文獻標識碼: B
文章編號: 0258-7998(2013)07-0063-02
隨著云計算技術的不斷發(fā)展及云計算商業(yè)模式的不斷明晰,,其完整的產業(yè)鏈也在不斷地完善,,無論是公有云、私有云還是混合云,,均得到進一步深化,。云計算的信息安全和運維服務問題越來越被人們所關注,一直是云計算實施的國際熱點問題,,在企業(yè)私有云領域,,更是成為是否采納云計算的首要問題。在我國云計算標準工作中,,信息安全,、運維服務也是被關注的重點。
針對云計算的信息安全,、運維服務這些國際熱點問題,,在IaaS云特別是企業(yè)私有云領域,,綜合平衡商用關鍵、綜合成本,、實用易用等因素,設計了信息安全系統(tǒng)和運維服務系統(tǒng),,并在國內多個行業(yè)實施取得了良好的效果,。
1 IaaS簡介
IaaS服務的核心思想是以服務產品的形式向用戶交付各種能力,而這些能力直接來自各種資源池,,因此IaaS服務提供商需要完成資源池化,、服務和產品設計與組裝以及服務產品交付等方面的工作[1]。
IaaS的技術架構是以數(shù)據(jù)中心IT基礎架構為基礎,,以滿足用戶需求的特定IT基礎架構為交付物的服務交付過程的層次化模型[2],,如圖1所示。
在IaaS的技術架構中,,通過采用資源池構建,、資源調度、服務封裝等手段,,可以將IT資產迅速轉變?yōu)榭山桓兜腎T服務,,從而實現(xiàn)了IaaS云的隨需自服務、資源池化,、快速擴展和服務可度量等特性,。
IaaS服務交付模型包含資產管理、資源管理,、服務管理和交付管理4個層次,。在IaaS設計中,邏輯結構如圖2所示,。
2 IaaS的信息安全系統(tǒng)
從表面上看,,云計算更注重共享與彈性,而信息安全則考慮信息的封閉與權限,,二者似乎是一對矛盾,,但只有解決了這個問題,才能實施好云計算,。所以如何平衡這兩方面是設計的主題,。IaaS系統(tǒng)安全體系是以安全域為經、以安全等級框架為緯,,對安全域逐個進行威脅和風險分析,,從而形成信息系統(tǒng)安全體系。
2.1 安全架構
(1)策略與組織:安全環(huán)境的治理與管理,;
(2)資產分類:確定出需要保護的資產,;
(3)風險管理:需要保護的原因,;
(4)安全保護方法:如何保護這些資產。
2.2 安全域
信息系統(tǒng)安全域需要對IaaS進行實施環(huán)境的評估調查,,參照信息保障體系的建模方法,,按照威脅與風險分析,將信息資產劃分為若干安全域,,并根據(jù)不同的安全等級部署安全訪問策略,。
在設計時綜合考慮IaaS的等級化安全域,根據(jù)信息系統(tǒng)的功能特性,、安全價值以及面臨威脅的相似性,,將其劃分成計算區(qū)域、網(wǎng)絡基礎設施,、區(qū)域邊界和安全基礎設施四大類安全域,。
安全域有兩個特征,即同一安全域內的系統(tǒng)有相同安全保護需求并相互信任,,同時安全域內部又可以分為安全子域甚至更細,。安全域所遵循的根本原則是:業(yè)務保障原則、結構簡化原則,、等級保護原則,、立體協(xié)防原則及生命周期原則[3]。
在設計時,,可以根據(jù)相關規(guī)范,,結合IaaS的應用現(xiàn)狀,通過VRF技術將IaaS劃分為邏輯上的業(yè)務網(wǎng)絡和網(wǎng)管網(wǎng)絡,,每個網(wǎng)絡均是一個安全域,。兩個安全域的數(shù)據(jù)交互將通過內聯(lián)業(yè)務系統(tǒng)區(qū)的防火墻來進行控制。下文以某省級電信運營商IaaS為例進行安全域設計,,示意圖如圖3所示,。
2.3 安全體系
IaaS的整體性安全體系基于分層的方法,包括以下所有方面:建筑物(例如非法闖入),、系統(tǒng)(例如角色與安全),、存儲(例如訪問與轉換規(guī)則)及網(wǎng)絡(例如訪問組件,如防火墻,,入侵檢測等),。
在設施內,采用結構,、技術或組織上的方式,,使不同功能和/或不同安全等級的區(qū)域相互分隔,在區(qū)域之間進行人員和貨物上的調配應受到控制和監(jiān)視[4],。
IaaS的安全系統(tǒng)設計主要是將安全防護,、安全訪問,、安全審計等安全屬性注入服務總線之中,構建安全系統(tǒng),。
2.3.1 安全屬性
(1)安全防護,。主要指防火墻、入侵防護,、病毒防護等,。設計成2重結構,在網(wǎng)絡骨干設置骨干防火墻,、IDS/IDP和病毒墻,對整體IaaS進行防護,;在每個VDC中,,采用分布式防火墻等設備進行個性化防護。
(2)安全訪問,。IaaS主要有管理員,、服務經理和用戶3個角色。欲保證這些角色的安全訪問,,設計基于LDAP的用戶訪問管理,,應用SSO單點登錄技術、PKI/CA技術,、權限管理技術等,,為用戶提供高安全等級的安全服務。這些服務包括用戶管理服務,、統(tǒng)一用戶身份,、認證服務、加/解密服務及數(shù)字簽名服務,。
2.3.2 安全審計
安全審計在信息安全中容易被忽視,,但卻是商用系統(tǒng)信息安全最關鍵的部分。根據(jù)IaaS 的特點,,需要對各類操作建立日志并分析審計,,包括虛擬機、數(shù)據(jù)庫,、數(shù)據(jù)傳輸,、VDC及各種配置與管理信息。通過建立安全審計中心完成安全審計,,以保證系統(tǒng)安全,。
3 IaaS的運維服務
通過在IaaS部署輕量級的網(wǎng)管和數(shù)據(jù)采集系統(tǒng),采集IT環(huán)境告警信息和監(jiān)控數(shù)據(jù)到運維中心,,運維中心實時監(jiān)控IaaS環(huán)境,;如遇到故障,,運維工程師在企業(yè)用戶允許的前提下遠程登錄到企業(yè)用戶IT環(huán)境并處理故障,從而提供IaaS的運維服務,。
系統(tǒng)分為運維中心和ubox兩部分,。運維中心是整個系統(tǒng)的核心,主要為企業(yè)用戶,、運維工程師,、管理員提供一個工作界面。ubox是一個輕量級的網(wǎng)管系統(tǒng),,收集監(jiān)控信息并上傳到運維中心,。
3.1 運維中心設計
運維中心是整個系統(tǒng)的核心,主要為企業(yè)客戶,、運維工程師,、業(yè)務管理員和系統(tǒng)管理員提供一個工作界面,包括企業(yè)客戶portal,、運維工程師portal,、運維管理、公共信息和系統(tǒng)管理等模塊,。
企業(yè)客戶portal是企業(yè)客戶登錄運維中心以后可以訪問的內容,,包括告警管理、設備管理,、服務訂單查詢,、服務請求、故障報告查詢和運維報表查詢,。
運維工程師portal是運維工程師登錄后工作的界面,,包括工作臺、客戶管理,、客戶設備監(jiān)控,、遠程協(xié)同、任務管理和在線問答,。
運維管理模塊主要有訂單管理,、Case管理、任務調度,、服務目錄管理,、運維報表管理、分析統(tǒng)計等功能,;公共信息模塊主要描述公共網(wǎng)站的功能,,包括首頁、用戶注冊,、服務產品列表,、購物車等功能,;系統(tǒng)管理包括人員管理、權限管理,、角色管理等功能,。
3.2 ubox設計
ubox主要作為運維中心的客戶端,一方面為運維中心收集告警和監(jiān)控數(shù)據(jù),,另一方面作為遠程協(xié)同的網(wǎng)關,;此外,ubox還是一個輕型的網(wǎng)管系統(tǒng),,企業(yè)用戶使用它來監(jiān)控IT環(huán)境,,定制運維報表。
ubox包括監(jiān)控管理,、報警管理,、拓撲管理、報表管理,、遠程協(xié)同操作服務、數(shù)據(jù)上傳服務等模塊,。本系統(tǒng)運維中心主要采用SOA面向服務的架構方法論和基于jquery+spring+hibernate(Ssh架構)的J2EE架構,。Ssh框架是目前較流行的一種Web應用程序開源框架,以幫助開發(fā)人員在短期內搭建結構清晰,、可復用性好,、維護方便的Web應用程序。ubox采用開源網(wǎng)管軟件zenoss,,實現(xiàn)企業(yè)客戶IT環(huán)境設備監(jiān)控,、告警及數(shù)據(jù)采集。運維中心與ubox之間通信采用加密的https和sftp安全協(xié)議,。
4 實踐效果
根據(jù)以上IaaS平臺實現(xiàn)原理及設計,,在調研某電信用戶的實際需求之后,實現(xiàn)了集成VMware X86虛擬化平臺和IBM Power小型機虛擬化平臺的IaaS綜合運營支撐平臺,。
此IaaS平臺共有五大功能模塊:資產管理,、資源管理、服務管理,、交付管理和系統(tǒng)管理模塊,。目前,系統(tǒng)用戶實施已完成并安全運行了1年,,得到用戶的好評,,是國內不多的、穩(wěn)定運行的IaaS,。
本文設計主要的優(yōu)勢與特點是:
(1)在IaaS的實施中,大多數(shù)方案只關注虛擬化的實施,、資源池化等問題,,而信息安全與運維服務問題往往得不到解決,使得云計算停留在虛擬化層次,,只發(fā)揮了部分效能,。本文針對信息安全及運維服務,總結了方法路線及相關實施路徑,,特別設計的信息安全系統(tǒng)和運維服務系統(tǒng),解決了困擾IaaS落地實施的關鍵問題,經過在電信等行業(yè)實際應用,并進一步改進,有力地保障了IaaS系統(tǒng)的穩(wěn)定可靠運行,,得到了用戶的好評。
(2)在信息安全方面的安全域規(guī)劃創(chuàng)新地解決了共享與安全的矛盾,,平衡了系統(tǒng)的成本,、操作、合規(guī)各方面,。
(3)將多個虛擬化計算平臺統(tǒng)一在同一個管理平臺之上,,統(tǒng)一了虛擬化資源視圖,使得管理更加便捷方便,。
(4)將多個虛擬化計算平臺統(tǒng)一在同一個管理平臺之上,,可以更加有效地幫助用戶梳理業(yè)務流程,幫助業(yè)務的發(fā)展,。
參考文獻
[1] 劉鵬.云計算(第2版)[M].北京:電子工業(yè)出版社,,2011.
[2] 雷萬云.云計算:技術、平臺及應用案例[M].北京:清華大學出版社,,2011.
[3] 中國移動通信有限公司.中國移動企業(yè)信息化安全域規(guī)范[S].2004.
[4] 張敏波.網(wǎng)絡安全實戰(zhàn)詳解[M].北京:電子工業(yè)出版社,,2008.