基于Eucalyptus的大數據多維安全平臺架構設計

張凱

摘 要 Eucalyptus是用來滿足大數據環(huán)境彈性需求的一款軟件，運行環(huán)境通常為成組的服務器或者系統(tǒng)集群，一般運行在Linux環(huán)境下，使用Web服務。Eucalyptus云平臺為用戶提供了登錄證書認證功能又增加了訪問控制、數據加密以及日志管理功能，從而用戶的可信度大大提高。

關鍵詞 Eucalyptus；大數據；安全平臺

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2018）217-0113-02

1 Eucalyptus平臺構架介紹

一個基于Eucalyptus的多維化安全性高的大數據平臺包括中包含了處理數據的數據存儲、控制模塊，對集群和節(jié)點進行控制的模塊，以及后來添加的對資源和任務進行管理的模塊。為了保證這兩個新增模塊不出異常在基礎設施層要保證負載的均衡分配，系統(tǒng)資源方面也要盡量實現(xiàn)最優(yōu)化的利用。

除此之外，在Eucalyptus提供的用戶認證和登錄功能的基礎之上，加強具體用戶訪問云平合的安全性。整個架構自上而下分別為平臺應用層、平臺表現(xiàn)層、平臺控制層、設備管理層和基礎設施層。

平臺應用層在企業(yè)資源規(guī)劃客戶關系管理和資源規(guī)劃三方而起作用，為企業(yè)、教育機構和政府等提供服務。平臺表現(xiàn)層則是面向服務的體系結構，采用工作流技術通過Web技術來表現(xiàn)那些通常情況下位于底層的、不可見的資源和業(yè)務，這樣就使得用戶可見的層面上的一切皆是服務。建立平臺控制層的目的是搭建一個量級較輕的、靈活性強的平臺以供使用，該層主要分為3個模塊，分別作用于資源分配、安全防范和任務協(xié)調，這3個模塊相輔相成，實現(xiàn)了多角度、多方面的安全保障。

對于資源分配模塊來說，它的功能不僅僅是進行資源分配，還可以對資源進行監(jiān)控和調用。對于安全防范模塊來說，它包含訪問控制、負載均衡和數據加解密等功能。對于任務協(xié)調模塊來說，不僅可以對任務進行分解執(zhí)行，還可以對任務進行監(jiān)控。設備管理層利用Eucalyptus這個平臺實現(xiàn)對虛擬機的基本管理，Eucalyptus的功能很強大，使用其提供的功能便可以分配不同的虛擬機和簇，建立一個良好的環(huán)境?；A設施層指的是位于底層的各種服務器，比如虛擬機服務器等。使用這些服務器可以構建必需的云環(huán)境來確保云端的計算、存儲等正常運行。

2 Eucalyptus服務對象

Eucalyptus平臺在安全服務部分的產品主要涉及以下幾個對象。

2.1 電子郵件過濾（包括備份、歸檔和電子發(fā)現(xiàn)）

雖然電子發(fā)現(xiàn)不只包含電子郵件，但因為機構信息大多是通過電子郵件傳輸的，電子郵件開始成為發(fā)現(xiàn)威脅的最合適位置。

對于電子郵件來說，安全服務的內容主要包括清理垃圾郵件、釣魚郵件以及包含在電子郵件流中的惡意軟件，然后將安全的電子郵件提供給機構，使郵件不會再次被污染。這種方法的好處在于：多引擎的存在使用戶的安全性不僅能得到更加完善的保障，還可以使設備的性能得到提升，更好地管理反惡意軟件。反惡意軟件管理之所以優(yōu)于終端解決方案，是因為反惡意軟件與處理器和操作系統(tǒng)無關，這樣可以通過云計算來進行集中的管理而不用分散地處理從多個反惡意軟件提供商處獲得的多個管理系統(tǒng)。

這種包含在云計算中的清理服務帶來的好處是：減小電子郵件占用的帶寬、降低電子郵件服務器的負荷，以及提高反惡意軟件的效果。雖然安全服務主要對入站電子郵件進行處理，但在出站電子郵件方面也常使用安全服務。

許多機構為了確保其發(fā)送的郵件不會在不經意間感染惡意代碼，使用安全及服務來清理出站電子郵件可以有效解決問題除此之外，安全服務可以對出站的電子郵件按機構關于電子郵件加密的策略來執(zhí)行，通常對電子郵件的加密在服務器到服務器層面執(zhí)行，這樣不需要個人用戶的參與，也不需要使用密鑰來管理。這可以通過在傳輸層的網絡通信中使用安全套接字層（SSL）或傳輸層安全協(xié)議（TIS）實現(xiàn)。

使用安全即服務來進行反惡意軟件的另一個好處是，它凌駕于企業(yè)終端可見惡意軟件威脅之上，從其中提煉出來了它們的整體特性，與設備類型、位置、操作系統(tǒng)或者處理器架構無關，擁有更廣闊的視野，對于機構的信息安全性有很大幫助。電子郵件的安全服務也包括其備份和歸檔。

這個服務的對象通常是存儲在集中的存儲庫中的索引機構的電子郵件信息及其附件。機構可以在這個集中的存儲庫中使用些參數進行索引，參數包括數據范圍、收件人、發(fā)件人、主題以及內容。這些功能對電子發(fā)現(xiàn)是非常有用的，如果沒有這些功能，電子發(fā)現(xiàn)的過程將會耗費大量資源。

2.2 網頁內容過濾

網頁內容過濾屬于機構終端的處理，無論在機構設施內、在家中還是在公路上，當用戶試圖獲取網頁信息時，這些流暈就會被轉移到安全服務提供商處進行排除惡意軟件威脅的掃描，以確保只有干凈的流量才會被傳送到終端用戶。

機構可以通過允許、阻止或限制流量的方式執(zhí)行其網頁流量策略。由于當今可訪問的網站數目異常龐大，早期部署于機構內部的URL（統(tǒng)一資源定位符）過濾解決方案變得越來越低效，很難滿足需求。而安全服務提供商可以通過對HTTP（超文本傳輸協(xié)議）頭信息、頁面內容以及嵌入的鏈接的檢査，更好地了解網站的內容，從而為URL過濾措施提供幫助。除此之外，這些服務使用集體信譽記分制以加強過濾的精度。

網頁內容的安全服務還對出站的網絡流量進行掃描，防止用戶無意識地向外傳遞敏感信息、（如ID號碼、信用卡信息等）從而導致信息泄露。網絡流量的掃描還會對內容文件類型進行分析并進行模式匹配，以防止數據泄露。

2.3 漏洞管理

隨著互聯(lián)網機構的規(guī)模越來越大、復雜度越來越高，以及地位的提升，保障相關系統(tǒng)的安全性和穩(wěn)定性就顯得越來越重要，同時也越來越不易。一些安全服務提供商發(fā)現(xiàn)系統(tǒng)漏洞，并進行評，然后報告并修補這些漏洞，以此確保系統(tǒng)的安全、正常運行。

與電子郵件過濾、網頁內容過濾和漏洞管理等安全服務中的經典產品不同，身份管理即服務（IDaaS）是近期才出現(xiàn)的安全服務實例。和在云計算中經常使用的身份及訪問管理（IAM）相比，目前所使用的身份及訪問管理功能有明顯不足和缺陷。身份管理服務在云計算中提供身份管理及訪問管理的功能。

早期的身份管理服務產品關注的重點往往是身份驗證，因為用戶最關心的便是這一方面。但是，對于云計算服務提供商來說，首要任務是針對身份管理服務提供商開發(fā)協(xié)同元系統(tǒng)。正如元目錄的規(guī)模在機構內不會發(fā)生改變，虛擬目錄的規(guī)模也不會根據云計算的水平而發(fā)生改變。身份管理服務提供商也需要為云計算中的用戶提供其他的身份及訪問管理服務，包括授權、用戶開通和審計。

3 結論

當前存在的幾個安全服務產品不僅可行性強，而且十分成熟。其中，電子郵件和網頁內容過濾已經為許多企業(yè)提供了幾年的時間，并且云計算服務提供商提供此類服務的方法也具有成熟性和先進性。但有一些安全服務產品出現(xiàn)的時間不長，還需要不斷的完善（如身份管理服務）。

目前，已有一些云計算服務提供商運用自己定制的云計算環(huán)境為多個機構提供安全服務了，但至今還沒有一家正規(guī)的、有實力的云計算服務提供商（包括Rightscale Proofpoint Workday、Google、Amazon、Salesforce、Microsoft等）能夠將安全服務集成為一種產品提供出來。

參考文獻

[1]陳左寧，王廣益，胡蘇太，等.大數據安全與自主可控[J].科學通報，2015，60（5）：427-432.

[2]馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014，37（1）：246-258.

[3]傅穎勛，羅圣美，舒繼武.安全云存儲系統(tǒng)與關鍵技術綜述[J].計算機研究與發(fā)展，2013，50（1）：136-145.

[4]馮偉.大數據時代面臨的信息安全機遇和挑戰(zhàn)[J].中國科技投資，2012（34）：49-53.

[5]劉正偉，張華忠，文中領，等.海量數據持續(xù)數據保護技術研究及實現(xiàn)[J].計算機研究與發(fā)展，2012，49（s1）：37-41.

[6]楊高明，楊靜，張健沛.隱私保護的數據發(fā)布研究[J].計算機科學，2011，38（9）：11-17.

[7]楊建春.網絡環(huán)境下數據安全控制技術研究[J].甘肅科技，2011，27（16）：22-24.