高校私有云平臺(tái)架構(gòu)的設(shè)計(jì)與安全分析

張媛　黃磊　馬健樂

摘要：根據(jù)目前高校私有云安全的情況，通過高校已經(jīng)建設(shè)云平臺(tái)的經(jīng)驗(yàn)，提出一種新型的、應(yīng)用性能良好的云安全框架。本文重點(diǎn)研究服務(wù)器集群內(nèi)部的安全防護(hù)，旨在通過研究提高整個(gè)平臺(tái)的安全性能。

關(guān)鍵詞：私有云；安全架構(gòu)；安全分析

中圖分類號：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1007-9416（2018）09-0184-02

隨著云計(jì)算技術(shù)的廣泛應(yīng)用，高校開始將信息管理系統(tǒng)向云平臺(tái)進(jìn)行遷移，以減輕運(yùn)維的負(fù)擔(dān)。如何選擇合適的云平臺(tái)和隨之而來的安全問題接踵而至。

1 云環(huán)境中的安全問題

伴隨著云計(jì)算技術(shù)高速的發(fā)展，針對云的網(wǎng)絡(luò)攻擊也是越來越多。傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，通常利用交換機(jī)的端口鏡像功能監(jiān)控平臺(tái)外部和內(nèi)部、內(nèi)部和內(nèi)部服務(wù)器之間的數(shù)據(jù)流量，判斷攻擊行為[1]；但在云計(jì)算架構(gòu)的虛擬化環(huán)境中，位于同一臺(tái)物理服務(wù)器上的不同虛擬機(jī)之間的通訊不存在實(shí)體交換機(jī)，無法使用傳統(tǒng)的入侵檢測設(shè)備，如圖1所示，高校私有云架構(gòu)圖2所示。

根據(jù)云安全聯(lián)盟（CSA）的報(bào)告，73%的用戶在選擇云計(jì)算服務(wù)時(shí)都對云計(jì)算的安全十分擔(dān)心。所以高校私有云在建造時(shí)必須思考如何減少高校私有云平臺(tái)受到的外界攻擊，保證損失最小化和快速的修復(fù)云平臺(tái)[2]。

2 高校云平臺(tái)的選擇

高?，F(xiàn)有的數(shù)據(jù)中心很少形成統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，達(dá)到真正意義上的數(shù)據(jù)共享。與公有云相比較，高校建設(shè)私有云更適合[3]。通過建設(shè)私有云平臺(tái)實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，進(jìn)而實(shí)現(xiàn)完全意義的數(shù)據(jù)共享。私有云底層建設(shè)與業(yè)務(wù)件事是分離的，提供的服務(wù)類型由用戶決定，數(shù)據(jù)中心的安全性和可控性是私有云最大的優(yōu)勢，同時(shí)節(jié)約和降低使用、存儲(chǔ)、維護(hù)成本，便于遠(yuǎn)程教育及移動(dòng)互聯(lián)網(wǎng)接入，提高基礎(chǔ)教育教學(xué)服務(wù)能力。

3 高校私有云的功能和架構(gòu)

高校私有云建設(shè)必須對現(xiàn)有系統(tǒng)進(jìn)行集成和業(yè)務(wù)整合，將整合后的應(yīng)用系統(tǒng)統(tǒng)一部署運(yùn)維，隨時(shí)擴(kuò)展各種應(yīng)用與服務(wù)逐步，為全校師生提供交流協(xié)作的平臺(tái)[4]。

3.1 高校私有云建設(shè)主要功能

（1）各類業(yè)務(wù)通過私有云平臺(tái)共享基礎(chǔ)設(shè)施。（2）管理員統(tǒng)一申請、釋放資源。（3）私有云對數(shù)據(jù)中心內(nèi)所有數(shù)據(jù)提供安全防護(hù)、備份/恢復(fù)、監(jiān)控；管理員隨時(shí)監(jiān)控資源消耗并做出相應(yīng)的調(diào)整。（4）可提供安全可靠的數(shù)據(jù)存儲(chǔ)，便于舊應(yīng)用的遷移和新應(yīng)用的擴(kuò)展、融合。（5）可以快速實(shí)現(xiàn)不同實(shí)驗(yàn)環(huán)境的部署，通過鏡像維護(hù)，降低成本、運(yùn)維成本。（6）必須采用控制策略有效的對虛擬機(jī)進(jìn)行控制，保證數(shù)據(jù)中心的安全。

3.2 高校私有云的邏輯架構(gòu)

高校私有云架構(gòu)可以分成云服務(wù)層和云管理層，如圖2所示。平臺(tái)服務(wù)以頁面方式提供給師生使用。云管理層對云計(jì)算中心進(jìn)行實(shí)時(shí)監(jiān)控管理，保證其安全穩(wěn)定的運(yùn)行。云管理層的運(yùn)維管理實(shí)現(xiàn)虛擬機(jī)的自動(dòng)管理及虛擬機(jī)遷移、服務(wù)器負(fù)載均衡，降低運(yùn)維成本；通過資源管理動(dòng)態(tài)管理系統(tǒng)資源。安全管理保證不受外界的攻擊及內(nèi)部訪問數(shù)據(jù)的合法性；容災(zāi)管理進(jìn)行數(shù)據(jù)的冗余備份和異地備份。檢測層實(shí)時(shí)監(jiān)測，為云管理提供真實(shí)有效的數(shù)據(jù)。

3.3 網(wǎng)絡(luò)總體架構(gòu)

高校私有云的網(wǎng)絡(luò)總體框架采用分層思想進(jìn)行架構(gòu)設(shè)計(jì)如圖3所示，Internet邊界區(qū)如圖4所示。數(shù)據(jù)中心通過Internet邊界區(qū)與Internet連接，并對Internet數(shù)據(jù)進(jìn)行攻擊檢測，VPN接入等策略。邊界區(qū)與核心區(qū)通過防火墻連接，邊界區(qū)路由不執(zhí)行內(nèi)部路由協(xié)議。

應(yīng)用服務(wù)區(qū)位于防火墻后，為保證Internet網(wǎng)絡(luò)可以訪問內(nèi)部服務(wù)器，設(shè)置為DMZ（隔離區(qū)）區(qū)域，作為一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。應(yīng)用服務(wù)區(qū)的邏輯拓?fù)浣Y(jié)構(gòu)如圖5所示。

4 高校私有云的安全性分析

4.1 私有云的安全問題

用戶的虛擬機(jī)如果和服務(wù)器的虛擬機(jī)處于同一臺(tái)物理服務(wù)器中，系統(tǒng)只是通過檢測物理網(wǎng)絡(luò)中的流量變化無法檢測出虛擬機(jī)是否受到攻擊，整個(gè)系統(tǒng)的防護(hù)措施無法起作用。

4.2 私有云安全框架的功能

私有云的終端構(gòu)成為兩種類型：（1）典型的云安全設(shè)備，主要用來數(shù)據(jù)采集。（2）云安全軟件，通過多層次的安全策略和API監(jiān)控技術(shù)相結(jié)合，實(shí)現(xiàn)對云的安全防御和威脅處理。

私有云安全框架必須具有以下功能：（1）除黑名單的防護(hù)邏輯，需要更加精確的安全邏輯，如域名授權(quán)、登錄賬戶、API接口等。（2）系統(tǒng)監(jiān)控軟件必須對網(wǎng)內(nèi)數(shù)據(jù)隨時(shí)跟蹤和發(fā)現(xiàn)，做到實(shí)時(shí)監(jiān)控。（3）判斷文件的安全性需要多維度分析，動(dòng)靜結(jié)合提高準(zhǔn)確率。（4）通過云數(shù)據(jù)采集，實(shí)現(xiàn)實(shí)時(shí)系統(tǒng)風(fēng)險(xiǎn)評估。（5）通過預(yù)測，為用戶提供安全防御與危險(xiǎn)處置策略，提高安全降低運(yùn)維成本。

4.3 高校私有云安全平臺(tái)建立的必要性

高校私有云平臺(tái)的建立是傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)中心模式的突破，分散式分布變?yōu)榧泄芾?，降低了校園整體運(yùn)維的成本，提高了校園安全等級。便于高校實(shí)現(xiàn)信息業(yè)務(wù)整合、統(tǒng)一身份認(rèn)證、實(shí)時(shí)威脅監(jiān)控和全流程評估，保證了高校信息系統(tǒng)的穩(wěn)定運(yùn)行。

5 結(jié)語

高校私有云建設(shè)需要總體規(guī)劃，充分考慮高校數(shù)據(jù)中心的特點(diǎn)，考慮各類安全問題，做到統(tǒng)籌兼顧。高校私有云的建設(shè)需要長期的建設(shè)和完善，通過分步實(shí)施，實(shí)現(xiàn)“智慧校園”這一目標(biāo)。

參考文獻(xiàn)

[1]He Tianlan. Construction of College Private Cloud and Safety Analysis [D].Xiamen： Hua Qiao University，2015.

[2]李鐵.云計(jì)算環(huán)境下企業(yè)私有云平臺(tái)安全架構(gòu)的機(jī)理和實(shí)現(xiàn)[J].電子技術(shù)與軟件工程，2017，（2）：232-233.

[3]He Tianlan. Construction of College Private Cloud and Safety Analysis [D].Xiamen： Hua Qiao University，2015.

[4]黃猛，羅樺，李洪兵.基于 Hadoop 的高校檔案館私有云存儲(chǔ)平臺(tái)的構(gòu)建[J].辦公自動(dòng)化，2015，（1）：54-56+29.