云計算平臺主機層安全管理技術分析

洪云飛

摘要：本文主要針對以下四點問題進行研究，其中包括：對云管理平臺的安全問題進行研究，并通過借鑒國內外的狀況，重點對云計算平臺進行趨勢分析，并且針對未來的發展方向重點進行研究；通過針對平臺的需求進行分析，并且依照安全性原則，確定平臺結構化構架；對關鍵模塊重點詳細地進行設計，通過接入安全保障，對安全性業務進行分析，保障信息的可控和感知能力；設置模塊，進行模塊和身份識別功能，實現訪問的安全性，并保障虛擬識別過程中的安全性，為大數據流量進行安全分析，保障IT基礎設施的狀態監控；針對平臺環境進行簡單描述，并且根據平臺的特點進行功能檢測，對于關鍵功能進行測試，并且將測試的結果進行展現。本文通過不同的方法和技術，將云數據管理平臺進行管理，解和虛擬化、彈性計算、作業分發、資源調度、分布式存儲等技術，幫助云計算平臺開發業務，提供基礎保障，實現云服務平臺的有效管理，合理利用資源設備，提高安全，促進云管理平臺科學有效發展，并且使IPv6/4混合數據流更好地使用，為互聯網的發展提供更為安全有效的部署。

關鍵詞：云計算；主機層；安全管理；虛擬化

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）08-0015-02

1 云計算及其安全性

大數據時代的到來，使得云計算成為人們眼中的明星技術，借助網絡的發展，使得用戶能夠通過網絡進行資源以及服務的共享。目前，云數據中心的安全性對云計算的發展起到了決定性的因素。作為其核心處理部分，最重要的是需要保障數據的安全。目前構建的“云數據中心安全管理平臺”，是借助云計算服務所建成的[1]，能夠通過對用戶的身份進行確認，保障數據的安全，資源的安全。

2 云計算平臺主機層安全管理的要求

2.1 云計算平臺主機層安全管理需求分析

云數據中心安全管理平臺的主要功能需求有以下幾點[2-5]：

第一，支持IPv6/4混合數據流監控；

第二，系統安全管理、用戶準入管理、固定資產管理、安全事件管理、網絡脆弱性管理、網絡風險管理、安全策略管理、事件響應管理、安全預警管理、安全知識管理、事件報表管理等；

第三，識別虛擬機，包括能夠及時掌握虛擬機的遷移動態，根據預測規劃虛擬機的遷移路線，實施安全策略確保設備的安全；

第四，合理配置不同設備的安全策略原則，實現與虛擬機的合作，下放安全策略確保數據信息的準確度，此外，虛擬機的外接口需要做認證處理，確保系統的安全以及數據的快速接入；

第五，設置一個安全模塊能夠更方便的執行安全規則，對系統中的數據進行安全檢測，對虛擬機的遷移動態做到實時跟蹤；

第六，信息系統的安全性需要不斷采集信息以及做到對數據的取證，從而進行評估、檢測等操作；

第七，通過多源異構系統完成對物理設備、軟件系統、數據庫、業務應用系統的數據信息采集以及分析，完成對安全事件的整理、分析等管理；

第八，需要對系統出現問題時的人工或者自動進行審核，保證系統的安全運行，對安全事件進行實時跟蹤監控，完善審核流程，統一管理安全事件。

2.2 云計算平臺主機層安全管理總體設計

云計算平臺的設計思路是將信息安全技術與規范化管理相結合，提高云計算平臺的兼容性、規范性以及擴展性，幫助更好的管理網絡信息與安全等工作；云計算管理平臺實現了人、技術、管理三方面的融合，將管理平臺設計得更加人性化，提高系統的云計算的安全性，確保管理工作的規范化，提高系統自身的安全性和規范性[6]。

云數據中心安全管理平臺憑借自身平臺優勢、管理優勢以及資源優勢能夠完善新一代的云計算安全管理平臺，可以通過接入安全管理組件、服務運維組件，實現IPv6/4混合數據流監控、虛擬設備狀態檢測及管理、網絡數據內容取證、虛擬操作系統識別、感知部署和遷移等功能實現服務化結構。

云數據中心安全管理平臺從用戶接入到界面展示都有一套完善的流程，包括用戶權限設置問題、網絡環境安全問題、業務滿足等問題都能夠滿足云計算中心對網絡安全的各種需求，其中就有數據安全需求以及管理需求等，系統的界面展示的具體內容包括系統的狀態、性能等具體信息。云數據中心安全管理平臺全面支持系統的虛擬化管理，包括對數據、計算、存儲以及安全設備的虛擬化，實現網絡安全設備的成功轉換[7]；這其中，關鍵需要看虛擬化設備的安全管理，對虛擬設備的安全檢測、虛擬機的遷移動態檢測，以及過程中的數據流的安全。

3 云計算平臺主機層安全管理關鍵模塊

3.1 身份及訪問安全模塊

網絡安全首先應該注意的就是身份問題，不同的人員需要不同的進入權限。用戶進入系統時需要先進行身份驗證，之后根據用戶的身份分配資源和安全策略，這樣才能夠保證系統的規范性以及安全性。本模塊主要針對的是用戶的身份識別問題，包括接入認證、出口認證、身份認證、權限確認以及安全域控制，網絡通信安全性等問題。本模塊主要從用戶接入、主機安全、網絡通信三方面對云計算數據中心的安全問題進行相關措施，切實保障系統的安全，保障云數據中心的業務、數據以及應用網絡的安全[8]。

用戶的認證方式有多種方式可供選擇；用戶一旦認證成功連同登陸設備都需要綁定；登陸主機時設備的安全檢查、主機運行的安全問題；對主機自身存在的漏洞進行解決；用戶權限的匹配需要根據用戶自身以及設備的狀態；對運行的日常數據進行采集，確保系統的穩定運行。本模塊的用戶認證方式包含：二維碼認證、短信認證、無感知認證等；按照用戶不同身份進行權限的分配；用戶以及登陸設備進行綁定的方式主要包含：用戶名、密碼、IP地址、MAC地址、認證交換機IP、認證交換機端口號、主機硬盤序列號、IMSI/手機號、SSID等多種方式，完全保證用戶信息的安全；短信認證、系統修復可以是自動操作；用戶上下線日志功能；用戶黑名單功能；Web認證功能；無限身份認證功能；第三方廠商的交換機聯動功能[9]。

3.2 基于業務安全度量模塊

業務安全性建模模塊會在基礎架構連接的狀態下實現業務層次結構的自動發現與手動調整，系統可以自行判斷業務的發展情況，會對設備、服務器、中間件以及數據庫、虛擬化平臺等支撐網元進行分類處理，如果是同一類別的支撐網元，則需要在業務視圖上進行說明，這樣做的目的是業務運行人員能夠更方便的處理系統。對系統中的數據要采集的話，會有采集周期以及采集的數量之間的問題。采集周期短，意味著需要采集大量的數據用來支撐對系統的實時跟蹤分析，這樣也能比較迅速地了解系統的運行狀態，及時地發現存在的問題并予以解決，能夠確保系統安全平穩的運行，但從另一方面說，采集的數量越大，意味著系統所需要承受的壓力就越大[10]。

3.3 虛擬機識別遷移模塊

虛擬化支持就是對交換機中的所有虛擬化指令的支持，包括虛擬機以及虛擬機遷移、虛擬機報文轉發等功能；網絡安全設備需要對系統中的設備下放網絡安全策略，對系統進行全面部署，使其適應虛擬機的狀態。系統還需要時刻準備虛擬機的不同用戶所需，針對用戶不同的虛擬機要求，確保持續的服務，使用戶能夠方便在不同的物理宿主機之間進行遷移[11]。

當虛擬機在數據中心進行遷移的時候，需要注意的是必須確保與虛擬機相關的安全策略等的跟隨遷移，這樣能夠確保遷移過程中的數據安全。當虛擬機進行遷移時，虛擬機識別模塊需要實現識別到虛擬機的遷移動態，并進行API通告；當虛擬機遷移到新的物理宿主機，需要對外發送新的通告MAC地址，接入設備收到新的地址后要上傳到安全管理平臺；安全管理平臺收到新的地址請求時，需要對比后臺的數據庫，將原來的地址進行更新，重新與之配置對應資源 ；因為虛擬機遷移狀態的關聯性，平臺需要將遷移有關的所有策略進行重新匹配；匹配完成并生效之后，虛擬機就開始開通數據交換通道進行數據交換處理。

3.4 數據安全模塊

對系統的數據需要做到事前掃描、事中分析、事后審計，通過建立安全數據庫，來確保用戶數據的安全可靠與完整；對數據流量進行分析，確保用戶在進行網絡操作時能夠做出正確可靠的分析判斷；數據安全的事后審計是規范性要求，事后的數據審計能夠進一步推動系統自身的內部安全，還能夠彌補安全策略的不足，提高審計水平。

對數據安全模塊的管理首先需要收集流量，從不同的端口采集，包括端口、接口等，收集之后存儲到數據庫；在網絡拓撲的基礎上對流量的采集形成一個實時的繪制；對應用的繪畫流量進行實時繪制，幫助管理者實時了解流量的使用情況，根據不同的用戶所需進行不同的分析管理，對會話的流量分析能夠保證深度業務的管理，本模塊的管理重點就是對會話流量的分析管理。

3.5 資源監控模塊

物理資源監控管理，對物理設備中的數據進行分散采集并集中調度，使用拓撲計算法進行分析，能夠及時地發現物理設備之間的關聯度，彼此之間的影響力度，管理員通過一系列的分析能夠更清晰地了解物理設備的整個邏輯關系。

設備監控是對設備的承載能力的監控；設備的內存空間、設備接口的流量統計、包數以及網絡延遲情況；設備接口的利用率；設備的端口流量。對主機的監控主要是對主機的操作系統的監控，對服務器狀態的監控；磁盤的使用狀態、磁盤讀寫速率等；物理內存以及緩存的空間使用情況。

4 總結

本文對云數據中心安全管理平臺進行設計包括其接入安全管理組件、服務運維組件以及實體交換設備的組合完成，完成云計算數據中心的虛擬機識別以及感知與遷移，同時根據預設不定期下放安全策略，提高安全性；使交換機與虛擬機進行互動，互動的數據信息保證準確無誤，能夠達到預期并下放安全策略，對虛擬機的接入安全進行認證，確保可以準確分析接入數據；安全模塊要下放安全策略，需要對接入的數據進行安全檢測，能夠對虛擬機的遷移做實時的跟蹤分析。云安全管理平臺是以云數據中心的特點為基礎的，利用多源異構對設備進行監控。對IT設施中的網絡設備、服務器、中間件以及數據庫等業務的運行狀態進行有效監控，達到利用多源異構對IT基礎設施的監控與管理。服務器與虛擬機之間的數據交換需要確保數據的準確，網絡與設備的結合，能夠實現對數據交換的實時監控，同時對交換數據進行分析，保證數據的安全可靠。

參考文獻：

[1] 農曉鋒.云計算在高校計算機實驗室建設管理中的應用探討[J/OL].輕工科技，2018（12）：57-58.

[2] 王海洪，肖洋洋.大智移云技術對會計影響的文獻綜述[J/OL].會計之友，2018（24）：61-64.

[3] 張濤.云環境下基于多層前向神經網絡交叉覆蓋算法的數據分類[J/OL].宜賓學院學報：1-6.

[4] 顧東曉，李童童，梁昌勇，徐健.基于云計算的管理信息系統遷移模式與策略研究[J].情報科學，2018（12）：71-76.

[5] 崔金棟，于婷婷，李題印.基于“互聯網+”與云服務的制造型企業生產信息管理機理研究[J].情報科學，2018（12）：77-82.

[6] 孫中鋒.虛擬化與云計算技術在企業信息化中的應用[J].電子技術與軟件工程，2018（22）：124-125.

[7] 賈欽.基于云計算的數據庫技術[J].電子技術與軟件工程，2018（22）：156.

[8] 韓靜.云計算環境下隱私保護的現狀和對策[J].電子技術與軟件工程，2018（22）：181.

[9] 文誠忠，秦衛麗.云計算技術的安全防控計策[J].電子技術與軟件工程，2018（22）：187.

[10] 陳克生.云背景下計算機信息安全管理要點[J].電子技術與軟件工程，2018（22）：198.

[11] 朱娜.云計算技術在圖書管理中的應用[J/OL].當代教育實踐與教學研究，2018（11）：35-36.

【通聯編輯：光文玲】