高校私有云平臺架構的設計與安全分析

張媛　黃磊　馬健樂

摘要：根據目前高校私有云安全的情況，通過高校已經建設云平臺的經驗，提出一種新型的、應用性能良好的云安全框架。本文重點研究服務器集群內部的安全防護，旨在通過研究提高整個平臺的安全性能。

關鍵詞：私有云；安全架構；安全分析

中圖分類號：TP39 文獻標識碼：A 文章編號：1007-9416（2018）09-0184-02

隨著云計算技術的廣泛應用，高校開始將信息管理系統向云平臺進行遷移，以減輕運維的負擔。如何選擇合適的云平臺和隨之而來的安全問題接踵而至。

1 云環境中的安全問題

伴隨著云計算技術高速的發展，針對云的網絡攻擊也是越來越多。傳統的網絡架構，通常利用交換機的端口鏡像功能監控平臺外部和內部、內部和內部服務器之間的數據流量，判斷攻擊行為[1]；但在云計算架構的虛擬化環境中，位于同一臺物理服務器上的不同虛擬機之間的通訊不存在實體交換機，無法使用傳統的入侵檢測設備，如圖1所示，高校私有云架構圖2所示。

根據云安全聯盟（CSA）的報告，73%的用戶在選擇云計算服務時都對云計算的安全十分擔心。所以高校私有云在建造時必須思考如何減少高校私有云平臺受到的外界攻擊，保證損失最小化和快速的修復云平臺[2]。

2 高校云平臺的選擇

高校現有的數據中心很少形成統一的數據標準，達到真正意義上的數據共享。與公有云相比較，高校建設私有云更適合[3]。通過建設私有云平臺實現統一的數據標準，進而實現完全意義的數據共享。私有云底層建設與業務件事是分離的，提供的服務類型由用戶決定，數據中心的安全性和可控性是私有云最大的優勢，同時節約和降低使用、存儲、維護成本，便于遠程教育及移動互聯網接入，提高基礎教育教學服務能力。

3 高校私有云的功能和架構

高校私有云建設必須對現有系統進行集成和業務整合，將整合后的應用系統統一部署運維，隨時擴展各種應用與服務逐步，為全校師生提供交流協作的平臺[4]。

3.1 高校私有云建設主要功能

（1）各類業務通過私有云平臺共享基礎設施。（2）管理員統一申請、釋放資源。（3）私有云對數據中心內所有數據提供安全防護、備份/恢復、監控；管理員隨時監控資源消耗并做出相應的調整。（4）可提供安全可靠的數據存儲，便于舊應用的遷移和新應用的擴展、融合。（5）可以快速實現不同實驗環境的部署，通過鏡像維護，降低成本、運維成本。（6）必須采用控制策略有效的對虛擬機進行控制，保證數據中心的安全。

3.2 高校私有云的邏輯架構

高校私有云架構可以分成云服務層和云管理層，如圖2所示。平臺服務以頁面方式提供給師生使用。云管理層對云計算中心進行實時監控管理，保證其安全穩定的運行。云管理層的運維管理實現虛擬機的自動管理及虛擬機遷移、服務器負載均衡，降低運維成本；通過資源管理動態管理系統資源。安全管理保證不受外界的攻擊及內部訪問數據的合法性；容災管理進行數據的冗余備份和異地備份。檢測層實時監測，為云管理提供真實有效的數據。

3.3 網絡總體架構

高校私有云的網絡總體框架采用分層思想進行架構設計如圖3所示，Internet邊界區如圖4所示。數據中心通過Internet邊界區與Internet連接，并對Internet數據進行攻擊檢測，VPN接入等策略。邊界區與核心區通過防火墻連接，邊界區路由不執行內部路由協議。

應用服務區位于防火墻后，為保證Internet網絡可以訪問內部服務器，設置為DMZ（隔離區）區域，作為一個非安全系統與安全系統之間的緩沖區。應用服務區的邏輯拓撲結構如圖5所示。

4 高校私有云的安全性分析

4.1 私有云的安全問題

用戶的虛擬機如果和服務器的虛擬機處于同一臺物理服務器中，系統只是通過檢測物理網絡中的流量變化無法檢測出虛擬機是否受到攻擊，整個系統的防護措施無法起作用。

4.2 私有云安全框架的功能

私有云的終端構成為兩種類型：（1）典型的云安全設備，主要用來數據采集。（2）云安全軟件，通過多層次的安全策略和API監控技術相結合，實現對云的安全防御和威脅處理。

私有云安全框架必須具有以下功能：（1）除黑名單的防護邏輯，需要更加精確的安全邏輯，如域名授權、登錄賬戶、API接口等。（2）系統監控軟件必須對網內數據隨時跟蹤和發現，做到實時監控。（3）判斷文件的安全性需要多維度分析，動靜結合提高準確率。（4）通過云數據采集，實現實時系統風險評估。（5）通過預測，為用戶提供安全防御與危險處置策略，提高安全降低運維成本。

4.3 高校私有云安全平臺建立的必要性

高校私有云平臺的建立是傳統網絡數據中心模式的突破，分散式分布變為集中管理，降低了校園整體運維的成本，提高了校園安全等級。便于高校實現信息業務整合、統一身份認證、實時威脅監控和全流程評估，保證了高校信息系統的穩定運行。

5 結語

高校私有云建設需要總體規劃，充分考慮高校數據中心的特點，考慮各類安全問題，做到統籌兼顧。高校私有云的建設需要長期的建設和完善，通過分步實施，實現“智慧校園”這一目標。

參考文獻

[1]He Tianlan. Construction of College Private Cloud and Safety Analysis [D].Xiamen： Hua Qiao University，2015.

[2]李鐵.云計算環境下企業私有云平臺安全架構的機理和實現[J].電子技術與軟件工程，2017，（2）：232-233.

[3]He Tianlan. Construction of College Private Cloud and Safety Analysis [D].Xiamen： Hua Qiao University，2015.

[4]黃猛，羅樺，李洪兵.基于 Hadoop 的高校檔案館私有云存儲平臺的構建[J].辦公自動化，2015，（1）：54-56+29.