基于云計算技術的云安全管理平臺設計研究

◆狄文遠

基于云計算技術的云安全管理平臺設計研究

◆狄文遠

（中國移動通信集團陜西有限公司 陜西 710077）

本文闡述了云安全管理平臺的整體架構、平臺技術架構等設計，并詳細分析了構建平臺時應用到的統管、服務、大數據等核心技術，以此實現云安全管理平臺資源化、服務化、安全化，同時簡要說明了平臺建設與運行時的核心優勢。

云計算技術；云安全管理平臺；大數據

云管理平臺匯集了云安全能力，該平臺的建設能夠實現統一管理、按需分配、彈性擴容等目的，是一個極具安全性能的資源集中地。通過云平臺的使用，可以幫助用戶應對各項云安全問題，并為其制定一站式立體化云安全問題解決方案。

1 云安全管理平臺架構設計

（1）整體架構設計

在構建云安全管理平臺時，需將系統架構設計成智能性、發放性、統一性，促使該平臺系統架構可以滿足現階段有關于云安全管理方面的需求。首先，在云計算技術的支持下，構建具有開放性的SOA架構，并在架構出提供相應的接口，促使該系統能夠與其他系統相互融合，協同作業。其次，應用分層設計，在資源訪問層安裝各設備訪問接口，并借助多種資源進行集中管控。再次，在系統中，具備模塊化管理功能的層級為平臺支撐層，該層中不僅包括高性能管理以及分析引擎，還能夠實現數據的大容量存儲，實時管理虛擬化資源。最后，業務管理層將系統中的各項管理功能進行整合，促使業務全方位、多視角安全管理。

（2）平臺技術架構

通過對管理平臺的整體架構進行分析，從下向上進行分層，分別為硬件層、云安全資源層、云安全服務層以及云安全管理層，彼此之間協同作業，也可以相互隔離，進而可以提升平臺的穩定性、擴展性。

首先，硬件層，由X86架構服務器組建的分布式集群，為資源層提供安全服務的運行環境以及在運行過程中所需的CPU、內存等硬件資源。

其次，云安全資源層，通過使用云計算技術打造出的超融合系統，其運行原理是虛擬、抽象由硬件提供的CPU、內存等各類資源，為服務層供給更加虛擬化的運行資源。改造安全產品的能力，促使其能夠適應云計算虛擬化的大環境，在此基礎上，構建統一管理、安全能力完善的云安全資源池。

再次，云安全服務層，在開展已建設完畢的云安全資源池時，技術人員需保證云安全能力朝著資源化、安全化的方向發展，并加強平臺云監測等多方面的能力，促使系統成為具備業務屬性的安全服務體系，以此實現管理平臺的多樣化。

最后，云安全管理層，通過匯集下三層的安全能力及安全資源，并在共同作用下，形成了一個統一的云安全管理平臺。該平臺可以為用戶提供十余種安全能力服務，并全盤接管云上的安全資源，從超級管理員、租戶管理員兩個角色的視角看，前者統一管理全局，實施監管平臺的運行狀態，后者則需自行管理云安全資源，在申請批準后，能夠對自身業務安全進行動態掌握[1]。

（3）平臺功能架構

云安全管理平臺的功能架構可以劃分為四點，即一個平臺、兩種視角、三方接口、四大模塊。

一個平臺，為云用戶提供統一的云安全管理平臺，分析并呈現云平臺內部的安全態勢。

兩種視角，上述所說的超級管理員視角以及租戶管理員視角，實現對全局的統一監管，進一步掌握云平臺的運行狀態以及自身業務的安全動態。

三方能力，平臺能夠將底層資源池中的組件進行統一，實現其標準化；促使云安全能力資源化、服務化、目錄化；通過安全服務方式助力云平臺業務快速安全合規。

四大模塊，包括云安全產品能力模塊、云安全專家服務模塊、多樣化云安全需求模塊、立體化綜合云安全模塊。

2 平臺關鍵技術

（1）云安全能力統管

云平臺為用戶提供了更為便捷的安全管理入口，管理人員可以借助平臺，對產品所具備的能力進行統一管理、智能編排，并對平臺的運行狀態實時監管，在安全分析下，保證云平臺良好運行。同時，該平臺能夠呈現出可視化的大屏，向云上用戶展示云平臺和云上業務系統的安全狀態以及運行態勢，為用戶了解、把控平臺提供便利。而云管理平臺的管理人員則需具備屬于自己操作的業務界面以及功能目錄，以確保管理員能夠實時掌握云平臺內部存在的安全攻擊風險。相較于平臺管理員來說，租戶管理員需借助自身的業務界面進行自我管理，在此基礎上，創建適合于自己的云安全能力資源，明確業務所需，并依此有效掌握業務整體的安全動態。

（2）安全能力服務化

云安全管理平臺在建設與運行過程中，借助云計算技術，抽象較為傳統的安全產品能力，同時將硬件設備的能力實施軟硬件解耦，并由專業的技術人員對軟件中的各項核心能力進行打包，在云計算技術的依托下，將各項能力進行匯集并整合到具備統一性能的彈性安全資源池中，便于云上用戶從平臺中獲取想要了解或所需的安全資源以及安全能力。云平臺解耦并改造其內部的安全能力，使其具備云監測、云防御以及云審計三方面的性能，并在此基礎上，完善云安全能力服務，云平臺為云上用戶提供極具可視化的拓撲交互圖，促使用戶可以在明確實際安全需求后，自主選擇安全產品，在云計算技術的加持下，提高配置、使用安全服務的效率。

云平臺內部中涵蓋了多種類型及功能的安全子產品，這些子產品都能夠借助授權方式實現產品激活，實際運行與激活中，會在通用許可下進行，但其自身不會對子產品的多方面安全能力進行限制，且在激活不同類別的子產品時，對于許可授權的消耗量也不相同，如果在運行一段期間后，回收已被激活的安全子產品，其所占用的安全許可也會被自動回收，實現許可本身的循環利用，以此最大程度地發揮安全服務隨開隨用的安全功能[2]。

（3）大數據智能分析

云安全管理平臺在建設、運行與維護的過程中，不僅需要應用云計算技術，提高云安全平臺整體運作的穩定性，還需利用大數據安全分析手段，對平臺內部各項數據信息如資產流量、日志等進行深入挖掘，在AI算法以及各類模型的技術支持下，對云安全平臺展開多維關聯分析，同時將分析得出的資源以及數據信息進一步整合、分析、關聯與判斷，并在完成上述步驟的過程中，找出平臺系統中隱藏的安全威脅以及極具隱蔽性的安全攻擊。同時，在得出數據后，將有價值的數據信息以及存在的威脅直觀地反映給云上用戶。此外，對接下來有可能發生的安全事件進行預測，加強平臺內部各類安全防護能力，在多種防護能力聯動的作用下，實施一鍵封堵處理，盡可能將平臺中存在的安全風險態勢呈現給云上用戶，以保證安全風險的可視化。

（4）平臺的動態調度

云安全平臺中的數據處理中心可以借助云計算技術將平臺系統內部的服務器、存儲設備等安全資源進行整合并分割，在計算時，分布所需計算內容以及任務到由計算機組成的資源池上，促使平臺中的各個系統可以結合自身系統中所需要的安全資源獲取計算力、存儲空間等，確保資源能夠根據所需資源進行合理性的分配以及自動增長。在安全管理平臺分配資源時，可以科學利用平臺的動態調度策略，以保證任務分配的合理性，確保平臺負載能夠一直維持均衡。在實際操作中，將平臺系統內部其中一個資源池作為主服務器，在進行數據處理時，如果主服務器檢測到存在需要處理的安全事件時，能夠自動調度其余閑置的資源池完成安全事件的預處理，同時還能開展事件歸并、去除冗余事件等任務。該項任務結束后，將處理完畢的事件分成多個小任務，再分別調度相應數量的資源池運用關聯算法對事件進行關聯分析，確保每個資源池的負載均衡。上述任務全部完成后，將運行的結果存入到云安全管理平臺的數據庫中，并為空閑的資源池制定風險評估任務，通過云計算技術得出自查或管理域的風險值。

3 云安全管理平臺核心優勢

（1）方案靈活

云計算服務模式可以被分化成多種如私有云、公有云、混合云等服務模式，處于上述服務模式中的云用戶，其在安全建設方面的需求應滿足不同行業、領域，如政務云、教育云、技能云等不同業務的復雜性需求，同時可以在不同行業的各個云場景中制定科學且針對的安全解決方案，助力云用戶通過最為合理且有效的方式完成云安全的建設工作[3]。

（2）快速合規

云安全平臺為用戶設立多種保護措施，例如二級等級保護、三級合規推薦套餐等，后者主要包括在等級保護中開展合規建設時所需要的安全服務以及安全能力，以此保證云上用戶不同需求的等保合規安全要求得以滿足，同時在套餐的助力下，使用戶能夠更加高效地完成安全合規建設，促進云平臺內部的云服務穩定發展。

（3）立體防護

在云安全平臺的運行與建設中，會應用到多種安全防護手段，這類手段在實施時，需依托于云虛擬化設備，且由三個體系共同組成即業務安全監測、防御、審計體系，在體系的支持下，為云用戶打造業務應用安全、虛擬主機安全、數據安全等各層面、各維度的安全防護手段，多種手段協同作業且彼此解耦，平臺安全能力可以根據云上業務的特點以及其屬性進行合理化調整。比如云業務中包含Web業務的應用，針對這一業務時，只需加設法防火墻、Web應用防火墻等安全模塊便可解決有關于Web應用業務的安全需求。

4 結論

云安全管理平臺具有多方位一體化的安全功能，不僅能夠保障網絡中的各項安全如主機安全、應用安全等，還可以對云安全進行監測、防御與審計，進而構建出安全服務式的云安全資源地。在云計算技術、大數據技術的支持下，為用戶設定一站式立體化云安全解決方案。

[1]周忠.云計算技術在計算機網絡中的應用研究[J].河南科技，2021，40（02）：42-44.

[2]林新平.云計算技術及其應用分析[J].集成電路應用，2020，37（09）：98-99.

[3]邱有春.企業信息化背景下云計算技術安全管理及對策研究——評《云計算開發與安全》[J].中國安全生產科學技術，2020，16（03）：189.