专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

云计算IaaS平台的信息安全和运维服务设计
2014-02-10 13:55:16 来源:万方数据 作者:佚名【
关键词:云计算 IaaS 信息安全 基础架构
 
随着云计算技术的不断发展及云计算商业模式的不断明晰,其完整的产业链也在不断地完善,无论是公有云、私有云还是混合云,均得到进一步深化。云计算的信息安全和运维服务问题越来越被人们所关注,一直是云计算实施的国际热点问题,在企业私有云领域,更是成为是否采纳云计算的首要问题。

  随着云计算技术的不断发展及云计算商业模式的不断明晰,其完整的产业链也在不断地完善,无论是公有云、私有云还是混合云,均得到进一步深化。云计算的信息安全和运维服务问题越来越被人们所关注,一直是云计算实施的国际热点问题,在企业私有云领域,更是成为是否采纳云计算的首要问题。在我国云计算标准工作中,信息安全、运维服务也是被关注的重点。

  针对云计算的信息安全、运维服务这些国际热点问题,在IaaS云特别是企业私有云领域,综合平衡商用关键、综合成本、实用易用等因素,设计了信息安全系统和运维服务系统,并在国内多个行业实施取得了良好的效果。

  1、IaaS简介IaaS服务的核心思想是以服务产品的形式向用户交付各种能力,而这些能力直接来自各种资源池,因此IaaS服务提供商需要完成资源池化、服务和产品设计与组装以及服务产品交付等方面的工作。

  IaaS的技术架构是以数据中心IT基础架构为基础,以满足用户需求的特定IT基础架构为交付物的服务交付过程的层次化模型,如图1所示。

  在IaaS的技术架构中,通过采用资源池构建、资源调度、服务封装等手段,可以将IT资产迅速转变为可交付的IT服务,从而实现了IaaS云的随需自服务、资源池化、快速扩展和服务可度量等特性。

  IaaS服务交付模型包含资产管理、资源管理、服务管理和交付管理4个层次。在IaaS设计中,逻辑结构如图2所示。

  2、IaaS的信息安全系统从表面上看,云计算更注重共享与弹性,而信息安全则考虑信息的封闭与权限,二者似乎是一对矛盾,但只有解决了这个问题,才能实施好云计算。所以如何平衡这两方面是设计的主题。IaaS系统安全体系是以安全域为经、以安全等级框架为纬,对安全域逐个进行威胁和风险分析,从而形成信息系统安全体系。

  2.1安全架构(I)策略与组织:安全环境的治理与管理;(2)资产分类:确定出需要保护的资产;(3)风险管理:需要保护的原因;(4)安全保护方法:如何保护这些资产。

  2.2安全域信息系统安全域需要对IaaS进行实施环境的评估调查,参照信息保障体系的建模方法,按照威胁与风险分析,将信息资产划分为若干安全域,并根据不同的安全等级部署安全访问策略。

  在设计时综合考虑IaaS的等级化安全域,根据信息系统的功能特性、安全价值以及面临威胁的相似性,将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类安全域。

  安全域有两个特征,即同一安全域内的系统有相同安全保护需求并相互信任,同时安全域内部又可以分为安全子域甚至更细。安全域所遵循的根本原则是:业务保障原则、结构简化原则、等级保护原则、立体协防原则及生命周期原则。

  在设计时,可以根据相关规范,结合IaaS的应用现状,通过VRF技术将IaaS划分为逻辑上的业务网络和网管网络,每个网络均是一个安全域。两个安全域的数据交互将通过内联业务系统区的防火墙来进行控制。下文以某省级电信运营商IaaS为例进行安全域设计,示意图如图3所示。

  2.3安全体系IaaS的整体性安全体系基于分层的方法,包括以下所有方面:建筑物(例如非法闯入)、系统(例如角色与安全)、存储(例如访问与转换规则)及网络(例如访问组件,如防火墙,人侵检测等)。

  在设施内,采用结构、技术或组织上的方式,使不同功能和/或不同安全等级的区域相互分隔,在区域之间进行人员和货物上的调配应受到控制和监视。

  IaaS的安全系统设计主要是将安全防护、安全访问、安全审计等安全属性注人服务总线之中,构建安全系统。

  2.3.1安全属性(1)安全防护。主要指防火墙、人侵防护、病毒防护等。设计成2重结构,在网络骨干设置骨干防火墙、IDS /IDP和病毒墙,对整体IaaS进行防护;在每个VDC中,采用分布式防火墙等设备进行个性化防护。

  (2)安全访问。IaaS主要有管理员、服务经理和用户3个角色。欲保证这些角色的安全访问,设计基于LDAP的用户访问管理,应用SSO单点登录技术、PKI/CA技术、权限管理技术等,为用户提供高安全等级的安全服务。这些服务包括用户管理服务、统一用户身份、认证服务、加/解密服务及数字签名服务。

  2.3.2安全审计安全审计在信息安全中容易被忽视,但却是商用系统信息安全最关键的部分。根据IaaS的特点,需要对各类操作建立日志并分析审计,包括虚拟机、数据库、数据传输、VDC及各种配置与管理信息。通过建立安全审计中心完成安全审计,以保证系统安全。

  3、IaaS的运维服务通过在IaaS部署轻量级的网管和数据采集系统,采集IT环境告警信息和监控数据到运维中心,运维中心实时监控IaaS环境;如遇到故障,运维工程师在企业用户允许的前提下远程登录到企业用户IT环境并处理故障,从而提供IaaS的运维服务。

  系统分为运维中心和ubox两部分。运维中心是整个系统的核心,主要为企业用户、运维工程师、管理员提供一个工作界面。ubox是一个轻量级的网管系统,收集监控信息并上传到运维中心。

  3.1运维中心设计运维中心是整个系统的核心,主要为企业客户、运维工程师、业务管理员和系统管理员提供一个工作界面,包括企业客户portal、运维工程师portal、运维管理、公共信息和系统管理等模块。

  企业客户portal是企业客户登录运维中心以后可以访问的内容,包括告警管理、设备管理、服务订单查询、服务请求、故障报告查询和运维报表查询。

  运维工程师portal是运维工程师登录后工作的界面,包括工作台、客户管理、客户设备监控、远程协同、任务管理和在线问答。

  运维管理模块主要有订单管理、Case管理、任务调度、服务目录管理、运维报表管理、分析统计等功能;公共信息模块主要描述公共网站的功能,包括首页、用户注册、服务产品列表、购物车等功能;系统管理包括人员管理、权限管理、角色管理等功能。

  3.2 ubox设计ubox主要作为运维中心的客户端,一方面为运维中心收集告警和监控数据,另一方面作为远程协同的网关;此外,ubox还是一个轻型的网管系统,企业用户使用它来监控IT环境,定制运维报表。

  ubox包括监控管理、报警管理、拓扑管理、报表管理、远程协同操作服务、数据上传服务等模块。

  本系统运维中心主要采用SOA面向服务的架构方法论和基于jquery+spring+hibernate ( SSH架构)的J2EE架构。

  SSH框架是目前较流行的一种Web应用程序开源框架,以帮助开发人员在短期内搭建结构清晰、可复用性好、维护方便的Web应用程序。ubox采用开源网管软件zenoss,实现企业客户IT环境设备监控、告警及数据采集。运维中心与ubox之间通信采用加密的hops和sftp安全协议。

  4、实践效果根据以上IaaS平台实现原理及设计,在调研某电信用户的实际需求之后,实现了集成VMware X86虚拟化平台和IBM Power小型机虚拟化平台的IaaS综合运营支撑平台。

  此IaaS平台共有五大功能模块:资产管理、资源管理、服务管理、交付管理和系统管理模块。目前,系统用户实施已完成并安全运行了1年,得到用户的好评,是国内不多的、稳定运行的IaaS。

  本文设计主要的优势与特点是:

  (1)在IaaS的实施中,大多数方案只关注虚拟化的实施、资源池化等问题,而信息安全与运维服务问题往往得不到解决,使得云计算停留在虚拟化层次,只发挥了部分效能。本文针对信息安全及运维服务,总结了方法路线及相关实施路径,特别设计的信息安全系统和运维服务系统,解决了困扰IaaS落地实施的关键问题,经过在电信等行业实际应用,并进一步改进,有力地保障了IaaS系统的稳定可靠运行,得到了用户的好评。

  (2)在信息安全方面的安全域规划创新地解决了共享与安全的矛盾,平衡了系统的成本、操作、合规各方面。

  (3)将多个虚拟化计算平台统一在同一个管理平台之上,统一了虚拟化资源视图,使得管理更加便捷方便。

  (4)将多个虚拟化计算平台统一在同一个管理平台之上,可以更加有效地帮助用户梳理业务流程,帮助业务的发展。

      

责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇谷歌眼镜存在安全漏洞:可执行恶..
下一篇细数移动恶意软件诞生以来的10周年

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259