精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:云計算云安全 → 正文

云計算數(shù)據(jù)中心安全體系架構(gòu)淺析

責(zé)任編輯:zsheng |來源:企業(yè)網(wǎng)D1Net  2018-09-08 10:22:37 本文摘自:西部數(shù)碼

建立數(shù)據(jù)中心的目的是為了更好地利用數(shù)據(jù)、挖掘數(shù)據(jù),向數(shù)據(jù)要效益。在數(shù)據(jù)中心中應(yīng)用云計算技術(shù)則是一個必然的趨勢。而從數(shù)據(jù)中心獲得效益就必須有一個相對安全穩(wěn)定的環(huán)境作為支撐,因此研究云計算數(shù)據(jù)中心的信息安全體系架構(gòu)具有重要意義。

一、云計算綜述

(一)云計算簡介

云計算指IT基礎(chǔ)設(shè)施的交付和使用模式,指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需資源。從更深層次的角度來看,也可以不局限于IT基礎(chǔ)設(shè)施,可以將其擴(kuò)展到服務(wù)的層面。這種服務(wù)可以是IT和軟件、互聯(lián)網(wǎng)相關(guān),也可以是其他服務(wù)。它的核心思想是,統(tǒng)一管理和調(diào)度大量用網(wǎng)絡(luò)連接的計算資源,構(gòu)成一個計算資源池向用戶提供按需服務(wù)。提供資源的網(wǎng)絡(luò)被為“云”。

“云”中的資源在使用者看來是可以無限擴(kuò)展的,并且可以隨時獲取、按需使用、隨時擴(kuò)展。簡單來說,云計算系統(tǒng)可以看成是有網(wǎng)絡(luò)瀏覽器和“云”兩部分構(gòu)成,而云就是由內(nèi)部互連的眾多虛擬機(jī)組成的并行分布式計算系統(tǒng),能夠根據(jù)服務(wù)提供商和客戶之間協(xié)商好的服務(wù)等級協(xié)議動態(tài)提供計算資源。

云計算的基本原理是,計算在大量的分布式計算機(jī)上完成,而不是在本地計算機(jī)或遠(yuǎn)程服務(wù)器中完成,數(shù)據(jù)中心的運(yùn)行將更與互聯(lián)網(wǎng)相似。資源可以被便捷地切換到需要的應(yīng)用上,用戶可以根據(jù)需求訪問計算機(jī)和存儲系統(tǒng)。在以云計算模型作為基礎(chǔ)的數(shù)據(jù)中心里,用戶對于軟硬件設(shè)施的依賴大大降低,他們使用的僅僅是由數(shù)據(jù)中心提供的服務(wù),“一切即服務(wù)”(XaaS)。

作為云計算的重要特征,“一切即服務(wù)”分為3方面,基礎(chǔ)設(shè)施即服務(wù)(InfrastructureasaService,IaaS)、平臺即服務(wù)(PlatformasaService,PaaS)和軟件即服務(wù)(SoftwareasaService,SaaS)。從云計算的技術(shù)架構(gòu)角度來看,IaaS包含了機(jī)房設(shè)備等所有的基礎(chǔ)設(shè)施資源。PaaS位于IaaS的上一層,為用戶提供一個集應(yīng)用開發(fā)、中間件使用以及數(shù)據(jù)庫、消息和隊列等功能于一身的平臺。PaaS允許開發(fā)者在該平臺之上開發(fā)應(yīng)用,所使用的編程語言和工具由PaaS支持提供。SaaS位于IaaS和PaaS之上,能夠提供獨立的運(yùn)行環(huán)境,用來為用戶提供完整的使用體驗,包括內(nèi)容展現(xiàn)和應(yīng)用管理等。

(二)云計算的優(yōu)勢與劣勢

作為一種新興的系統(tǒng)模型,云計算有其獨到的優(yōu)勢。第一,容易部署和配置方便,在公有云中,用戶可以通過Internet輕松訪問,而在私有云中,用戶則可以通過自建局域網(wǎng)獲取服務(wù)。第二,可擴(kuò)展性保證了云計算模型可以從小型的驗證性模型平滑擴(kuò)展到大型數(shù)據(jù)中心的建設(shè)上,可以同時為大量的節(jié)點提供數(shù)據(jù)服務(wù)。

第三,云計算具有高可用性的特點,在整個模型中,即使一部分計算節(jié)點失效,也不會影響向用戶提供服務(wù)。第四,建設(shè)成本降低。云計算是一種規(guī)模經(jīng)濟(jì),規(guī)模越大,相對建設(shè)成本就越低。第五,資源共享變得更加容易。第六,有助于實現(xiàn)集中化管理,降低管理和維護(hù)成本。

同時,云計算在實際應(yīng)用中也有一些缺陷。第一,安全性有待提高,從2008年~2010年,全球發(fā)生了若干起數(shù)據(jù)中心信息安全事件,其中有80%的事件出現(xiàn)在基于云計算模型建設(shè)的數(shù)據(jù)中心。第二,服務(wù)質(zhì)量的保障。第三,在由傳統(tǒng)數(shù)據(jù)中心平臺遷移到云計算數(shù)據(jù)中心時,可能會出現(xiàn)分布式業(yè)務(wù)的平滑過渡問題。

(三)遷移到云環(huán)境后的收益

云計算技術(shù)的推出將為數(shù)據(jù)中心帶來增強(qiáng)數(shù)據(jù)安全性、加快信息共享速度、提高服務(wù)質(zhì)量、降低運(yùn)營成本等益處。

第一,增強(qiáng)數(shù)據(jù)處理能力。通過把云計算技術(shù)與數(shù)據(jù)挖掘技術(shù)相結(jié)合,可以從海量數(shù)據(jù)中快速提取出有價值的信息,為機(jī)構(gòu)的決策提供服務(wù)。分布在云中成千上萬的計算機(jī)群提供強(qiáng)大的計算能力,并通過網(wǎng)絡(luò)將龐大的計算處理程序拆分成無數(shù)個較小的子程序。云計算技術(shù)能在短時間內(nèi)對大量的業(yè)務(wù)數(shù)據(jù)進(jìn)行存儲、分析、處理、挖掘、關(guān)聯(lián),從而極大地增強(qiáng)了數(shù)據(jù)處理能力。

第二,增強(qiáng)數(shù)據(jù)的存儲能力和可靠性。一方面,云中的眾多服務(wù)器正好可以提供強(qiáng)大的存儲能力,網(wǎng)絡(luò)中不同類型的大量存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作,滿足業(yè)務(wù)不斷增長帶來的龐大數(shù)據(jù)存儲需要。另—方面,云計算也提高數(shù)據(jù)的可靠性。即使某臺服務(wù)器出現(xiàn)故障,其他服務(wù)器也可以在極短時間內(nèi)快速將其數(shù)據(jù)備份到其他服務(wù)器上,并啟動新的服務(wù)器以提供服務(wù)。

第三,降低數(shù)據(jù)中心運(yùn)營成本,提高運(yùn)營效率。隨著業(yè)務(wù)的不斷發(fā)展,逐漸從一個地區(qū)擴(kuò)展到其他地區(qū),分支機(jī)構(gòu)不斷增多。為此不得不花費(fèi)大量的資金購買數(shù)量眾多的計算機(jī)設(shè)備,從而造成數(shù)據(jù)中心運(yùn)營成本急劇上升。如果采用云計算技術(shù),就能像規(guī)模經(jīng)濟(jì)靠攏,長遠(yuǎn)看來是可以極大的降低運(yùn)行成本,提高運(yùn)營效率。

二、云計算的安全性

云計算數(shù)據(jù)中心面臨的安全風(fēng)險分為3個層面,共4類。34個層面分別為數(shù)據(jù)、應(yīng)用和虛擬化,4類分別為傳輸安全、存儲安全、恢復(fù)安全和審計安全,其中傳輸安全為數(shù)據(jù)層面所獨有。

為化解上述安全風(fēng)險,目前可以采用的技術(shù)有以下幾種。

1.資源訪問控制。在云環(huán)境中,資源被分為若干訪問區(qū)域,用戶有跨區(qū)域共享數(shù)據(jù)的權(quán)利,但需要在每個區(qū)域設(shè)置身份認(rèn)證和身份管理策略,同時設(shè)置訪問控制策略。資源訪問控制技術(shù)主要解決優(yōu)先訪問權(quán)、管理權(quán)限等風(fēng)險。

2.數(shù)據(jù)存在與可使用性。云計算數(shù)據(jù)中心與傳統(tǒng)數(shù)據(jù)中心相比,數(shù)據(jù)規(guī)模更大,而大規(guī)模的數(shù)據(jù)會使數(shù)據(jù)中心在提供服務(wù)時面臨巨大的通信壓力。數(shù)據(jù)在傳輸和使用中會出現(xiàn)正確性和可靠性無法保證的情況,而在服務(wù)高效率的要求下,等到數(shù)據(jù)完全傳輸?shù)奖镜卦贆z查其準(zhǔn)確性和可靠性是不現(xiàn)實的,因此需要通過數(shù)據(jù)存在與可使用性技術(shù)來判斷遠(yuǎn)端數(shù)據(jù)是否正確可用。

3.數(shù)據(jù)隱私保護(hù)。該技術(shù)主要是應(yīng)對云計算數(shù)據(jù)中心的數(shù)據(jù)泄漏風(fēng)險。

4.虛擬化安全。數(shù)據(jù)中心在向云計算平臺遷移的過程中必然要使用到虛擬化技術(shù),該技術(shù)一般應(yīng)用在PaaS層面中,因此保證虛擬化平臺的安全對于云數(shù)據(jù)中心的整體安全是非常重要的。

5.可信的云計算平臺。云計算平臺分為公有云和私有云兩類,私有云計算平臺一般為用戶自行搭建,不使用公共網(wǎng)絡(luò)中云服務(wù)提供商的服務(wù)。而公有云計算平臺則涉及使用第三方云服務(wù)提供商的產(chǎn)品,可信的云計算平臺技術(shù)可以保證云平臺,特別是公有云平臺的可靠性和持久性。

三、傳統(tǒng)數(shù)據(jù)中心的信息安全體系架構(gòu)

傳統(tǒng)數(shù)據(jù)中心所面臨的安全威脅主要來自3個方面,一是面向應(yīng)用層的攻擊,二是面向網(wǎng)絡(luò)層的攻擊,三是面向基礎(chǔ)設(shè)施的攻擊(這里的基礎(chǔ)設(shè)施是指網(wǎng)絡(luò)、主機(jī)等信息系統(tǒng)硬件設(shè)施)。因此傳統(tǒng)數(shù)據(jù)中心的信息安全防護(hù)體系一般按照“多層防護(hù)、分區(qū)規(guī)劃、分層部署”的原則來進(jìn)行。

(一)多層防護(hù)

多層防護(hù)大體上分為3層,第一層是高性能硬件防火墻,第二層是具有高性能檢測引擎的IDS甚至是IPS,第三層是具有豐富安全功能的路由器和交換機(jī)。這種分層方式比較宏觀,從更微觀的角度來看,根據(jù)0SI7層模型,數(shù)據(jù)中心還建立了從鏈路層到應(yīng)用層的非常具體的信息安全防護(hù)體系,例如防病毒網(wǎng)關(guān)、數(shù)據(jù)防泄漏等防護(hù)手段和防護(hù)設(shè)備。

(二)分區(qū)規(guī)劃、分層部署

數(shù)據(jù)中心存在不同價值和易受攻擊程度不同的設(shè)備,按照這些設(shè)備的情況制定不同的安全策略和信任模型,將數(shù)據(jù)中心劃分為不同區(qū)域,這就是分區(qū)規(guī)劃。通常,數(shù)據(jù)中心根據(jù)不同的信任級別可以劃分為遠(yuǎn)程接入?yún)^(qū)、Internet服務(wù)器區(qū)、局域網(wǎng)外部服務(wù)器區(qū)、局域網(wǎng)內(nèi)部服務(wù)器區(qū)、管理區(qū)、核心區(qū)等。

傳統(tǒng)數(shù)據(jù)中心的分層架構(gòu)除了體現(xiàn)在傳統(tǒng)的網(wǎng)絡(luò)3層部署(接入層、匯聚層、核心層)上,還體現(xiàn)在應(yīng)用系統(tǒng)的設(shè)計部署上。多層架構(gòu)把應(yīng)用服務(wù)器分解成可管理的、安全的層次,這樣可以避免將所有功能都駐留在單一服務(wù)器時帶來的安全隱患,增強(qiáng)了擴(kuò)展性和高可用性。

(三)安全防護(hù)技術(shù)

根據(jù)傳統(tǒng)數(shù)據(jù)中心的信息安全架構(gòu),有多種安全防護(hù)技術(shù)對其進(jìn)行支撐。安全防護(hù)技術(shù)同樣分為3個層次。第一層是數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)施防護(hù)技術(shù),包括基于VLAN的端口隔離、STPRoot/BPDUGuard、端口安全。第二層是數(shù)據(jù)中心邊界防護(hù)技術(shù),包括防火墻的使用和管理等。第三層是數(shù)據(jù)中心應(yīng)用安全防護(hù)技術(shù),包括病毒防護(hù)、數(shù)據(jù)泄漏防護(hù)、數(shù)據(jù)存儲防護(hù)等。

四、云環(huán)境下數(shù)據(jù)中心的信息安全體系架構(gòu)

在建設(shè)云計算數(shù)據(jù)中心時,由于資源整合程度和共享程度很高,不論是數(shù)據(jù)安全、應(yīng)用安全還是虛擬化安全,都以服務(wù)的方式交付給數(shù)據(jù)中心用戶。在這種建設(shè)思路的指引下,云計算數(shù)據(jù)中心的信息安全體系和傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)體系差別很大,歸結(jié)起來主要有以下幾個方面。

(一)新增虛擬化安全要求

云計算數(shù)據(jù)中心的虛擬化分為軟件虛擬化和硬件虛擬化。所謂軟件虛擬化是指將軟件直接部署在實體機(jī)上,提供創(chuàng)建、運(yùn)行和撤銷虛擬服務(wù)器的能力。在這種情況下,用戶具有了同時操作多臺虛擬服務(wù)器的條件,所以必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層,例如建立嚴(yán)格的控制措施,限制對于Hypervisor和其他虛擬化層次的物理和邏輯訪問控制。硬件虛擬化的安全可以借鑒物理服務(wù)器的安全措施,主要從實體機(jī)選擇、虛擬服務(wù)器安全和日常管理3個方面來制定安全防護(hù)方案。另外,在資源高度整合的條件下,對資源的按需分配、數(shù)據(jù)之間的安全隔離提出了更高的要求,安全設(shè)備應(yīng)適應(yīng)云計算數(shù)據(jù)中心虛擬化要求。

(二)安全邊界混雜

傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)體系建設(shè)的一個重要思路就是基于邊界的安全隔離和訪問控制,并且強(qiáng)調(diào)分區(qū)規(guī)劃,分層防護(hù)。但是在云計算數(shù)據(jù)中心里,資源高度整合,基礎(chǔ)設(shè)施架構(gòu)統(tǒng)一化,安全設(shè)備的部署邊界已經(jīng)變得十分模糊,甚至有消失的趨勢。

(三)安全威脅發(fā)現(xiàn)和處理作用范圍變大

在傳統(tǒng)數(shù)據(jù)中心里,安全威脅的信息來源主要是客戶端上部署的安全軟件和網(wǎng)絡(luò)中部署的硬件安全產(chǎn)品。管理人員在得到信息后,可以在很短的時間內(nèi)對安全威脅進(jìn)行處理,但這種處理是分區(qū)域的,也就是說無法做到整個數(shù)據(jù)中心的集中防范和集中處理,無法形成整體的安全防護(hù)。而在云計算數(shù)據(jù)中心里,安全威脅的感知和處理都將趨于統(tǒng)一,信息共享率極高,安全防護(hù)體系比傳統(tǒng)數(shù)據(jù)中心的體系更加宏觀,防護(hù)范圍更大。根據(jù)云計算數(shù)據(jù)中心信息安全體系建設(shè)的新情況,云計算數(shù)據(jù)中心的信息安全防護(hù)可以從以下幾個方面綜合考慮。

1.注重對虛擬化的支持

虛擬化是云計算數(shù)據(jù)中心的關(guān)鍵技術(shù),現(xiàn)代化數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲資源、計算資源以及應(yīng)用資源都已經(jīng)在向虛擬化靠攏。無論是為了滿足不同用戶的需求,提供個性化資源服務(wù),還是為了利用邏輯隔離手段來保證數(shù)據(jù)安全,虛擬化都是一個非常好的選擇。因此,在建設(shè)云計算數(shù)據(jù)中心的安全防護(hù)體系時,對虛擬化的支持是十分重要的。

2.建設(shè)統(tǒng)一安全威脅防護(hù)系統(tǒng)

由于云計算數(shù)據(jù)中心的安全邊界已經(jīng)變得模糊不清,資源高度整合,管理員即使有能力對整個數(shù)據(jù)中心進(jìn)行分區(qū),也只能是基于邏輯的劃分,物理上的安全邊界已經(jīng)不復(fù)存在。在這種情況下,針對用戶單獨部署獨立的安全系統(tǒng)已不現(xiàn)實。安全設(shè)備的部署應(yīng)該從原來的基于各子系統(tǒng)的安全防護(hù),轉(zhuǎn)移到基于整個云計算數(shù)據(jù)中心的安全防護(hù),建設(shè)統(tǒng)一安全威脅防護(hù)系統(tǒng)。打個形象的比喻,云計算數(shù)據(jù)中心的安全威脅防護(hù)系統(tǒng)應(yīng)該像一個罩子,覆蓋住整個數(shù)據(jù)中心。

3.形成安全風(fēng)險陜速反應(yīng)機(jī)制

在云計算數(shù)據(jù)中心的安全建設(shè)中,充分利用云計算強(qiáng)大的資源共享能力和運(yùn)算能力,對安全風(fēng)險進(jìn)行快速反應(yīng)和處置,快速定位解析安全威脅,并將安全威脅的處置方式推送至整個數(shù)據(jù)中心,從而使所有的安全設(shè)備都具備對這種安全威脅的檢測能力。

五、總結(jié)

建立數(shù)據(jù)中心的目的是為了更好地利用數(shù)據(jù)、挖掘數(shù)據(jù),向數(shù)據(jù)要效益。在數(shù)據(jù)中心中應(yīng)用云計算技術(shù)則是一個必然的趨勢。而從數(shù)據(jù)中心獲得效益就必須有一個相對安全穩(wěn)定的環(huán)境作為支撐,因此研究云計算數(shù)據(jù)中心的信息安全體系架構(gòu)具有重要意義。云計算數(shù)據(jù)中心所面臨的當(dāng)務(wù)之急不是來自技術(shù)層面,而是來自管理層面。我國信息技術(shù)管理指導(dǎo)部門應(yīng)該盡快制定云計算數(shù)據(jù)中心的相關(guān)標(biāo)準(zhǔn),特別是信息安全標(biāo)準(zhǔn),以便及早進(jìn)行規(guī)范和管理。

關(guān)鍵字:架構(gòu)安全計算數(shù)據(jù)中心

本文摘自:西部數(shù)碼

x 云計算數(shù)據(jù)中心安全體系架構(gòu)淺析 掃一掃
分享本文到朋友圈
當(dāng)前位置:云計算云安全 → 正文

云計算數(shù)據(jù)中心安全體系架構(gòu)淺析

責(zé)任編輯:zsheng |來源:企業(yè)網(wǎng)D1Net  2018-09-08 10:22:37 本文摘自:西部數(shù)碼

建立數(shù)據(jù)中心的目的是為了更好地利用數(shù)據(jù)、挖掘數(shù)據(jù),向數(shù)據(jù)要效益。在數(shù)據(jù)中心中應(yīng)用云計算技術(shù)則是一個必然的趨勢。而從數(shù)據(jù)中心獲得效益就必須有一個相對安全穩(wěn)定的環(huán)境作為支撐,因此研究云計算數(shù)據(jù)中心的信息安全體系架構(gòu)具有重要意義。

一、云計算綜述

(一)云計算簡介

云計算指IT基礎(chǔ)設(shè)施的交付和使用模式,指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需資源。從更深層次的角度來看,也可以不局限于IT基礎(chǔ)設(shè)施,可以將其擴(kuò)展到服務(wù)的層面。這種服務(wù)可以是IT和軟件、互聯(lián)網(wǎng)相關(guān),也可以是其他服務(wù)。它的核心思想是,統(tǒng)一管理和調(diào)度大量用網(wǎng)絡(luò)連接的計算資源,構(gòu)成一個計算資源池向用戶提供按需服務(wù)。提供資源的網(wǎng)絡(luò)被為“云”。

“云”中的資源在使用者看來是可以無限擴(kuò)展的,并且可以隨時獲取、按需使用、隨時擴(kuò)展。簡單來說,云計算系統(tǒng)可以看成是有網(wǎng)絡(luò)瀏覽器和“云”兩部分構(gòu)成,而云就是由內(nèi)部互連的眾多虛擬機(jī)組成的并行分布式計算系統(tǒng),能夠根據(jù)服務(wù)提供商和客戶之間協(xié)商好的服務(wù)等級協(xié)議動態(tài)提供計算資源。

云計算的基本原理是,計算在大量的分布式計算機(jī)上完成,而不是在本地計算機(jī)或遠(yuǎn)程服務(wù)器中完成,數(shù)據(jù)中心的運(yùn)行將更與互聯(lián)網(wǎng)相似。資源可以被便捷地切換到需要的應(yīng)用上,用戶可以根據(jù)需求訪問計算機(jī)和存儲系統(tǒng)。在以云計算模型作為基礎(chǔ)的數(shù)據(jù)中心里,用戶對于軟硬件設(shè)施的依賴大大降低,他們使用的僅僅是由數(shù)據(jù)中心提供的服務(wù),“一切即服務(wù)”(XaaS)。

作為云計算的重要特征,“一切即服務(wù)”分為3方面,基礎(chǔ)設(shè)施即服務(wù)(InfrastructureasaService,IaaS)、平臺即服務(wù)(PlatformasaService,PaaS)和軟件即服務(wù)(SoftwareasaService,SaaS)。從云計算的技術(shù)架構(gòu)角度來看,IaaS包含了機(jī)房設(shè)備等所有的基礎(chǔ)設(shè)施資源。PaaS位于IaaS的上一層,為用戶提供一個集應(yīng)用開發(fā)、中間件使用以及數(shù)據(jù)庫、消息和隊列等功能于一身的平臺。PaaS允許開發(fā)者在該平臺之上開發(fā)應(yīng)用,所使用的編程語言和工具由PaaS支持提供。SaaS位于IaaS和PaaS之上,能夠提供獨立的運(yùn)行環(huán)境,用來為用戶提供完整的使用體驗,包括內(nèi)容展現(xiàn)和應(yīng)用管理等。

(二)云計算的優(yōu)勢與劣勢

作為一種新興的系統(tǒng)模型,云計算有其獨到的優(yōu)勢。第一,容易部署和配置方便,在公有云中,用戶可以通過Internet輕松訪問,而在私有云中,用戶則可以通過自建局域網(wǎng)獲取服務(wù)。第二,可擴(kuò)展性保證了云計算模型可以從小型的驗證性模型平滑擴(kuò)展到大型數(shù)據(jù)中心的建設(shè)上,可以同時為大量的節(jié)點提供數(shù)據(jù)服務(wù)。

第三,云計算具有高可用性的特點,在整個模型中,即使一部分計算節(jié)點失效,也不會影響向用戶提供服務(wù)。第四,建設(shè)成本降低。云計算是一種規(guī)模經(jīng)濟(jì),規(guī)模越大,相對建設(shè)成本就越低。第五,資源共享變得更加容易。第六,有助于實現(xiàn)集中化管理,降低管理和維護(hù)成本。

同時,云計算在實際應(yīng)用中也有一些缺陷。第一,安全性有待提高,從2008年~2010年,全球發(fā)生了若干起數(shù)據(jù)中心信息安全事件,其中有80%的事件出現(xiàn)在基于云計算模型建設(shè)的數(shù)據(jù)中心。第二,服務(wù)質(zhì)量的保障。第三,在由傳統(tǒng)數(shù)據(jù)中心平臺遷移到云計算數(shù)據(jù)中心時,可能會出現(xiàn)分布式業(yè)務(wù)的平滑過渡問題。

(三)遷移到云環(huán)境后的收益

云計算技術(shù)的推出將為數(shù)據(jù)中心帶來增強(qiáng)數(shù)據(jù)安全性、加快信息共享速度、提高服務(wù)質(zhì)量、降低運(yùn)營成本等益處。

第一,增強(qiáng)數(shù)據(jù)處理能力。通過把云計算技術(shù)與數(shù)據(jù)挖掘技術(shù)相結(jié)合,可以從海量數(shù)據(jù)中快速提取出有價值的信息,為機(jī)構(gòu)的決策提供服務(wù)。分布在云中成千上萬的計算機(jī)群提供強(qiáng)大的計算能力,并通過網(wǎng)絡(luò)將龐大的計算處理程序拆分成無數(shù)個較小的子程序。云計算技術(shù)能在短時間內(nèi)對大量的業(yè)務(wù)數(shù)據(jù)進(jìn)行存儲、分析、處理、挖掘、關(guān)聯(lián),從而極大地增強(qiáng)了數(shù)據(jù)處理能力。

第二,增強(qiáng)數(shù)據(jù)的存儲能力和可靠性。一方面,云中的眾多服務(wù)器正好可以提供強(qiáng)大的存儲能力,網(wǎng)絡(luò)中不同類型的大量存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作,滿足業(yè)務(wù)不斷增長帶來的龐大數(shù)據(jù)存儲需要。另—方面,云計算也提高數(shù)據(jù)的可靠性。即使某臺服務(wù)器出現(xiàn)故障,其他服務(wù)器也可以在極短時間內(nèi)快速將其數(shù)據(jù)備份到其他服務(wù)器上,并啟動新的服務(wù)器以提供服務(wù)。

第三,降低數(shù)據(jù)中心運(yùn)營成本,提高運(yùn)營效率。隨著業(yè)務(wù)的不斷發(fā)展,逐漸從一個地區(qū)擴(kuò)展到其他地區(qū),分支機(jī)構(gòu)不斷增多。為此不得不花費(fèi)大量的資金購買數(shù)量眾多的計算機(jī)設(shè)備,從而造成數(shù)據(jù)中心運(yùn)營成本急劇上升。如果采用云計算技術(shù),就能像規(guī)模經(jīng)濟(jì)靠攏,長遠(yuǎn)看來是可以極大的降低運(yùn)行成本,提高運(yùn)營效率。

二、云計算的安全性

云計算數(shù)據(jù)中心面臨的安全風(fēng)險分為3個層面,共4類。34個層面分別為數(shù)據(jù)、應(yīng)用和虛擬化,4類分別為傳輸安全、存儲安全、恢復(fù)安全和審計安全,其中傳輸安全為數(shù)據(jù)層面所獨有。

為化解上述安全風(fēng)險,目前可以采用的技術(shù)有以下幾種。

1.資源訪問控制。在云環(huán)境中,資源被分為若干訪問區(qū)域,用戶有跨區(qū)域共享數(shù)據(jù)的權(quán)利,但需要在每個區(qū)域設(shè)置身份認(rèn)證和身份管理策略,同時設(shè)置訪問控制策略。資源訪問控制技術(shù)主要解決優(yōu)先訪問權(quán)、管理權(quán)限等風(fēng)險。

2.數(shù)據(jù)存在與可使用性。云計算數(shù)據(jù)中心與傳統(tǒng)數(shù)據(jù)中心相比,數(shù)據(jù)規(guī)模更大,而大規(guī)模的數(shù)據(jù)會使數(shù)據(jù)中心在提供服務(wù)時面臨巨大的通信壓力。數(shù)據(jù)在傳輸和使用中會出現(xiàn)正確性和可靠性無法保證的情況,而在服務(wù)高效率的要求下,等到數(shù)據(jù)完全傳輸?shù)奖镜卦贆z查其準(zhǔn)確性和可靠性是不現(xiàn)實的,因此需要通過數(shù)據(jù)存在與可使用性技術(shù)來判斷遠(yuǎn)端數(shù)據(jù)是否正確可用。

3.數(shù)據(jù)隱私保護(hù)。該技術(shù)主要是應(yīng)對云計算數(shù)據(jù)中心的數(shù)據(jù)泄漏風(fēng)險。

4.虛擬化安全。數(shù)據(jù)中心在向云計算平臺遷移的過程中必然要使用到虛擬化技術(shù),該技術(shù)一般應(yīng)用在PaaS層面中,因此保證虛擬化平臺的安全對于云數(shù)據(jù)中心的整體安全是非常重要的。

5.可信的云計算平臺。云計算平臺分為公有云和私有云兩類,私有云計算平臺一般為用戶自行搭建,不使用公共網(wǎng)絡(luò)中云服務(wù)提供商的服務(wù)。而公有云計算平臺則涉及使用第三方云服務(wù)提供商的產(chǎn)品,可信的云計算平臺技術(shù)可以保證云平臺,特別是公有云平臺的可靠性和持久性。

三、傳統(tǒng)數(shù)據(jù)中心的信息安全體系架構(gòu)

傳統(tǒng)數(shù)據(jù)中心所面臨的安全威脅主要來自3個方面,一是面向應(yīng)用層的攻擊,二是面向網(wǎng)絡(luò)層的攻擊,三是面向基礎(chǔ)設(shè)施的攻擊(這里的基礎(chǔ)設(shè)施是指網(wǎng)絡(luò)、主機(jī)等信息系統(tǒng)硬件設(shè)施)。因此傳統(tǒng)數(shù)據(jù)中心的信息安全防護(hù)體系一般按照“多層防護(hù)、分區(qū)規(guī)劃、分層部署”的原則來進(jìn)行。

(一)多層防護(hù)

多層防護(hù)大體上分為3層,第一層是高性能硬件防火墻,第二層是具有高性能檢測引擎的IDS甚至是IPS,第三層是具有豐富安全功能的路由器和交換機(jī)。這種分層方式比較宏觀,從更微觀的角度來看,根據(jù)0SI7層模型,數(shù)據(jù)中心還建立了從鏈路層到應(yīng)用層的非常具體的信息安全防護(hù)體系,例如防病毒網(wǎng)關(guān)、數(shù)據(jù)防泄漏等防護(hù)手段和防護(hù)設(shè)備。

(二)分區(qū)規(guī)劃、分層部署

數(shù)據(jù)中心存在不同價值和易受攻擊程度不同的設(shè)備,按照這些設(shè)備的情況制定不同的安全策略和信任模型,將數(shù)據(jù)中心劃分為不同區(qū)域,這就是分區(qū)規(guī)劃。通常,數(shù)據(jù)中心根據(jù)不同的信任級別可以劃分為遠(yuǎn)程接入?yún)^(qū)、Internet服務(wù)器區(qū)、局域網(wǎng)外部服務(wù)器區(qū)、局域網(wǎng)內(nèi)部服務(wù)器區(qū)、管理區(qū)、核心區(qū)等。

傳統(tǒng)數(shù)據(jù)中心的分層架構(gòu)除了體現(xiàn)在傳統(tǒng)的網(wǎng)絡(luò)3層部署(接入層、匯聚層、核心層)上,還體現(xiàn)在應(yīng)用系統(tǒng)的設(shè)計部署上。多層架構(gòu)把應(yīng)用服務(wù)器分解成可管理的、安全的層次,這樣可以避免將所有功能都駐留在單一服務(wù)器時帶來的安全隱患,增強(qiáng)了擴(kuò)展性和高可用性。

(三)安全防護(hù)技術(shù)

根據(jù)傳統(tǒng)數(shù)據(jù)中心的信息安全架構(gòu),有多種安全防護(hù)技術(shù)對其進(jìn)行支撐。安全防護(hù)技術(shù)同樣分為3個層次。第一層是數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)施防護(hù)技術(shù),包括基于VLAN的端口隔離、STPRoot/BPDUGuard、端口安全。第二層是數(shù)據(jù)中心邊界防護(hù)技術(shù),包括防火墻的使用和管理等。第三層是數(shù)據(jù)中心應(yīng)用安全防護(hù)技術(shù),包括病毒防護(hù)、數(shù)據(jù)泄漏防護(hù)、數(shù)據(jù)存儲防護(hù)等。

四、云環(huán)境下數(shù)據(jù)中心的信息安全體系架構(gòu)

在建設(shè)云計算數(shù)據(jù)中心時,由于資源整合程度和共享程度很高,不論是數(shù)據(jù)安全、應(yīng)用安全還是虛擬化安全,都以服務(wù)的方式交付給數(shù)據(jù)中心用戶。在這種建設(shè)思路的指引下,云計算數(shù)據(jù)中心的信息安全體系和傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)體系差別很大,歸結(jié)起來主要有以下幾個方面。

(一)新增虛擬化安全要求

云計算數(shù)據(jù)中心的虛擬化分為軟件虛擬化和硬件虛擬化。所謂軟件虛擬化是指將軟件直接部署在實體機(jī)上,提供創(chuàng)建、運(yùn)行和撤銷虛擬服務(wù)器的能力。在這種情況下,用戶具有了同時操作多臺虛擬服務(wù)器的條件,所以必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層,例如建立嚴(yán)格的控制措施,限制對于Hypervisor和其他虛擬化層次的物理和邏輯訪問控制。硬件虛擬化的安全可以借鑒物理服務(wù)器的安全措施,主要從實體機(jī)選擇、虛擬服務(wù)器安全和日常管理3個方面來制定安全防護(hù)方案。另外,在資源高度整合的條件下,對資源的按需分配、數(shù)據(jù)之間的安全隔離提出了更高的要求,安全設(shè)備應(yīng)適應(yīng)云計算數(shù)據(jù)中心虛擬化要求。

(二)安全邊界混雜

傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)體系建設(shè)的一個重要思路就是基于邊界的安全隔離和訪問控制,并且強(qiáng)調(diào)分區(qū)規(guī)劃,分層防護(hù)。但是在云計算數(shù)據(jù)中心里,資源高度整合,基礎(chǔ)設(shè)施架構(gòu)統(tǒng)一化,安全設(shè)備的部署邊界已經(jīng)變得十分模糊,甚至有消失的趨勢。

(三)安全威脅發(fā)現(xiàn)和處理作用范圍變大

在傳統(tǒng)數(shù)據(jù)中心里,安全威脅的信息來源主要是客戶端上部署的安全軟件和網(wǎng)絡(luò)中部署的硬件安全產(chǎn)品。管理人員在得到信息后,可以在很短的時間內(nèi)對安全威脅進(jìn)行處理,但這種處理是分區(qū)域的,也就是說無法做到整個數(shù)據(jù)中心的集中防范和集中處理,無法形成整體的安全防護(hù)。而在云計算數(shù)據(jù)中心里,安全威脅的感知和處理都將趨于統(tǒng)一,信息共享率極高,安全防護(hù)體系比傳統(tǒng)數(shù)據(jù)中心的體系更加宏觀,防護(hù)范圍更大。根據(jù)云計算數(shù)據(jù)中心信息安全體系建設(shè)的新情況,云計算數(shù)據(jù)中心的信息安全防護(hù)可以從以下幾個方面綜合考慮。

1.注重對虛擬化的支持

虛擬化是云計算數(shù)據(jù)中心的關(guān)鍵技術(shù),現(xiàn)代化數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲資源、計算資源以及應(yīng)用資源都已經(jīng)在向虛擬化靠攏。無論是為了滿足不同用戶的需求,提供個性化資源服務(wù),還是為了利用邏輯隔離手段來保證數(shù)據(jù)安全,虛擬化都是一個非常好的選擇。因此,在建設(shè)云計算數(shù)據(jù)中心的安全防護(hù)體系時,對虛擬化的支持是十分重要的。

2.建設(shè)統(tǒng)一安全威脅防護(hù)系統(tǒng)

由于云計算數(shù)據(jù)中心的安全邊界已經(jīng)變得模糊不清,資源高度整合,管理員即使有能力對整個數(shù)據(jù)中心進(jìn)行分區(qū),也只能是基于邏輯的劃分,物理上的安全邊界已經(jīng)不復(fù)存在。在這種情況下,針對用戶單獨部署獨立的安全系統(tǒng)已不現(xiàn)實。安全設(shè)備的部署應(yīng)該從原來的基于各子系統(tǒng)的安全防護(hù),轉(zhuǎn)移到基于整個云計算數(shù)據(jù)中心的安全防護(hù),建設(shè)統(tǒng)一安全威脅防護(hù)系統(tǒng)。打個形象的比喻,云計算數(shù)據(jù)中心的安全威脅防護(hù)系統(tǒng)應(yīng)該像一個罩子,覆蓋住整個數(shù)據(jù)中心。

3.形成安全風(fēng)險陜速反應(yīng)機(jī)制

在云計算數(shù)據(jù)中心的安全建設(shè)中,充分利用云計算強(qiáng)大的資源共享能力和運(yùn)算能力,對安全風(fēng)險進(jìn)行快速反應(yīng)和處置,快速定位解析安全威脅,并將安全威脅的處置方式推送至整個數(shù)據(jù)中心,從而使所有的安全設(shè)備都具備對這種安全威脅的檢測能力。

五、總結(jié)

建立數(shù)據(jù)中心的目的是為了更好地利用數(shù)據(jù)、挖掘數(shù)據(jù),向數(shù)據(jù)要效益。在數(shù)據(jù)中心中應(yīng)用云計算技術(shù)則是一個必然的趨勢。而從數(shù)據(jù)中心獲得效益就必須有一個相對安全穩(wěn)定的環(huán)境作為支撐,因此研究云計算數(shù)據(jù)中心的信息安全體系架構(gòu)具有重要意義。云計算數(shù)據(jù)中心所面臨的當(dāng)務(wù)之急不是來自技術(shù)層面,而是來自管理層面。我國信息技術(shù)管理指導(dǎo)部門應(yīng)該盡快制定云計算數(shù)據(jù)中心的相關(guān)標(biāo)準(zhǔn),特別是信息安全標(biāo)準(zhǔn),以便及早進(jìn)行規(guī)范和管理。

關(guān)鍵字:架構(gòu)安全計算數(shù)據(jù)中心

本文摘自:西部數(shù)碼

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 阜宁县| 云林县| 当涂县| 齐齐哈尔市| 古交市| 思茅市| 怀化市| 固阳县| 渭源县| 泸州市| 卫辉市| 邹平县| 凤台县| 元氏县| 澄江县| 新兴县| 定陶县| 左贡县| 慈利县| 日土县| 成安县| 射阳县| 永城市| 惠州市| 黑山县| 泰来县| 太和县| 响水县| 东丰县| 黔东| 武胜县| 原阳县| 南汇区| 扶风县| 新乡市| 大兴区| 饶河县| 平南县| 湘潭县| 浦县| 宜君县|