1.研究背景
云計(jì)算是網(wǎng)格計(jì)算、分布式計(jì)算、并行計(jì)算、效用計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化、負(fù)載均衡、等傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。借助SaaS、PaaS、IaaS、MSP 等先進(jìn)的商業(yè)模式把這強(qiáng)大的計(jì)算能力分布到終端用戶手中。云計(jì)算的核心思想,是將大量用網(wǎng)絡(luò)連接的計(jì)算資源統(tǒng)一管理和調(diào)度,構(gòu)成一個(gè)計(jì)算資源池向用戶按需服務(wù)。
隨著云計(jì)算逐漸成為未來(lái)發(fā)展的趨勢(shì),得到了當(dāng)前業(yè)界乃至全社會(huì)的關(guān)注,被廣泛認(rèn)為是新一代信息技術(shù)變革和業(yè)務(wù)應(yīng)用模式變革的核心。作為IT基礎(chǔ)設(shè)施、信息服務(wù)的交付和使用模式及基于互聯(lián)網(wǎng)的新型計(jì)算模式,云計(jì)算使信息技術(shù)更加簡(jiǎn)單、易用,使知識(shí)普及成本大幅下降,使人們能夠更好地獲取和使用知識(shí),能夠更好地支撐工作、生活。云計(jì)算的出現(xiàn)是傳統(tǒng)IT 領(lǐng)域和通信領(lǐng)域技術(shù)進(jìn)步、需求推動(dòng)和商業(yè)模式變化共同促進(jìn)的結(jié)果,具有以網(wǎng)絡(luò)為中心、以服務(wù)為提供方式、高擴(kuò)展性和高可靠性以及資源使用虛擬化、透明化等重要特征。隨著云計(jì)算技術(shù)及理念的深入應(yīng)用,利用云計(jì)算強(qiáng)大的服務(wù)能力提供安全服務(wù)(即云安全)越來(lái)越成為安全業(yè)界關(guān)注的重點(diǎn),同時(shí)云計(jì)算技術(shù)及理念也對(duì)傳統(tǒng)安全技術(shù)及應(yīng)用產(chǎn)生了深遠(yuǎn)的影響。
2.云安全服務(wù)的關(guān)鍵技術(shù)
當(dāng)前云計(jì)算在資源共享和分配上體現(xiàn)的是一個(gè)整體的獨(dú)立系統(tǒng),是以固定數(shù)量的資源或既定的解決方案為用戶提供服務(wù),其業(yè)務(wù)流程相對(duì)比較固定。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,以及基于服務(wù)架構(gòu)(ServiceOriented Architecture,SOA) 思想的提出,網(wǎng)絡(luò)安全設(shè)備的共享和應(yīng)用過(guò)程應(yīng)該是基于服務(wù)而形成的,對(duì)如何發(fā)布資源以及如何搜索資源開展了大量的工作,但是如何實(shí)現(xiàn)資源和任務(wù)在接口、功能、流程、語(yǔ)義、服務(wù)質(zhì)量等方面的智能匹配、尋租、動(dòng)態(tài)組合等,則缺乏有效的解決手段。正因?yàn)槟壳暗陌踩萍夹g(shù)沒(méi)有很好地解決網(wǎng)絡(luò)安全設(shè)備的動(dòng)態(tài)共享與智能分配、終端物理設(shè)備智能嵌入式接入等問(wèn)題,使其推廣應(yīng)用和發(fā)展受到了限制。
安全云涉及的關(guān)鍵技術(shù)大致可以分為: 模式、體系架構(gòu)、標(biāo)準(zhǔn)和規(guī)范;云端化技術(shù);云服務(wù)的綜合管理技術(shù);安全云業(yè)務(wù)管理模式與技術(shù)。
(1) 安全云模式、體系架構(gòu)、相關(guān)標(biāo)準(zhǔn)及規(guī)范
主要是從系統(tǒng)的角度出發(fā),研究安全云平臺(tái)的結(jié)構(gòu)、組織與運(yùn)行模式等方面的技術(shù),同時(shí)研究支持實(shí)施安全云的相關(guān)標(biāo)準(zhǔn)和規(guī)范。包括:支持多用戶的、商業(yè)運(yùn)行的、面向服務(wù)的安全體系架構(gòu);安全云應(yīng)用模式下設(shè)備的交互、共享、互操作模式;安全云平臺(tái)的相關(guān)標(biāo)準(zhǔn)、協(xié)議、規(guī)范等, 如云服務(wù)接入標(biāo)準(zhǔn)、云服務(wù)描述規(guī)范、云服務(wù)訪問(wèn)協(xié)議等。
(2) 云端化技術(shù)
主要研究安全云服務(wù)提供端各類安全設(shè)備的嵌入式云終端封裝、接入、調(diào)用等技術(shù), 并研究安全服務(wù)請(qǐng)求端接入安全云平臺(tái)、訪問(wèn)和調(diào)用安全云平臺(tái)中服務(wù)的技術(shù), 包括:支持參與安全云的底層終端物理設(shè)備智能嵌入式接入技術(shù)、云計(jì)算互接入技術(shù)等;云終端設(shè)備服務(wù)定義封裝、發(fā)布、虛擬化技術(shù)及相應(yīng)工具的開發(fā);云請(qǐng)求端接入和訪問(wèn)云制造平臺(tái)技術(shù),以及支持平臺(tái)用戶使用安全云平臺(tái)的技術(shù);物聯(lián)網(wǎng)實(shí)現(xiàn)技術(shù)等。
(3) 云服務(wù)綜合管理技術(shù)
主要研究和支持云服務(wù)運(yùn)營(yíng)商對(duì)云端服務(wù)進(jìn)行接入、發(fā)布、組織與聚合、管理與調(diào)度等綜合管理操作,包括: 云提供端資源和服務(wù)的接入管理,如統(tǒng)一接口定義與管理、認(rèn)證管理等;高效、動(dòng)態(tài)的云服務(wù)組建、聚合、存儲(chǔ)方法;高效能、智能化安全云服務(wù)搜索與動(dòng)態(tài)匹配技術(shù);安全云任務(wù)動(dòng)態(tài)構(gòu)建與部署、分解、資源服務(wù)協(xié)同調(diào)度優(yōu)化配置方法;安全云服務(wù)提供模式及推廣,云用戶(包括云提供端和云請(qǐng)求端) 管理、授權(quán)機(jī)制等。
3.系統(tǒng)實(shí)現(xiàn)
本文的主要研究?jī)?nèi)容包括如何利用藍(lán)盾網(wǎng)絡(luò)安全云防護(hù)平臺(tái)基于利用云計(jì)算平臺(tái),在藍(lán)盾現(xiàn)有的綜合網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)的基礎(chǔ)上,實(shí)現(xiàn)統(tǒng)一威脅管理云服務(wù)、統(tǒng)一終端管理云服務(wù)、以及統(tǒng)一策略管理云服務(wù),體現(xiàn)云計(jì)算環(huán)境在網(wǎng)絡(luò)安全,特別是在外網(wǎng)防御方面的優(yōu)勢(shì)。同時(shí),本文利用了基于同態(tài)hash(homomorphic hashing)的數(shù)據(jù)持有性證明方法、虛擬網(wǎng)絡(luò)隨動(dòng)審計(jì)、基于通用的認(rèn)證和密鑰管理框架、可證明安全的高效認(rèn)證密鑰協(xié)商協(xié)議、自主可控的細(xì)粒度云數(shù)據(jù)共享訪問(wèn)控制等手段來(lái)保護(hù)用戶的隱私和數(shù)據(jù)安全,消除用戶對(duì)于云計(jì)算的疑慮,保障云平臺(tái)的穩(wěn)定運(yùn)行。
藍(lán)盾網(wǎng)絡(luò)安全云防護(hù)平臺(tái)架構(gòu)包括有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施層IaaS (Security Infrastructure as a Service)、網(wǎng)絡(luò)安全應(yīng)用平臺(tái)層PaaS (Security Platform as a Service),以及網(wǎng)絡(luò)安全服務(wù)層SaaS(Security Software as a Service)。其中:
圖1 藍(lán)盾云安全平臺(tái)架構(gòu)
(1)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施層IaaS 提供基礎(chǔ)的存儲(chǔ)資源和計(jì)算資源,通過(guò)開源Xen 云計(jì)算虛擬基礎(chǔ)設(shè)施系統(tǒng)構(gòu)造云基礎(chǔ)設(shè)施層,實(shí)現(xiàn)硬件資源的虛擬化,并且以虛擬機(jī)為基礎(chǔ)單位對(duì)資源進(jìn)行分配、調(diào)度和管理等。Xen 虛擬化了基礎(chǔ)設(shè)施資源,實(shí)現(xiàn)了基礎(chǔ)設(shè)施資源的網(wǎng)絡(luò)化交付。
(2)在IaaS 的基礎(chǔ)上,通過(guò)設(shè)計(jì)相應(yīng)的服務(wù)接口,實(shí)現(xiàn)基礎(chǔ)和共性功能,構(gòu)造網(wǎng)絡(luò)安全應(yīng)用平臺(tái)層PaaS。PaaS 基于開源的Hadoop 云計(jì)算應(yīng)用平臺(tái),分別提供HDFS 分布式存儲(chǔ)以及Map/Reduce 并行計(jì)算的支持,為各個(gè)創(chuàng)新軟件/服務(wù)的共性需求提供支持,包括海量數(shù)據(jù)存儲(chǔ)和備份、海量安全信息的采集、分析和監(jiān)控、協(xié)同防御的基本實(shí)現(xiàn)。
(3)在PaaS 的基礎(chǔ)上,通過(guò)Web Service 接口,以網(wǎng)絡(luò)服務(wù)的形式提供各類直接面向應(yīng)用的軟件服務(wù),包括云網(wǎng)站防護(hù)、云風(fēng)險(xiǎn)評(píng)估、云審計(jì)和云防火墻等等軟件服務(wù)。
(1)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施層
網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施層IaaS 提供基礎(chǔ)的存儲(chǔ)資源和計(jì)算資源,通過(guò)Xen 云計(jì)算虛擬基礎(chǔ)設(shè)施系統(tǒng)構(gòu)造云基礎(chǔ)設(shè)施層,實(shí)現(xiàn)硬件資源的虛擬化,并且以虛擬機(jī)為基礎(chǔ)單位對(duì)資源進(jìn)行分配、調(diào)度和管理等。Xen虛擬化了基礎(chǔ)設(shè)施資源,實(shí)現(xiàn)了基礎(chǔ)設(shè)施資源的網(wǎng)絡(luò)化交付。
Xen 是云虛擬化基礎(chǔ)設(shè)施平臺(tái),該云虛擬化基礎(chǔ)設(shè)施平臺(tái)完成對(duì)硬件資源的虛擬化以及提供統(tǒng)一的平臺(tái)對(duì)資源進(jìn)行管理和訪問(wèn)。在設(shè)備中引入虛擬化的概念,使得一個(gè)物理設(shè)備可以虛擬化為多個(gè)設(shè)備。同時(shí)各個(gè)虛擬設(shè)備之間的環(huán)境有嚴(yán)格的隔離;本項(xiàng)目支持用戶在任意位置、使用各種終端獲取應(yīng)用服務(wù)。用戶請(qǐng)求的資源來(lái)自“云”,而不是固定的有形的實(shí)體。應(yīng)用在“云”中某處運(yùn)行,用戶無(wú)需了解應(yīng)用運(yùn)行的具體位置。只需要一臺(tái)筆記本或者一個(gè)手機(jī),就可以通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)安全云服務(wù)。
圖2 Xen 應(yīng)用體系
Xen 實(shí)現(xiàn)了下列主要功能:①硬件資源的虛擬化。通過(guò)對(duì)硬件資源進(jìn)行虛擬化, Xen 能夠在不同的硬件環(huán)境中虛擬出一致的環(huán)境和平臺(tái),以簡(jiǎn)化軟件的研發(fā)和管理。②硬件資源的多租戶共享和服務(wù)的安全隔離。Xen 通過(guò)虛擬化,對(duì)硬件資源進(jìn)行分割、隔離和共享,可以實(shí)現(xiàn)單一硬件上的多組用戶共享,提升硬件資源的利用率。同時(shí),虛擬化過(guò)程形成的嚴(yán)格隔離區(qū)域,為各個(gè)服務(wù)提供安全的運(yùn)行區(qū)域。③資源的池化集約式管理。Xen 對(duì)把硬件資源虛擬化后,形成一個(gè)統(tǒng)一的大資源池。Xen 集中管理和分配硬件資源,最大化資源的利用率。④實(shí)現(xiàn)了集約式產(chǎn)品研發(fā)模式。傳統(tǒng)的煙囪式研發(fā)需要從硬件平臺(tái)開始進(jìn)行產(chǎn)品研發(fā)。在整合Xen 平臺(tái)后,產(chǎn)品研發(fā)可以直接從產(chǎn)品的應(yīng)用模塊開始,而無(wú)需在考慮軟硬件平臺(tái)等問(wèn)題。
(3)網(wǎng)絡(luò)安全應(yīng)用平臺(tái)層
在網(wǎng)絡(luò)安全應(yīng)用平臺(tái)層,通過(guò)Hadoop 平臺(tái),為網(wǎng)絡(luò)安全服務(wù)層提供多種共性服務(wù),例如網(wǎng)站安全云防護(hù)、云防火墻、云安全風(fēng)險(xiǎn)評(píng)估,云安全策略管理,云安全協(xié)同防御,云安全流量管理等。
4.結(jié)論
本文主要探索了云安全服務(wù)所需要的關(guān)鍵技術(shù),在藍(lán)盾現(xiàn)有的綜合網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)的基礎(chǔ)上,設(shè)計(jì)了三層云安全服務(wù)架構(gòu),實(shí)現(xiàn)統(tǒng)一威脅管理云服務(wù)、統(tǒng)一終端管理云服務(wù)、以及統(tǒng)一策略管理云服務(wù),體現(xiàn)云計(jì)算環(huán)境在網(wǎng)絡(luò)安全,特別是在外網(wǎng)防御方面的優(yōu)勢(shì)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:一種云安全服務(wù)架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839512781.html