云計(jì)算環(huán)境下企業(yè)私有云平臺(tái)安全架構(gòu)的機(jī)理和實(shí)現(xiàn)

摘 要 隨著科技水平的不斷發(fā)展，社會(huì)在不斷地進(jìn)步，計(jì)算機(jī)科學(xué)以及網(wǎng)絡(luò)技術(shù)也取得了可觀的成果，這些成果給人們的生活帶來(lái)了便利，人類社會(huì)的發(fā)展進(jìn)程也受到了巨大的影響。云計(jì)算是一種新興的計(jì)算機(jī)技術(shù)，它的重點(diǎn)在于應(yīng)用方面，它是以互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的。企業(yè)以自有數(shù)據(jù)中心建立的云管理環(huán)境系統(tǒng)的基礎(chǔ)支持就是私有云，私有云的建立可以很好地定義以及運(yùn)行云應(yīng)用，并且為其提供計(jì)算、存儲(chǔ)功能以及網(wǎng)絡(luò)資源的管理平臺(tái)。在本論文中，討論了企業(yè)私有云的搭建方案，企業(yè)私有云搭建內(nèi)容、建設(shè)目的以及最后的安全架構(gòu)也被系統(tǒng)地分析，同時(shí)私有云所要面臨的安全性問(wèn)題也被進(jìn)一步地探討，最后私有云的安全架構(gòu)被提出，希望對(duì)企業(yè)的私有云搭建提供一些幫助。

【關(guān)鍵詞】網(wǎng)絡(luò)技術(shù) 互聯(lián)網(wǎng)技術(shù) 私有云 云計(jì)算 存儲(chǔ)功能 安全架構(gòu)

1 引言

在2006年，谷歌首次提出了云的概念，云開(kāi)始逐漸地出現(xiàn)在人們的視野中，并影響著人們的日常生活。隨著網(wǎng)絡(luò)虛擬化程度越來(lái)越高，一些計(jì)算機(jī)關(guān)鍵技術(shù)得到了飛速的發(fā)展，例如：寬帶技術(shù)、分布式計(jì)算技術(shù)等，這些技術(shù)的發(fā)展促使云技術(shù)得到了長(zhǎng)足的進(jìn)步，云應(yīng)用的時(shí)代已經(jīng)被開(kāi)啟，很多企業(yè)以前都是將自己的信息平臺(tái)建立在客戶機(jī)或者是服務(wù)器架構(gòu)中，隨著云應(yīng)用的開(kāi)發(fā)，大部分企業(yè)已經(jīng)將信息轉(zhuǎn)移到了新興的云平臺(tái)上面。云計(jì)算是計(jì)算機(jī)技術(shù)的一個(gè)新的衍生事物，人們對(duì)它了解的越多，就越來(lái)越容易接受它，但是在應(yīng)用云的同時(shí)，一些網(wǎng)絡(luò)信息的安全隱患隨之而來(lái)，這將是人們面對(duì)的一項(xiàng)巨大挑戰(zhàn)。從2006年到2011年，云技術(shù)得到了空前的發(fā)展，但是受到的網(wǎng)絡(luò)沖擊也是越來(lái)越大，例如，谷歌、百度、微軟以及亞馬遜等大型網(wǎng)絡(luò)公司的云平臺(tái)在近幾年，都遭到了大大小小上百次的網(wǎng)絡(luò)攻擊，對(duì)使用客戶造成的影響非常惡劣，并且在全球范圍內(nèi)，云平臺(tái)受到的攻擊數(shù)量在不斷地增加，已經(jīng)呈現(xiàn)出難以抑制的趨勢(shì)。企業(yè)私有云的建造人員以及維護(hù)人員不得不思考如何保證自己企業(yè)私有云平臺(tái)不受到外界的攻擊，或者說(shuō)在受到外界攻擊時(shí)如何保證數(shù)據(jù)安全，如何保證受到的損失最小，如何快速的去修復(fù)云平臺(tái)，這些都是技術(shù)人員面臨的挑戰(zhàn)。在本論文中，根據(jù)目前企業(yè)私有云安全的情況，通過(guò)一些企業(yè)建設(shè)云平臺(tái)的經(jīng)驗(yàn)，一種新型的、應(yīng)用性能良好的云安全框架被提出，希望對(duì)企業(yè)的私有云搭建提供一些參考以及幫助。

2 私有云的概念簡(jiǎn)介

在商業(yè)模式中，云計(jì)算技術(shù)手段得到了完美的詮釋。計(jì)算機(jī)的計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)化資源都通過(guò)云計(jì)算過(guò)程以虛擬化以及自動(dòng)化的方式來(lái)提交。可以進(jìn)行自我維護(hù)、自行管理的虛擬運(yùn)算資源就是人們常說(shuō)的“云”，通常情況下，很多大型服務(wù)器集群都是云的體現(xiàn)，云控制器、云服務(wù)器以及云配制服務(wù)器都被包含其中。用戶所需要的計(jì)算能力、存儲(chǔ)空間、軟件功能以及信息服務(wù)等都是通過(guò)云計(jì)算來(lái)提供的，云計(jì)算可以支撐很多應(yīng)用類程序的運(yùn)行。平行計(jì)算（Parallel Computing）、分布式計(jì)算（Distributed Computing）以及網(wǎng)格化計(jì)算（Grid Computing）這三者的共同發(fā)展，并且有機(jī)地結(jié)合形成了云計(jì)算。私有云的英文稱為Private Clouds，最開(kāi)始它在國(guó)外的企業(yè)信息服務(wù)中得到了非常廣泛地應(yīng)用，它可以為客戶獨(dú)自建立、而且可以為用戶提供單獨(dú)的使用空間，所以它可以有效地控制數(shù)據(jù)的安全性，也可以提高服務(wù)質(zhì)量。擁有私有云的公司可以有效地控制自己公司的基礎(chǔ)設(shè)施，在該基礎(chǔ)設(shè)施上完成應(yīng)用程序的基本部署。公司可以將私有云設(shè)置在公司內(nèi)部數(shù)據(jù)中心的防火墻內(nèi)，也可以在相對(duì)安全的主機(jī)托管場(chǎng)所內(nèi)部署私有云。公司內(nèi)部自己擁有的IT機(jī)構(gòu)就可以建立自己公司的私有云，云提供經(jīng)銷商也可以為公司構(gòu)建私有云。目前國(guó)際上一些大型公司都是由云提供商來(lái)為它們建立私有云，Sun、IBM等大型的云計(jì)算提供經(jīng)銷商可以為企業(yè)提供私有云的安裝、配置以及運(yùn)營(yíng)等一系列服務(wù)，為公司提供一個(gè)專用的云來(lái)支持公司的數(shù)據(jù)中心。這種模式可以讓公司很好地控制云資源，讓公司對(duì)云資源的使用達(dá)到極高地水準(zhǔn)。

3 云計(jì)算的實(shí)現(xiàn)機(jī)理

從云計(jì)算結(jié)構(gòu)上來(lái)劃分，我們可以將云計(jì)算技術(shù)的體系劃分為四大類。物理資源層、資源池層、管理中間件層，以及SOA構(gòu)建層都被包含在其中。承擔(dān)數(shù)據(jù)傳輸任務(wù)的物理媒體我們稱之為物理資源層；應(yīng)用層以及資源層之間橋梁我們稱之為管理中間件層，它在中間起到的是承上啟下的作用，同時(shí)管理中間件層還可以提供諸多功能，例如：資源代理、通訊服務(wù)、任務(wù)分析器、任務(wù)調(diào)度器以及信息服務(wù)能力等。面向服務(wù)的體系架構(gòu)我們稱之為SOA構(gòu)建層，它由服務(wù)接口、服務(wù)注冊(cè)、服務(wù)查找、服務(wù)訪問(wèn)以及服務(wù)工作流組成。云計(jì)算技術(shù)最為關(guān)鍵的部分就是管理中間件層以及資源池層，SOA構(gòu)建層的一些功能是由外部設(shè)施所提供的。資源管理、任務(wù)管理、用戶管理以及安全管理等工作都是由云計(jì)算的管理中間件層負(fù)責(zé)的。底層硬件資源、服務(wù)器的處理能力、局域網(wǎng)以及外網(wǎng)的網(wǎng)絡(luò)傳輸、虛擬存儲(chǔ)空間的存儲(chǔ)能力都是由資源管理負(fù)責(zé)的，它可以有效地控制VM資源，合理地管理系統(tǒng)、應(yīng)用軟件以及數(shù)據(jù)庫(kù)等資源；任務(wù)狀態(tài)的遷移、任務(wù)控制模塊、內(nèi)核中各種隊(duì)列模式、算法調(diào)度以及內(nèi)核時(shí)間等都是由任務(wù)管理負(fù)責(zé)；在后臺(tái)管理節(jié)點(diǎn)內(nèi)所有用戶的功能都是由用戶管理來(lái)負(fù)責(zé)調(diào)度的，它的任務(wù)包括用戶交互接口的提供、管理以及識(shí)別用戶的身份，為每個(gè)客戶去建立用戶程序，對(duì)每個(gè)用戶的使用情況進(jìn)行計(jì)費(fèi)處理。從技術(shù)、組織以及管理層面角度出發(fā)，合理地運(yùn)用安全管理分析手段可以解決、甚至消除各種不安全因素，一些事故的發(fā)生就會(huì)被很好地預(yù)防，在一些容易出現(xiàn)的安全事故方面，例如：身份驗(yàn)證、訪問(wèn)權(quán)限、綜合防護(hù)以及安全審計(jì)等，都可以有效地降低發(fā)生事故的概率。

以上述體系結(jié)構(gòu)為基礎(chǔ)，我們可以將云計(jì)算的實(shí)現(xiàn)機(jī)制分類三大類，即虛擬化機(jī)制、海量數(shù)據(jù)分布式存儲(chǔ)管理機(jī)制以及分布式計(jì)算機(jī)制。將物理資源進(jìn)行抽象處理，之后將抽象處理后的資源進(jìn)行映射以及呈現(xiàn)，這樣就會(huì)使物理資源隱藏在后臺(tái)，統(tǒng)一的設(shè)備使用模型被上層系統(tǒng)所提供，這樣一個(gè)過(guò)程就是虛擬化機(jī)制的體現(xiàn)。海量數(shù)據(jù)分布式存儲(chǔ)管理機(jī)制是用來(lái)存儲(chǔ)數(shù)據(jù)的，分布式存儲(chǔ)方式被它采用去對(duì)大量的數(shù)據(jù)進(jìn)行存儲(chǔ)，數(shù)據(jù)的安全性以及可靠性是通過(guò)冗余存儲(chǔ)的方式來(lái)實(shí)現(xiàn)的。將一個(gè)規(guī)模宏大的應(yīng)用程序劃分成若干個(gè)并且可以平行處理的子程序，這個(gè)過(guò)程就是分布式計(jì)算的機(jī)制，它是以互聯(lián)網(wǎng)技術(shù)為基準(zhǔn)，利用多個(gè)計(jì)算機(jī)分別計(jì)算生成的子程序，最后對(duì)所有子程序的結(jié)果進(jìn)行分析整合得出最終的結(jié)論。

4 私有云的安全性

4.1 私有云的安全問(wèn)題

云計(jì)算技術(shù)的基礎(chǔ)都是以某個(gè)應(yīng)用管理程序?yàn)檩d體。計(jì)算以及其相關(guān)的安全性威脅與傳統(tǒng)的安全工具可以通過(guò)管理程序?qū)⑺鼈兺耆馗綦x開(kāi)，這樣網(wǎng)絡(luò)通信中一些不合適的或者惡意的程序包就會(huì)被檢測(cè)出來(lái)。如果虛擬機(jī)處于同一臺(tái)服務(wù)器中，那么它們通過(guò)管理程序中的通訊功能就可以進(jìn)行無(wú)障礙的溝通，在虛擬機(jī)之間數(shù)據(jù)包可以進(jìn)行無(wú)障礙地傳送，無(wú)須經(jīng)過(guò)物理網(wǎng)絡(luò)流程，物理網(wǎng)絡(luò)中的通訊流量可以通過(guò)安裝的安全設(shè)備被檢測(cè)計(jì)算出來(lái)。但是虛擬機(jī)也存在一定弊端，一旦一臺(tái)虛擬機(jī)被攻擊遭到破壞，那么這臺(tái)虛擬機(jī)會(huì)將危險(xiǎn)源傳送給別的虛擬機(jī)，整個(gè)系統(tǒng)的防護(hù)措施是不會(huì)察覺(jué)到危險(xiǎn)源的存在。也就是說(shuō)，一個(gè)危險(xiǎn)的應(yīng)用程序能夠?qū)ζ渌摂M機(jī)造成攻擊破壞，客戶所用的安全措施對(duì)危險(xiǎn)程序是完全沒(méi)有辦法的，所以，私有云的使用還是存在一定的安全隱患的。

4.2 私有云安全框架的構(gòu)成

多種方式的服務(wù)形式都可以通過(guò)云服務(wù)來(lái)提供，上下文情景對(duì)云安全框架的解決方案起決定性的作用。所以，以云應(yīng)用架構(gòu)為基礎(chǔ)，方案架構(gòu)的解決可以適應(yīng)這些安全的顧慮，同時(shí)安全控件被建立。用戶以及云服務(wù)提供商需要共同負(fù)責(zé)公有云的云安全，但是在私有云的使用方面，云平臺(tái)的安全狀況需要用戶自己進(jìn)行管理，云服務(wù)提供商不會(huì)代替用戶去管理私有云的平臺(tái)，他們只會(huì)負(fù)責(zé)公共基礎(chǔ)設(shè)施的安全，所以，要想使私有云的安全性能更高，一下四個(gè)方面的安全措施需要得到保證：

（1）整體的運(yùn)行系統(tǒng)必須保證絕對(duì)的安全性；

（2）私有云上的系統(tǒng)信息必須確保其安全性；

（3）在每個(gè)服務(wù)器之間的信息傳播途徑必須安全；

（4）使用網(wǎng)絡(luò)的信息內(nèi)容要保證安全性。

與公有云相比，在安全技術(shù)方面，私有云的組成也是一樣的，中段以及云端兩部分組成了私有云的安全框架。

4.2.1 私有云的終端構(gòu)成

終端可以分為兩種類型：

（1）終端是一種云安全設(shè)備，它可以負(fù)責(zé)采集數(shù)據(jù)。它是一種采集能力的體現(xiàn)，通過(guò)API技術(shù)與沙箱技術(shù)的結(jié)合，多文件、程序行為以及關(guān)聯(lián)數(shù)據(jù)都可以被提供。例如：在Windows終端上，瀏覽器會(huì)被API Hook技術(shù)監(jiān)控，通過(guò)這種技術(shù)，用戶下載的執(zhí)行文件以及利用系統(tǒng)漏洞運(yùn)行的惡意代碼、用戶訪問(wèn)過(guò)的URL等信息都可以被采集到，未知漏洞的運(yùn)行程序可以通過(guò)關(guān)聯(lián)分析被發(fā)現(xiàn)。數(shù)據(jù)支持會(huì)被提供，這樣就會(huì)為后續(xù)制定的防御策略和追蹤威脅來(lái)源提供一定的幫助。

（2）終端也可以被看作是一種云安全軟件，它可以負(fù)責(zé)安全防御以及威脅處理。多層次多維度的安全策略會(huì)被實(shí)現(xiàn)通過(guò)云查殺技術(shù)與API監(jiān)控技術(shù)的結(jié)合。例如：防火墻處于云安全設(shè)備中，一旦管理員發(fā)現(xiàn)危險(xiǎn)源，那么私有云的安全平臺(tái)就會(huì)將危險(xiǎn)源認(rèn)定為不可信任的信息，同時(shí)對(duì)它進(jìn)行攔截處理，在計(jì)算機(jī)上就會(huì)讓該程序停止運(yùn)行，這樣安全防御的目的就被達(dá)到。在用戶使用過(guò)程中，同一個(gè)終端充當(dāng)多個(gè)角色的情形經(jīng)常被遇到。

4.2.2 私有云安全框架的特征

私有云安全框架具有以下特征：

（1）不依靠黑名單的威脅防御能力可以被提供，基于企業(yè)內(nèi)部基本穩(wěn)定的軟件生態(tài)系統(tǒng)，私有云可以形成分級(jí)別的自定義安全基準(zhǔn)線。原本只能依靠黑名單防護(hù)的泛安全邏輯可以轉(zhuǎn)變成精確安全邏輯，這個(gè)轉(zhuǎn)變過(guò)程是依靠自定義的安全基準(zhǔn)線來(lái)實(shí)現(xiàn)的。

（2）云安全軟件監(jiān)控系統(tǒng)得到提升，網(wǎng)內(nèi)新產(chǎn)生的程序、軟件以及數(shù)據(jù)就可以被隨時(shí)的發(fā)現(xiàn)，實(shí)時(shí)性功能就會(huì)得到很好地體現(xiàn)。

（3）鑒定系統(tǒng)采用多級(jí)別多維度文件分析形式，多種靜態(tài)、動(dòng)態(tài)文件被結(jié)合，這樣就可以提供可靠的綜合依據(jù)，用這個(gè)依據(jù)來(lái)判定文件是否安全可靠。

（4）可以隨時(shí)去評(píng)估威脅風(fēng)險(xiǎn)，網(wǎng)內(nèi)的威脅風(fēng)險(xiǎn)的變化反饋可以被實(shí)時(shí)地進(jìn)行，它是通過(guò)各種云安全設(shè)備來(lái)實(shí)現(xiàn)的，這些云安全設(shè)備包括了客戶端的軟件終端、以云安全技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)檢測(cè)設(shè)備以及移動(dòng)檢測(cè)設(shè)備等。

（5）依據(jù)威脅評(píng)估的結(jié)論以及用戶對(duì)資產(chǎn)價(jià)值的預(yù)測(cè)結(jié)果分析，用戶可以被提供一些安全防御與威脅處置策略的制定權(quán)利以及處理方案。如果用戶對(duì)非核心價(jià)值資產(chǎn)關(guān)注過(guò)多，那么就會(huì)浪費(fèi)大量的人力以及物力，所以一旦減少這種不必要的關(guān)注，人力物力資源就會(huì)被大量地節(jié)省，成本就會(huì)被大幅度地降低。

4.3 企業(yè)私有云平臺(tái)安全框架建立的必要性

近些年來(lái)，企業(yè)的管理方向逐漸地向信息化方向發(fā)展，企業(yè)自身都會(huì)非常重視自己的知識(shí)產(chǎn)權(quán)以及商業(yè)機(jī)密的保護(hù)，所以，新的網(wǎng)絡(luò)安全問(wèn)題就會(huì)被提出，這些要求都是針對(duì)企業(yè)自身網(wǎng)絡(luò)環(huán)境的安全性提出的。一旦建立企業(yè)自身的私有云計(jì)算平臺(tái)，傳統(tǒng)網(wǎng)絡(luò)維護(hù)以及安全防御的限制就會(huì)被突破，這樣可空性良好的信息終端安全運(yùn)行維護(hù)系統(tǒng)就會(huì)被成功地建立，從真正意義上，使企業(yè)業(yè)務(wù)網(wǎng)絡(luò)實(shí)現(xiàn)一體化的威脅監(jiān)控流程，在整個(gè)流程中發(fā)現(xiàn)、評(píng)估、處置以及審計(jì)都包含在這個(gè)整體中，重要的保障體系被提供用來(lái)保證信息系統(tǒng)的穩(wěn)定運(yùn)行。

5 結(jié)束語(yǔ)

在本論文中，云計(jì)算技術(shù)的應(yīng)用背景以及應(yīng)用現(xiàn)狀被詳細(xì)地論述，企業(yè)私有云平臺(tái)建立的必要性也被闡明，私有云安全的完整意義被提出，通過(guò)私有云安全特征的分析，提出了企業(yè)私有云安全架構(gòu)的設(shè)計(jì)。

參考文獻(xiàn)

[1]白妙青.云計(jì)算技術(shù)在廣播電視網(wǎng)中的應(yīng)用[J].現(xiàn)代電子技術(shù)，2013，36（11）：142-144.

[2]林曉鵬.云計(jì)算以及關(guān)鍵技術(shù)問(wèn)題[J].現(xiàn)代電子技術(shù)，2013，36（12）：67-70.

[3]Groves D I，et al.Orogenetic gold deposits：a proposed classification in the context of their crustal distribution and relationship to other gold deposit types[J].Ore Geology Review，1998，13（06）：7-27.

作者簡(jiǎn)介

李鐵（1982-），男，河南省沁陽(yáng)市人。碩士學(xué)位?，F(xiàn)為中國(guó)石化銷售有限公司陜西石油分公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、信息運(yùn)維管理。

作者單位

中國(guó)石化銷售有限公司陜西石油分公司 陜西省西安市 710003