云計算是一種以互聯網為基礎的新興計算機應用技術,它融合了分布式計算、效用計算、并行計算、網格計算、網絡存儲、虛擬化等傳統計算機和網絡技術,形成了一整套新的標準和模式,“云計算”概念也迅速運用到生產環(huán)境中,各種“云計算”的應服務范圍正日漸擴大,影響力也無可估量。通俗的講,云計算就是讓你把所有數據處理任務都交給網絡來進行,由企業(yè)級數據中心負責處理客戶電腦上的數據任務,這樣就可以通過一個數據中心向使用多種不同設備的用戶提供數據服務,從而為個人用戶節(jié)省硬件資源。本文介紹的云平臺安全措施主要是面向VMware系列云計算平臺的。
1、云安全簡介
當前,典型的企業(yè)私有云計算平臺拓撲結構如圖1所示。
云計算方興未艾,針對云計算平臺的安全性研究也在不斷進行,盡管云計算存在安全問題,但它仍然給信息安全帶來了機遇。在云計算方式下,數據是集中存儲的,這樣至少給數據安全帶來了兩個好處:
(1)降低了數據被盜、被破壞和外泄的可能。這也是云計算服務商討論最多的一個優(yōu)點。只要用戶能夠接入Internet,就能根據需要隨時進行訪問,根本就用不著自己隨身攜帶,也用不著自己去維護或維修。
(2)能夠更容易地對數據進行安全監(jiān)測。數據集中存儲在一個或若干個數據中心,數據中心的管理者可以對數據進行統一管理,負責資源的分配、負載的均衡、軟件的部署、安全的控制,并能更可靠地進行數據安全的實時監(jiān)測以及數據的及時備份和恢復。
雖然云計算本身為安全做出了貢獻,但是由于云計算的復雜性、用戶的動態(tài)性等特點,安全問題仍是云計算發(fā)展所面臨的巨大挑戰(zhàn),如何確保云計算環(huán)境不同主體之間相互鑒別、信任和各個主體問通信機密性和完整性,計算的可用性和機密性[3],使云計算環(huán)境可以適用不同性質的安全要求,都是急需解決的問題。
2、基于企業(yè)云平臺的云安全研究
隨著企業(yè)信息化的發(fā)展,生產和辦公場所對于移動辦公有著迫切的需求,例如移動文件瀏覽和批閱等一些現實需求。同時企業(yè)業(yè)務發(fā)展需要依托先進的信息化平臺來進行有力支撐,高性能計算集群、三維可視化圖形工作站、海量的數據存儲設備以及功能各異的專業(yè)應用軟件可以為更加精準、更加高效的綜合決策提供堅實的技術保障,上述的企業(yè)需求需要一個全新的服務平臺進行支持,云計算就是這樣一個全新的平臺,它使得服務的交付模式向云端轉移,所有用戶都可以獲得低成本、高性能、快速配置和海量云計算服務支持。然而,安全問題始終是云平臺正常投入使用所面臨的最大問題和隱患,服務安全、數據安全、個人隱私等安全問題都要求必須根據企業(yè)實際業(yè)務,建立一套完整的云平臺安全保障體系,并基于經濟因素的考慮要盡量將企業(yè)原有安全基礎設施與云平臺進行很好的融合,同時對云平臺性能與安全這對矛盾體進行分析研究,找到最佳平衡點,使得云平臺更加安全可靠。圖2顯示了一個完整的云安全體系架構,覆蓋了物理層、鏈路層、網絡層、傳輸層及應用層,采取了盡可能多的安全措施來保障企業(yè)私有云平臺的安全運行,但是如何發(fā)揮各個安全手段的作用,避免相互之間的矛盾;如何在保障安全的條件下,盡可能減少系統用于安全監(jiān)控的開銷是需要著重解決的問題。本文介紹的企業(yè)主要采用的安全措施有ukey認證、訪問控制、數據加密和入侵檢測等手段。
2.1 ukey統一身份認證安全措施
面對日益復雜的網絡環(huán)境,普通的網絡接入認證已經不能滿足安全需要,難以確定用戶身份,保證數據的隱私性,而ukey 是用來進行一些特殊業(yè)務的準入認證。利用ukey 認證作為云平臺的安全接入認證不僅能夠提高云平臺的安全性,也能夠使ukey 發(fā)揮最大效能,充分利用ukey 高可靠性的特點實現對云計算資源的保護,防止無授權用戶的非法操作。SSL VPN是基于SSL 協議采用虛擬專用網的方式為遠程用戶提供的一種安全通信服務,采用ukey 認證與SSL VPN 技術相結合,能夠大幅度提高云平臺的安全。
京公網安備 11010502049343號