湯劍 胡洪新

摘要：描述基礎(chǔ)平臺可能存在的安全問題，通過計算資源池分隔、應(yīng)用分類、主機多層次防護(hù)、計算資源預(yù)測來實改善安全現(xiàn)狀。

關(guān)鍵詞：虛擬化;數(shù)據(jù)中心;網(wǎng)絡(luò);安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）29-0023-02

信息化建設(shè)與網(wǎng)絡(luò)安全是現(xiàn)在政府及企事業(yè)單位都非常重視的一項工作，信息化是提高業(yè)務(wù)運作效率與便捷性的重要手段，推進(jìn)信息化建設(shè)的基礎(chǔ)條件是裝備信息化基礎(chǔ)設(shè)備及網(wǎng)絡(luò)安全，網(wǎng)絡(luò)架構(gòu)與計算資源都是必要的組成部分，如何裝備計算資源與有效保障網(wǎng)絡(luò)安全是信息化過程中的一項必要工作。

1問題現(xiàn)狀

隨著教育信息化2.0的發(fā)布，高校信息化作為重要參與者近年來在網(wǎng)絡(luò)安全與信息化方面在不斷建設(shè)。經(jīng)常碰到的一個問題怎么兼顧計算資源有效分配與保障網(wǎng)絡(luò)安全，突出的問題有這些：

1.1網(wǎng)絡(luò)架構(gòu)、計算及主機資源缺少統(tǒng)一網(wǎng)絡(luò)安全防護(hù)規(guī)劃

數(shù)據(jù)中心基礎(chǔ)平臺的網(wǎng)絡(luò)架構(gòu)、計算資源、應(yīng)用服務(wù)等一般都不是一步到位建設(shè)完成，從最初的只有一套數(shù)據(jù)中心主網(wǎng)絡(luò)設(shè)備和一套計算資源，逐到發(fā)展到考慮業(yè)務(wù)可持續(xù)性，增加冗余的數(shù)據(jù)中心第二套主網(wǎng)絡(luò)設(shè)備，實現(xiàn)網(wǎng)絡(luò)層的雙活可用，避免出現(xiàn)網(wǎng)絡(luò)單點故障，數(shù)據(jù)中心網(wǎng)絡(luò)在邏輯架構(gòu)劃分上早期一般僅考慮了業(yè)務(wù)可運行，因為當(dāng)時的應(yīng)用業(yè)務(wù)量相對較少，這樣的劃分方式不會現(xiàn)出明顯問題，隨著建設(shè)的應(yīng)用業(yè)務(wù)域越來越多，逐步暴露出了較多問題，一些不同服務(wù)級別的應(yīng)用在同一個網(wǎng)段下，一些非關(guān)鍵業(yè)務(wù)的應(yīng)用故障或安全事件直接會影響到整個網(wǎng)段內(nèi)所有業(yè)務(wù)的運行。

計算資源是隨著業(yè)務(wù)應(yīng)用的需求的增加而同步進(jìn)行擴建，在擴展建設(shè)時要保證原來應(yīng)用業(yè)務(wù)的可持續(xù)性，較多的條件限制了計算資源的有效調(diào)整分配，較明顯的一個現(xiàn)象是存儲資源分配的不均衡，一般初始化時計算資源的量為基準(zhǔn)進(jìn)行存儲資源的劃分與配置，從早期以SAN存儲服務(wù)為主發(fā)展到現(xiàn)在的SAN、NAS服務(wù)方式并行，這種方式下存儲的劃分需要與計算資源、應(yīng)用主機需求的相結(jié)合，并隨著應(yīng)用的增加逐步劃分NAS卷，這種需求情況下前期一步到位劃分的存儲資源顯得有些被動。計算資源早期建設(shè)規(guī)模較小，一般都劃入一個大的計算池，后期再被充的計算資源也直接劃入同一池，在這種情況下可能出現(xiàn)非關(guān)鍵應(yīng)用與關(guān)鍵應(yīng)用使用同一計算主機的現(xiàn)象，偶發(fā)性的非關(guān)鍵應(yīng)用虛機故障導(dǎo)致計算主機資源被異常大量消耗，進(jìn)行影響在同一計算主機的基礎(chǔ)平臺管理軟件運行，導(dǎo)致計算資源池整體陛能下降及部分資源控制失效。

1.2項目的計算資源需求無法預(yù)估

早期計算資源的增加是和應(yīng)用項目同步進(jìn)行建設(shè)，即一個項目包含基礎(chǔ)計算資源和應(yīng)用業(yè)務(wù)軟件，同項目建設(shè)帶來的問題是每個項目采購的基礎(chǔ)計算資源都不同且管理不便，隨著虛擬化大量推廣及應(yīng)用的快速建設(shè)，數(shù)據(jù)中心基礎(chǔ)計算資源建設(shè)作為單獨基礎(chǔ)建設(shè)項目建設(shè)，建議的方式是虛擬化計算集群為主，但建設(shè)的計算資源量與實際應(yīng)用需求的量往往不能匹配，因為信息化建設(shè)的加速、大數(shù)據(jù)分析應(yīng)用、物聯(lián)網(wǎng)應(yīng)用的普及，對計算資源的需求較以前傳統(tǒng)應(yīng)用而言需求量已不同，前期計算資源的建設(shè)是按照應(yīng)用項目的數(shù)量來進(jìn)行大概預(yù)計，這種簡單的預(yù)估方式對于前期應(yīng)用基本可以應(yīng)付，但大數(shù)據(jù)分析應(yīng)用、物聯(lián)網(wǎng)應(yīng)用對計算資源的相對高要求，這種預(yù)估數(shù)量無法較好匹配多用途應(yīng)用對計算資源的需求量。

2解決方案

面對計算資源缺乏安全規(guī)劃與資源需求無法適當(dāng)預(yù)測問題，通過優(yōu)化基礎(chǔ)平臺架構(gòu)的方式來改善現(xiàn)狀，主要通過以下幾個方面

2.1依據(jù)業(yè)務(wù)架構(gòu)在資源層實現(xiàn)分隔

按照應(yīng)用業(yè)務(wù)的架構(gòu)一般分為數(shù)據(jù)庫層、中間件層、應(yīng)用層，規(guī)劃數(shù)據(jù)中心基礎(chǔ)平臺計算池時按照這樣的分類進(jìn)行計算資源池的物理模塊化分隔，數(shù)據(jù)庫層專門建立一個計算池且單獨建立物理區(qū)域，在該計算池配置2個以上高性能計算主機節(jié)點均衡計算負(fù)載，中間件層建設(shè)專用邏輯計算池包含2個以上高性能節(jié)點，應(yīng)用軟件資源池由其他的剩下的計算節(jié)點構(gòu)成，這三個池之間的物理設(shè)備分布不同位置，各自連接不同的存儲資源池，計算資源池過網(wǎng)絡(luò)核心設(shè)備進(jìn)行互聯(lián)。

2.2按業(yè)務(wù)服務(wù)層次實現(xiàn)業(yè)務(wù)域的分級

在具體的業(yè)務(wù)邏輯層對上面劃分的三個域進(jìn)行業(yè)務(wù)細(xì)化配置，在數(shù)據(jù)庫層劃分為核心數(shù)據(jù)庫與交互數(shù)據(jù)庫，核心數(shù)據(jù)庫區(qū)域存放業(yè)務(wù)系統(tǒng)使用的核心數(shù)據(jù)，僅限相關(guān)業(yè)務(wù)系統(tǒng)訪問并拒絕其他訪問，交互數(shù)據(jù)庫用于應(yīng)用系統(tǒng)之間數(shù)據(jù)庫交互，有些系統(tǒng)因為設(shè)計不規(guī)范，還需要讓應(yīng)用客戶端直接訪問數(shù)據(jù)庫，交互數(shù)據(jù)庫層主要用來解決數(shù)據(jù)中間庫及應(yīng)用過濾問題，配置策略相對寬松，核心數(shù)據(jù)庫與交互數(shù)據(jù)庫的計算資源庫實現(xiàn)邏輯隔離。

應(yīng)用層的資源池按照業(yè)務(wù)劃分為非常重要應(yīng)用、較重要應(yīng)用、一般應(yīng)用，非常重要的應(yīng)用如網(wǎng)絡(luò)認(rèn)證平臺、一卡通核心平臺、統(tǒng)一身份認(rèn)證平臺、應(yīng)用數(shù)據(jù)交換平臺、支付交費平臺等，該類應(yīng)用需要配置在高性能的計算節(jié)點及配置多個計算節(jié)點應(yīng)對負(fù)載，較重要應(yīng)用包括一些使用些量大、影響面廣的應(yīng)用，一般應(yīng)用包括一些使用范圍相對小及使用頻率較低的應(yīng)用，較重要應(yīng)用配置多個計算節(jié)點用于用負(fù)載均衡與冗余，一般應(yīng)用配置在一些性能一般的單計算節(jié)點池。

2.3資源規(guī)劃與網(wǎng)絡(luò)安全同行

完成上面業(yè)務(wù)邏輯層面的劃分后，在網(wǎng)絡(luò)層面依據(jù)業(yè)務(wù)進(jìn)行細(xì)化網(wǎng)段劃分，劃分時需要考慮到網(wǎng)絡(luò)安全的同步規(guī)劃、同步建設(shè)、同步使用，數(shù)據(jù)層劃分出核心數(shù)據(jù)段、交互數(shù)據(jù)庫段，該網(wǎng)段必須是物理連到數(shù)據(jù)中心核心交換，通過數(shù)據(jù)中心核心交換與應(yīng)用通信，這種部署方式可以較好滿足數(shù)據(jù)庫審計與數(shù)據(jù)庫防火墻的透明部署要求，起到保護(hù)數(shù)據(jù)庫的網(wǎng)絡(luò)安全目的，實現(xiàn)資源的第一層防護(hù)。在應(yīng)用邏輯層將非常重要應(yīng)用、較重要應(yīng)用、一般應(yīng)用分別劃分在分隔較遠(yuǎn)的不同網(wǎng)絡(luò)區(qū)段，便于后期在流量監(jiān)控分析時清晰的識別流量來源，在網(wǎng)絡(luò)段層配置粗策略的安全防護(hù)或隔離規(guī)劃，實現(xiàn)資源的第二層防護(hù)。結(jié)合虛擬計算資源平臺的SDN網(wǎng)絡(luò)功能在每應(yīng)用主機上層配置主機安全防火墻，做到來源地址、目的地址、目的端口的精細(xì)化控制，此功能區(qū)別于操作系統(tǒng)自身防火墻功能，不受操作系統(tǒng)的影響，在計算資源平臺與虛擬網(wǎng)絡(luò)層實現(xiàn)安全集中訪問管理，以上功能完成資源的第三層防護(hù)，數(shù)據(jù)中心基礎(chǔ)平臺出口網(wǎng)絡(luò)配備安全WAF、IPS防護(hù)設(shè)備、防毒墻等實現(xiàn)區(qū)域間的網(wǎng)絡(luò)安全防護(hù)。

2.4計算資源及應(yīng)用變動統(tǒng)計分析

建立計算資源基礎(chǔ)庫、應(yīng)用資源信息庫，在計算資源基礎(chǔ)庫中存放計算資源的基本信息，包括資源的創(chuàng)建時間、CPU容量、內(nèi)存大小、掛載的存儲大小，應(yīng)用資源信息庫存放應(yīng)用主機的基本信息，包括應(yīng)用主機的創(chuàng)建時間、應(yīng)用所屬項目、主機用途、CPU、內(nèi)存、磁盤容量、是否在線等信息。建立應(yīng)用項目虛擬主機需求模板庫，在模板庫中存放多個項目模板，如普通應(yīng)用類模板包含項目所需虛機平均數(shù)量、項目所需磁盤平均容量等指標(biāo)，如大數(shù)據(jù)應(yīng)用模塊包含項目所需虛機平均數(shù)量、項目所需磁盤平均容量等指標(biāo)，每當(dāng)新建應(yīng)用資源項目時，必須先進(jìn)行項目模板類型選擇，每次新建完一批項目應(yīng)用主機后，定期更新模板數(shù)據(jù)庫的虛機及磁盤容易平均值。項目的建設(shè)周期一般為一年一批次，每半年進(jìn)行一次計算資源、應(yīng)用主機信息的信息統(tǒng)計，并基于本年度項目的分類信息及歷史年度的應(yīng)用增長速率分析預(yù)測，計算出當(dāng)前計算資源池可支撐的服務(wù)周期、下一年可能建設(shè)的項目類型偏好與計算資源需求，為后期的基礎(chǔ)平臺計算資源擴建提供參考。

3運行效果

經(jīng)過實際環(huán)境的計算資源架構(gòu)改善及網(wǎng)絡(luò)安全同步規(guī)劃，使用基礎(chǔ)平臺兼顧信息系統(tǒng)架構(gòu)與網(wǎng)絡(luò)安全要求，應(yīng)用資源的安全性得到較大的改善，數(shù)據(jù)庫中心區(qū)域應(yīng)用系統(tǒng)被惡意攻擊的宕機時件大量減小，借助三層防護(hù)機制操作系統(tǒng)出現(xiàn)漏洞時也能穩(wěn)步應(yīng)對，大部分情況都是相對安全可控，遇到非常嚴(yán)重的情況時可通過物理隔斷關(guān)聯(lián)的計算資源池來保障基礎(chǔ)平臺整體安全。通過計算資源及應(yīng)用變動統(tǒng)計分析實現(xiàn)未來年度計算資源需求的初步可預(yù)測，改善了前期基礎(chǔ)平臺資源完全被動及冗余建設(shè)的現(xiàn)狀，總體初步提升基礎(chǔ)平臺的安全層次及計算資源建設(shè)的合理化與標(biāo)準(zhǔn)化水平。

在實際實現(xiàn)過程中也發(fā)現(xiàn)有不少問題，三層防護(hù)機制可以適當(dāng)有效提升應(yīng)用與網(wǎng)絡(luò)安全，但部署應(yīng)用主機時間帶來了額外分類工作量，計算資源的需求預(yù)測未細(xì)化考慮資源池分隔需求，資源池分隔會帶來額外的資源浪費，如何在網(wǎng)絡(luò)安全與計算資源最大化利用上達(dá)到較優(yōu)狀態(tài)是較難的問題，如何規(guī)劃更合理的基礎(chǔ)平臺計算資源架構(gòu)來滿足網(wǎng)絡(luò)安全、監(jiān)測、預(yù)警、審計、防護(hù)的及快速部署的要求是今后繼續(xù)努力的方向。