云計算資源池數據安全防護及保障技術分析

劉義勇

【摘要】 隨著科技發(fā)展，云計算極大的促進了業(yè)務保障工作的開展，由于用戶數量不斷增多，業(yè)務也在不斷擴大，云計算資源池數據安全防護也有迎來了新的發(fā)展契機，因此本文將從云計算與資源池基本情況入手，重點分析云計算資源池數據安全防護與保障技術。

【關鍵詞】 云計算 資源池數據 安全防護 保障技術

一、前言

云計算的出現改變了傳統(tǒng)電信運營商的發(fā)展模式，使電信企業(yè)實現了精細化管理，尤其是云計算資源集中成為了可能，便于計算信息服務，不僅降低了成本與能源消耗，還促進了企業(yè)進一步發(fā)展。但依然需要重視與計算資源池數據安全防護，并聯系實際提出保障技術，只有這樣才能促進企業(yè)又好又快發(fā)展。

二、云計算含義

云計算概念最早出現于2006年，其定義與內涵一直是IT界討論重點，由于認識與理解不同，導致云計算含義始終沒有明確定義?，F階段，美國相關部門對云計算框架模型進行了描述，并概括云計算的特征。

云計算特點有以下幾點：第一，網絡接入廣泛，即通過云計算實現網絡供應，并涉及大量客戶端；第二，資源池，它以物理資源為基礎，在虛擬化的作用下，逐漸映射成為具有虛擬化、模塊功能化以及多用戶服務的資源池，并按照系統(tǒng)要求為客戶提供服務；第三，快速彈性計算，這一特征要求系統(tǒng)規(guī)模與計算資源一定聯系用戶需要實際進行調整；第四，按需自服務，它要求云計算服務是不需要人工參與就能進行的服務，以自助服務為主，如開通服務、更換配置、繳費等；第五，服務檢測，它要求運服務是可以進行檢測的，同時也制定了明確的收費標準與政策，所有服務都是透明的，便于服務者與用戶查詢[1]。

三、云計算資源池概述

云計算資源池就是將服務器物理資源轉化為邏輯資源，使得一臺服務器可以轉化為幾臺甚至幾百臺相互隔離的虛擬服務器，不僅可以提升資源利用率，還可以使系統(tǒng)管理更加簡化，便于服務器資源整合，同時也可以使IT界更好的應對業(yè)務變化。要利用云計算，就要構建大容量資源池，確保在業(yè)務高峰期能夠滿足用戶各種要求，為用戶提供優(yōu)質服務。

四、云計算資源池數據的安全防護與保障技術分析

4.1軟件安全防護措施與保障技術

云計算資源池平臺中的各個虛擬終端都需要通過虛擬主機虛擬層與外部進行交互與聯系，一旦虛擬層出現漏洞或被入侵，就會導致虛擬環(huán)境發(fā)生風險，因此，強化虛擬層安全異常重要。云計算資源池管理服務器屬于虛擬化平臺基礎架構組成部分，用于虛擬主機、網絡與各系統(tǒng)的統(tǒng)一控制與管理，這就需要聯系實際情況做好虛擬服務器入侵檢測工作，并建立起良好安全控制系統(tǒng)與防護功能，這也是確保虛擬架構安全加固的必要方式。在資源池中應用安全防護軟件，主要是為給資源管理服務器提供入虛擬入侵檢測策略，強化入侵防護能力。對于IDS入侵檢測來說，因包括以下幾點策略：首先，對重點虛擬化文件訪問進行監(jiān)控，同時也要對監(jiān)控虛擬化軟件關鍵命令與工具執(zhí)行；其次，了解虛擬化軟件關鍵配置變化情況，且實時關注虛擬機標準網絡接口與各關鍵部分的工作情況，制定出較為簡單的虛擬軟件動作監(jiān)控日志；再者，重視虛擬化管理服務器上的成功與失敗訪問，確定執(zhí)行命令，并做好虛擬管理服務器關鍵事件通用與審計工作；最后，確保虛擬管理服務器主機始終保持完整，了解主機配置變化[2]。IPS入侵安全防護則要關注以下幾點策略：第一，重視Windows安全防護，加強對管理服務器應用組件的保護，確定基本架構組件與應用程序文件，更要重視敏感數據目錄的構建；第二，控制管理服務器網絡訪問權限，增加可信應用程序，對需要訪問的管理服務器訪問工具加以保護；第三，調整好Windows基線，了解用戶與用戶組的變化情況，一旦發(fā)生登錄失敗，就要檢查重點配置文件等是否被篡改；第四，檢查文件是否完整，若不完整就要通過管理平臺調整檢查策略，實時了解平臺中各種文件的變更與配置情況，同時也要監(jiān)控管理平臺日志，尤其要重視Web交互日志[3]。

4.2核心業(yè)務主機安全防護與保障技術

不管是物理服務器還是虛擬化服務器，都會遇到相同的安全防護問題，主要有網絡是否被入侵，是否遭到病毒攻擊，是否存在漏洞或數據被盜等情況。資源池安全管理平臺需要為物理機與虛擬化服務器提供全套安全防護體系，強化系統(tǒng)入侵，不斷增強虛擬服務器系統(tǒng)的安全性，確保數據安全，所以，核心業(yè)務主機的安全防護與保障措施需要從以下幾方面入手：第一，做到零日攻擊，為實現這一目標可以利用沙盒技術與白名單技術來完成，可以有效減少惡意程序借助零日漏洞攻擊重點業(yè)務服務器，同時也能有效防止惡意程序的傳播。第二，加強對細粒度系統(tǒng)的訪問與控制，通過鎖定操作系統(tǒng)程序等，對各個操作系統(tǒng)與應用程序進行控制，并為其創(chuàng)建以行為虛擬Shell為基礎，用于監(jiān)控內核系統(tǒng)調用情況的策略，且通過設計訪問控制列表，監(jiān)控與訪問程序，能夠識別與核對用戶身份與權限，明確可以訪問的網址與訪問時間、權限[4]。第三，確保文件等完整，主要是重視物理主機與虛擬主機的完整性，保證兩者中的文件無論怎樣變動都不會發(fā)生實時性改變；第四，收集與制定適用于物理與虛擬服務器使用的機制，并將其直接呈現在控制臺上，聯系手機應用程序確定策略控制與白名單；第五，重視系統(tǒng)與用戶監(jiān)控審計，不僅要監(jiān)控用戶登錄核心進程，還要通過這種方式攔截用戶登錄過程，利用主機用戶進行行為審計等；第六，構建高性能防火墻，強化防火墻性能，監(jiān)控TCP/UDP實時流量，加大對緩沖區(qū)的防護，做好進程訪問控制，重視各進程啟動保護。此外，還要關注物理服務器與虛擬服務器系統(tǒng)的監(jiān)控與審計，強化系統(tǒng)入侵防護，真正做好檢測工作。

4.3運維管理的安全防護與保障技術

云計算資源池管理特性較為特殊，管理員權限較大，如果人員變化將直接影響業(yè)務安全。為保證運維安全，實時驗證用戶信息就要構建合適的云計算資源池堡壘機制，記錄與保存操作過程?？梢詮囊韵聨追矫嫒胧郑菏紫龋瑸樵朴嬎阗Y源池供應細粒度訪問控制，減少虛擬化平臺的特權訪問，重視用戶訪問虛擬資產管理；其次，做好自動定期系統(tǒng)配置與安全設置評估工作，準確記錄成功操作與失敗操作，以便為數據審計提供可靠依據，同時，重視命令級別的訪問控制，區(qū)分管理權限，確定虛擬機訪問對象；再者，重視賬號集成管理，及時回收現有資源池管理員權限，無論是哪一用戶都要經過運維管理軟件認證以后才可以管理虛擬平臺；最后，根據虛擬機的不同進行區(qū)分授權，通過多方認證以后才能使用服務器，這也是保證其身份合法的重要舉措[5]。

結論：通過以上研究了解到，云計算資源池數據的安全防護與保障以及成為電信企業(yè)重點關注內容，不僅可以確保云計算安全，還可以完善云計算資源池平臺，有效減少存在云計算中的安全問題，使其更具安全性，因此，本文聯系實際實際情況，提出了一些構建安全防護的有效措施，希望能為相關人士帶來參考。

參 考 文 獻

[1]余琦.云計算環(huán)境下數據安全多維防護體系的研究與設計[D].廣東工業(yè)大學，2013

[2]趙全營.面向云計算的用戶數據安全策略研究[D].大連理工大學，2014

[3]韓帥.基于云計算的數據安全關鍵技術研究[D].電子科技大學，2012

[4]陳釗.基于云災備的數據安全存儲關鍵技術研究[D].北京郵電大學，2012

[5]李小康.IaaS私有云資源池管理平臺的設計與實現[D].北京郵電大學，2014