企業(yè)私有云平臺安全技術(shù)

　　云計(jì)算是一種以互聯(lián)網(wǎng)為基礎(chǔ)的新興計(jì)算機(jī)應(yīng)用技術(shù)，它融合了分布式計(jì)算、效用計(jì)算、并行計(jì)算、網(wǎng)格計(jì)算、網(wǎng)絡(luò)存儲、虛擬化等傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，形成了一整套新的標(biāo)準(zhǔn)和模式，“云計(jì)算”概念也迅速運(yùn)用到生產(chǎn)環(huán)境中，各種“云計(jì)算”的應(yīng)服務(wù)范圍正日漸擴(kuò)大，影響力也無可估量。通俗的講，云計(jì)算就是讓你把所有數(shù)據(jù)處理任務(wù)都交給網(wǎng)絡(luò)來進(jìn)行，由企業(yè)級數(shù)據(jù)中心負(fù)責(zé)處理客戶電腦上的數(shù)據(jù)任務(wù)，這樣就可以通過一個數(shù)據(jù)中心向使用多種不同設(shè)備的用戶提供數(shù)據(jù)服務(wù)，從而為個人用戶節(jié)省硬件資源。本文介紹的云平臺安全措施主要是面向VMware系列云計(jì)算平臺的。

　　1、云安全簡介

　　當(dāng)前，典型的企業(yè)私有云計(jì)算平臺拓?fù)浣Y(jié)構(gòu)如圖1所示。
 

　　云計(jì)算方興未艾，針對云計(jì)算平臺的安全性研究也在不斷進(jìn)行，盡管云計(jì)算存在安全問題，但它仍然給信息安全帶來了機(jī)遇。在云計(jì)算方式下，數(shù)據(jù)是集中存儲的，這樣至少給數(shù)據(jù)安全帶來了兩個好處：

　　(1)降低了數(shù)據(jù)被盜、被破壞和外泄的可能。這也是云計(jì)算服務(wù)商討論最多的一個優(yōu)點(diǎn)。只要用戶能夠接入Internet，就能根據(jù)需要隨時進(jìn)行訪問，根本就用不著自己隨身攜帶，也用不著自己去維護(hù)或維修。

　　(2)能夠更容易地對數(shù)據(jù)進(jìn)行安全監(jiān)測。數(shù)據(jù)集中存儲在一個或若干個數(shù)據(jù)中心，數(shù)據(jù)中心的管理者可以對數(shù)據(jù)進(jìn)行統(tǒng)一管理，負(fù)責(zé)資源的分配、負(fù)載的均衡、軟件的部署、安全的控制，并能更可靠地進(jìn)行數(shù)據(jù)安全的實(shí)時監(jiān)測以及數(shù)據(jù)的及時備份和恢復(fù)。

　　雖然云計(jì)算本身為安全做出了貢獻(xiàn)，但是由于云計(jì)算的復(fù)雜性、用戶的動態(tài)性等特點(diǎn)，安全問題仍是云計(jì)算發(fā)展所面臨的巨大挑戰(zhàn)，如何確保云計(jì)算環(huán)境不同主體之間相互鑒別、信任和各個主體問通信機(jī)密性和完整性，計(jì)算的可用性和機(jī)密性[3]，使云計(jì)算環(huán)境可以適用不同性質(zhì)的安全要求，都是急需解決的問題。

　　2、基于企業(yè)云平臺的云安全研究

　　隨著企業(yè)信息化的發(fā)展，生產(chǎn)和辦公場所對于移動辦公有著迫切的需求，例如移動文件瀏覽和批閱等一些現(xiàn)實(shí)需求。同時企業(yè)業(yè)務(wù)發(fā)展需要依托先進(jìn)的信息化平臺來進(jìn)行有力支撐，高性能計(jì)算集群、三維可視化圖形工作站、海量的數(shù)據(jù)存儲設(shè)備以及功能各異的專業(yè)應(yīng)用軟件可以為更加精準(zhǔn)、更加高效的綜合決策提供堅(jiān)實(shí)的技術(shù)保障，上述的企業(yè)需求需要一個全新的服務(wù)平臺進(jìn)行支持，云計(jì)算就是這樣一個全新的平臺，它使得服務(wù)的交付模式向云端轉(zhuǎn)移，所有用戶都可以獲得低成本、高性能、快速配置和海量云計(jì)算服務(wù)支持。然而，安全問題始終是云平臺正常投入使用所面臨的最大問題和隱患，服務(wù)安全、數(shù)據(jù)安全、個人隱私等安全問題都要求必須根據(jù)企業(yè)實(shí)際業(yè)務(wù)，建立一套完整的云平臺安全保障體系，并基于經(jīng)濟(jì)因素的考慮要盡量將企業(yè)原有安全基礎(chǔ)設(shè)施與云平臺進(jìn)行很好的融合，同時對云平臺性能與安全這對矛盾體進(jìn)行分析研究，找到最佳平衡點(diǎn)，使得云平臺更加安全可靠。圖2顯示了一個完整的云安全體系架構(gòu)，覆蓋了物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層，采取了盡可能多的安全措施來保障企業(yè)私有云平臺的安全運(yùn)行，但是如何發(fā)揮各個安全手段的作用，避免相互之間的矛盾；如何在保障安全的條件下，盡可能減少系統(tǒng)用于安全監(jiān)控的開銷是需要著重解決的問題。本文介紹的企業(yè)主要采用的安全措施有ukey認(rèn)證、訪問控制、數(shù)據(jù)加密和入侵檢測等手段。

　　2.1 ukey統(tǒng)一身份認(rèn)證安全措施

　　面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，普通的網(wǎng)絡(luò)接入認(rèn)證已經(jīng)不能滿足安全需要，難以確定用戶身份，保證數(shù)據(jù)的隱私性，而ukey 是用來進(jìn)行一些特殊業(yè)務(wù)的準(zhǔn)入認(rèn)證。利用ukey 認(rèn)證作為云平臺的安全接入認(rèn)證不僅能夠提高云平臺的安全性，也能夠使ukey 發(fā)揮最大效能，充分利用ukey 高可靠性的特點(diǎn)實(shí)現(xiàn)對云計(jì)算資源的保護(hù)，防止無授權(quán)用戶的非法操作。SSL VPN是基于SSL 協(xié)議采用虛擬專用網(wǎng)的方式為遠(yuǎn)程用戶提供的一種安全通信服務(wù)，采用ukey 認(rèn)證與SSL VPN 技術(shù)相結(jié)合，能夠大幅度提高云平臺的安全。
 

　　2.2 云平臺的安全管理、控制、審計(jì)等安全管理問題的研究和解決

　　云安全管理平臺搭建在云計(jì)算環(huán)境基礎(chǔ)框架上，主要通過VMware軟件所具有的的功能配合其他一些安全管理策略統(tǒng)一進(jìn)行管理控制。

　　2.2.1 訪問控制策略

　　云安全管理平臺根據(jù)資源的不同分別定義不同的訪問策略，對資源進(jìn)行服務(wù)控制，企業(yè)中用戶數(shù)據(jù)的級別和敏感程度也有所不同，重要和敏感數(shù)據(jù)需要更深層的保護(hù)，因此需要針對這些數(shù)據(jù)和文件專門制定訪問控制策略，通過ukey來進(jìn)行身份識別，根據(jù)不同的身份及所屬類別來限制用戶的訪問權(quán)限和所能使用的計(jì)算機(jī)資源和網(wǎng)絡(luò)資源，保證合法用戶正常訪問，并防止非法訪問。

　　2.2.2 數(shù)據(jù)存儲安全策略

　　企業(yè)數(shù)據(jù)始終受到著各種各樣的威脅，存儲服務(wù)本身也是不可信任的，因此數(shù)據(jù)加密成了解決問題的首選。目前基于如DES等的對稱加密算法因其加解密速度較快被廣泛應(yīng)用，非對稱加密體系如RSA 算法則具備更高的強(qiáng)度，因此采用動態(tài)生成DES密鑰并結(jié)合RSA公鑰加密的方法可以充分發(fā)揮兩者的優(yōu)點(diǎn)，找到性能和強(qiáng)度的平衡點(diǎn)。

　　處理開始前，云端加密程序從公鑰庫獲取接收數(shù)據(jù)的用戶對應(yīng)的RSA 公鑰。加密開始時，由一個DES 密鑰生成器隨機(jī)生成一個DES密鑰，并依照算法選取數(shù)值N，從源數(shù)據(jù)讀取N 字節(jié)并由該隨機(jī)DES密鑰加密為長度為M字節(jié)的密文。與此同時，將該DES密鑰由接收端的RSA公鑰加密為一段密文，同N 字節(jié)源數(shù)據(jù)加密后的密文，并附上該兩者的長度，一同作為一個數(shù)據(jù)包保存于云端，如圖3所示。客戶端繼續(xù)工作，重新生成隨機(jī)DES 密鑰和隨機(jī)數(shù)N，重復(fù)上述過程，發(fā)送第二個直至最后一個數(shù)據(jù)包，完成整個加密工作。
 

　　解密過程剛開始是數(shù)據(jù)接收端讀入前兩個32b，通過RSA解密，分別取得加密的DES密鑰長度(設(shè)為L1)和加密的數(shù)據(jù)長度(L2)，順次讀取數(shù)據(jù)包中其后的L1和L2字節(jié)數(shù)據(jù)，用接收端的RSA私鑰將前者翻譯成明文，得到一個DES密鑰，而后者則由該DES密鑰解密，解密后的明文追加到待保存的目標(biāo)數(shù)據(jù)中。這樣就完成了一個數(shù)據(jù)包的解密，如圖4所示。重復(fù)上述過程，直至完成所有數(shù)據(jù)包的解密，得到加密前的原始數(shù)據(jù)。

　　2.3 云計(jì)算平臺入侵檢測

　　云平臺數(shù)據(jù)更加集中，更易受到攻擊和入侵的威脅，而使用傳統(tǒng)的特征庫判別法的殺毒軟件已無法有效地確保云平臺的安全，因此入侵檢測和防御就顯得更加重要，十分有必要對云計(jì)算平臺中的網(wǎng)絡(luò)、框架和數(shù)據(jù)等各種威脅進(jìn)行全方位實(shí)時主動監(jiān)控、檢測和防御。
 

　　傳統(tǒng)入侵檢測防護(hù)技術(shù)大多是一種被動防御的系統(tǒng)，很難滿足當(dāng)前網(wǎng)絡(luò)攻防的新形勢。這里采用主動防御與傳統(tǒng)被動防御相結(jié)合的方式，摸索這種入侵檢測系統(tǒng)與云計(jì)算平臺的結(jié)合，采用改進(jìn)的apriori算法，利用一個層次順序搜索的循環(huán)方法來完成頻繁項(xiàng)集的挖掘工作，提高挖掘速度，迅速發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否被入侵的跡象。當(dāng)查詢的行為是合法的，系統(tǒng)返回一個完整和正確的解釋，當(dāng)查詢的行為是誤操作或惡意行為的特征，解釋將和具體事件和發(fā)生事件的節(jié)點(diǎn)關(guān)聯(lián)起來，通過節(jié)點(diǎn)行為(也就是指狀態(tài)變化或某些節(jié)點(diǎn)上的信息傳遞)來判定行為是否合法或是發(fā)生錯誤，并采取必要的處理措施。

　　3、結(jié)語

　　云計(jì)算作為一種新的模式給企業(yè)信息化發(fā)展帶來了巨大的變革，是IT 行業(yè)的一個發(fā)展趨勢。其提高了網(wǎng)絡(luò)工作效率，節(jié)約了企業(yè)成本和資源，應(yīng)用前景非常廣，但是安全問題仍然是阻礙企業(yè)全面部署云平臺的最大障礙。雖然本文提出了一些云安全防御策略，但還不成熟，因此今后還要在此基礎(chǔ)上在如何有效控制訪問權(quán)限和整體安全管理機(jī)制，如何對數(shù)據(jù)進(jìn)一步劃分等級，實(shí)時安全操作和監(jiān)控，如何更有效地管控外部攻擊威脅帶來的風(fēng)險(xiǎn)等方面深入開展研究，更有效地提高云計(jì)算平臺安全，為云計(jì)算在企業(yè)中的廣泛應(yīng)用提供更安全的保障。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：企業(yè)私有云平臺安全技術(shù)

本文網(wǎng)址：http://m.hanmeixuan.com/html/support/11121512719.html