技術(shù)應(yīng)用于云計(jì)算資源池的安全建設(shè)中，主要可采取以下幾個(gè)方面的措施：

（1）網(wǎng)絡(luò)層面的措施，可采用訪問權(quán)限控制技術(shù)，建立一個(gè)虛擬的防火墻，進(jìn)而對非法用戶的進(jìn)入進(jìn)行有效監(jiān)督和防范。

（2）應(yīng)用層面的措施，可通過用戶認(rèn)證的方法來實(shí)現(xiàn)安全防護(hù)，云計(jì)算資源池的用戶認(rèn)證，主要應(yīng)具備訪問授權(quán)和身份管理兩個(gè)功能。在訪問授權(quán)方面，主要包括對用戶身份的識別、認(rèn)證、審查和監(jiān)測。在身份管理方面，主要包括對用戶身份及生命周期的管理，具體來說主要涉及對用戶訪問權(quán)限的控制、單點(diǎn)登錄管理、自動(dòng)化身份標(biāo)示管理等。

（3）系統(tǒng)層面的措施，整個(gè)云計(jì)算系統(tǒng)可劃分為虛擬系統(tǒng)和物理系統(tǒng)，可采用補(bǔ)丁修復(fù)、病毒查殺以及漏洞修補(bǔ)等安全技術(shù)措施。相比現(xiàn)代化新型安全技術(shù)來說，傳統(tǒng)安全技術(shù)具有成熟度較高、技術(shù)風(fēng)險(xiǎn)較低以及成本低的優(yōu)點(diǎn)。

1.2 現(xiàn)代化新型安全技術(shù)

1.2.1 虛擬化安全技術(shù)

在運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池建設(shè)過程中，比較常用的一種現(xiàn)代化安全技術(shù)就是虛擬化安全技術(shù)，從應(yīng)用領(lǐng)域上來看，該技術(shù)主要可分為存儲虛擬化技術(shù)、服務(wù)器虛擬化技術(shù)以及網(wǎng)絡(luò)虛擬化技術(shù)，以下是具體介紹：

（1）存儲虛擬化技術(shù)，顧名思義，該技術(shù)主要用于系統(tǒng)數(shù)據(jù)存儲的安全防護(hù)上，要確保各類存儲數(shù)據(jù)的安全，首先必須遵循相應(yīng)的數(shù)據(jù)安全標(biāo)準(zhǔn)構(gòu)建備份和容災(zāi)機(jī)制。同時(shí)，所有的數(shù)據(jù)必須根據(jù)門類進(jìn)行安全隔離。在此基礎(chǔ)上，運(yùn)用存儲虛擬化技術(shù)對數(shù)據(jù)信息傳輸?shù)恼麄€(gè)過程進(jìn)行加密，就能最大限度實(shí)現(xiàn)數(shù)據(jù)存儲和訪問的安全，杜絕用戶隱私信息的泄露。存儲虛擬化技術(shù)的實(shí)施，需要一定的安全產(chǎn)品作為支撐，可選用IBM的Proventia虛擬化網(wǎng)絡(luò)安全防火墻、VMware Vshield App等產(chǎn)品。

（2）服務(wù)器虛擬化技術(shù)，該技術(shù)主要用于對虛擬機(jī)的安全防護(hù)，降低虛擬機(jī)可能遭遇的病毒、漏洞等風(fēng)險(xiǎn)。①應(yīng)對虛擬機(jī)進(jìn)行安全隔離，以免遭到攻擊的虛擬機(jī)影響到其它的虛擬機(jī)。②應(yīng)當(dāng)定期對虛擬機(jī)進(jìn)行殺毒，修補(bǔ)安全漏洞。此外，還應(yīng)當(dāng)制定虛擬機(jī)的訪問規(guī)則，避免不合法用戶的訪問，并及時(shí)撤銷虛擬機(jī)中的各種非必要服務(wù)，進(jìn)而降低被攻擊的幾率。

（3）網(wǎng)絡(luò)虛擬化技術(shù)，該技術(shù)適用于對網(wǎng)絡(luò)協(xié)議、IP地址以及端口的安全防護(hù)，主要通過建立虛擬網(wǎng)絡(luò)防火墻的方式，在虛擬交換機(jī)上設(shè)置接入控制標(biāo)準(zhǔn)，避免不合法的虛擬機(jī)或物理機(jī)接入到網(wǎng)絡(luò)系統(tǒng)中。同時(shí)，每個(gè)虛擬網(wǎng)的端口都安裝了相關(guān)的檢測組件，防止非法入侵的出現(xiàn)，為了達(dá)到更佳的安全防護(hù)效果，還可根據(jù)類型和業(yè)務(wù)的不同，分別對虛擬網(wǎng)進(jìn)行VLAN劃分和安全隔離。

1.2.2 IAM技術(shù)

IAM技術(shù)是一種應(yīng)用范圍較廣的現(xiàn)代化云計(jì)算安全技術(shù)，其主要功能為策略性的集中式授權(quán)、認(rèn)證管理等。運(yùn)用該技術(shù)對云計(jì)算資源池進(jìn)行安全防護(hù)，要求用戶在登錄系統(tǒng)的時(shí)候，首先需要通過身份認(rèn)證，也就是核實(shí)用戶的真實(shí)身份；然后再進(jìn)行授權(quán)，只有通過授權(quán)的用戶才能自由訪問系統(tǒng)中的數(shù)據(jù)資源。

事實(shí)證明，采用IAM技術(shù)能為云計(jì)算資源池用戶身份的唯一性提供有效保障?，F(xiàn)實(shí)中，比較典型的IAM技術(shù)在云計(jì)算安全中的應(yīng)用主要有CA Technologies公司旗下的身份識別智能系統(tǒng)、IBM公司旗下的訪問保障服務(wù)等。

2 運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池的建設(shè)原則

2.1 容災(zāi)備份與云安全原則

在進(jìn)行云計(jì)算資源池建設(shè)的過程中，必須遵循容災(zāi)備份與云安全的原則。在容災(zāi)備份方面，可在資源池建設(shè)的初級階段，通過共享存儲和虛擬機(jī)的在線熱遷移相結(jié)合，實(shí)現(xiàn)資源池可用性功能的提升；若要實(shí)現(xiàn)更高等級的數(shù)據(jù)信息備份和容災(zāi)，則可采取數(shù)據(jù)鏡像技術(shù)、持續(xù)數(shù)據(jù)保護(hù)技術(shù)、數(shù)據(jù)快照技術(shù)等。在云安全方面，應(yīng)將傳統(tǒng)安全技術(shù)和現(xiàn)代化新型安全技術(shù)相結(jié)合，憑借虛擬化技術(shù)、身份認(rèn)證和管理技術(shù)等，確保整個(gè)系統(tǒng)的安全。

2.2 動(dòng)態(tài)性原則

業(yè)務(wù)平臺云的規(guī)模，必須符合未來業(yè)務(wù)資源的發(fā)展需求。因此，在建設(shè)云計(jì)算資源池的時(shí)候，應(yīng)遵循動(dòng)態(tài)性的原則，確保其具備一定的可擴(kuò)充性，以便隨著業(yè)務(wù)需求的不斷增加而擴(kuò)大資源池的綜合容量。

3 運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池的建設(shè)方案

3.1 業(yè)務(wù)網(wǎng)LaaS資源池建設(shè)的技術(shù)框架

要實(shí)現(xiàn)運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池的科學(xué)有效建設(shè)，首先必須建立一個(gè)合理的技術(shù)框架，該技術(shù)框架可分為初期實(shí)施和后期初步實(shí)施模塊，由虛擬映像管理、虛擬化技術(shù)、云管理平臺、安全和容災(zāi)備份五個(gè)部分組成。虛擬映像管理層面主要包括設(shè)計(jì)創(chuàng)建、虛擬機(jī)快照、虛擬機(jī)部署和虛擬機(jī)復(fù)制；虛擬化技術(shù)層面主要涉及虛擬服務(wù)器、虛擬存儲、虛擬網(wǎng)絡(luò)等；云管理平臺由支撐管理、自服務(wù)層管理、業(yè)務(wù)層管理、虛擬層管理和設(shè)備層管理組成；安全層面主要涉及網(wǎng)絡(luò)安全、運(yùn)營和管理安全、主機(jī)和虛擬安全以及業(yè)務(wù)和數(shù)據(jù)安全；容災(zāi)備份層面則包含異地容災(zāi)系統(tǒng)和數(shù)據(jù)備份系統(tǒng)。

3.2 資源池硬件設(shè)備的計(jì)算和選型

資源池的硬件設(shè)備主要可分為計(jì)算資源池、存儲資源池、網(wǎng)絡(luò)資源池三大模塊。其中，計(jì)算資源池主要考慮物理服務(wù)器的配置，需要嚴(yán)格測算CPU與內(nèi)存的配比、GE端口的數(shù)量等；存儲資源池主要考慮虛擬機(jī)的容量、資源池的冗余系數(shù)、軟件管理數(shù)據(jù)區(qū)的容量、磁陣RAID系數(shù)等；網(wǎng)絡(luò)資源池應(yīng)主要考慮核心交換機(jī)和防火墻的設(shè)置，涉及到服務(wù)器數(shù)量、網(wǎng)絡(luò)端口數(shù)量、設(shè)備空間及交換容量等的計(jì)算。所有的計(jì)算必須有專業(yè)人員操作，并根據(jù)測算結(jié)果確定硬件設(shè)備的型號。

3.3 虛擬化技術(shù)的采用及虛擬軟件的選型

資源虛擬化技術(shù)可分為多種類型，不同類型、不同級別的虛擬化技術(shù)，實(shí)施的難度也各不相同。因此，在建設(shè)云計(jì)算資源池時(shí)，應(yīng)根據(jù)每種虛擬化技術(shù)的實(shí)施難度，確定其應(yīng)用順序。一般來說，利用虛擬化技術(shù)對各種資源的整合，應(yīng)遵循從PC服務(wù)器到存儲系統(tǒng)，再到小型機(jī)和網(wǎng)絡(luò)的順序，虛擬化軟件可采用目前比較成熟的Galax、Xens erver等產(chǎn)品。

4 結(jié)語

總之，當(dāng)今社會(huì)，隨著網(wǎng)絡(luò)信息技術(shù)的普及，人們的日常生活基本已經(jīng)離不開網(wǎng)絡(luò)。這雖然在一定程度上給人們的生活帶來了便利，但是也讓人們面臨各種數(shù)據(jù)安全風(fēng)險(xiǎn)，越來越多的用戶開始提升對數(shù)據(jù)信息安全的重視度。對于運(yùn)營商業(yè)務(wù)平臺云計(jì)算資源池的建設(shè)來說，安全防護(hù)也是必不可少的。這就需要運(yùn)用各種現(xiàn)代化的安全技術(shù)，并制定科學(xué)可行的建設(shè)方案，才能實(shí)現(xiàn)最佳的建設(shè)效果。

[1]張婧，陳磊，等.基于云計(jì)算技術(shù)的業(yè)務(wù)平臺整合方案研究.郵電設(shè)計(jì)技術(shù)，2011（10）.

[2]張?jiān)品?云計(jì)算LaaS資源池規(guī)劃設(shè)計(jì)與建設(shè)方法研究.電信快報(bào)：網(wǎng)絡(luò)與通信，2012（12）：26～28.

TP393.0

A

1004-7344（2016）26-0282-02

2016-9-4