探討運營商業務平臺云計算資源池所采用的安全技術及建設方案

嚴金昌

（廣東長高通信服務有限公司）

探討運營商業務平臺云計算資源池所采用的安全技術及建設方案

嚴金昌

（廣東長高通信服務有限公司）

隨著我國社會經濟的不斷發展，社會各行各業對數據的需求量也越來越大，運營商業務平臺開始采用云計算技術，建立云計算資源池。這在一定程度上提升了資源的完整性、準確性和及時性，有利于業務平臺的可持續發展。本文就針對運營業務平臺云計算資源池所采用的安全技術及建設方案，進行了分析。

運營商；業務平臺；云計算資源池；安全技術；建設

云計算資源池的建設，是一項綜合性、復雜性、技術性的工作，在建設過程中，必須綜合考慮技術水平、業務需求以及建設成本等各方面的因素。其中，最重要的是現有技術水平這一因素，尤其是安全技術，因為運用云計算技術建立的運營商業務平臺是一個開放性的平臺，其面臨著一個廣闊的市場環境，這就意味著各種不安全因素的存在。只有采用最科學實用的安全技術，才能實現運營商業務平臺云計算資源池的順利建成及高效運行。

1 運營商業務平臺云計算資源池所采用的安全技術分析

一般來說，云計算資源池的安全技術主要涉及當前仍具有一定適用性的傳統安全技術以及與云計算聯系緊密的現代化安全技術，以下是具體分析：

1.1 傳統安全技術

從實踐經驗來看，傳統安全技術對云計算資源池的建設來說，具有一定的適用性，主要原因在于傳統安全防護與云計算安全防護并沒有太大差別，其本質基本相同。不同之處，無非在于安全的實現方式。將傳統安全技術應用于云計算資源池的安全建設中，主要可采取以下幾個方面的措施：

（1）網絡層面的措施，可采用訪問權限控制技術，建立一個虛擬的防火墻，進而對非法用戶的進入進行有效監督和防范。

（2）應用層面的措施，可通過用戶認證的方法來實現安全防護，云計算資源池的用戶認證，主要應具備訪問授權和身份管理兩個功能。在訪問授權方面，主要包括對用戶身份的識別、認證、審查和監測。在身份管理方面，主要包括對用戶身份及生命周期的管理，具體來說主要涉及對用戶訪問權限的控制、單點登錄管理、自動化身份標示管理等。

（3）系統層面的措施，整個云計算系統可劃分為虛擬系統和物理系統，可采用補丁修復、病毒查殺以及漏洞修補等安全技術措施。相比現代化新型安全技術來說，傳統安全技術具有成熟度較高、技術風險較低以及成本低的優點。

1.2 現代化新型安全技術

1.2.1 虛擬化安全技術

在運營商業務平臺云計算資源池建設過程中，比較常用的一種現代化安全技術就是虛擬化安全技術，從應用領域上來看，該技術主要可分為存儲虛擬化技術、服務器虛擬化技術以及網絡虛擬化技術，以下是具體介紹：

（1）存儲虛擬化技術，顧名思義，該技術主要用于系統數據存儲的安全防護上，要確保各類存儲數據的安全，首先必須遵循相應的數據安全標準構建備份和容災機制。同時，所有的數據必須根據門類進行安全隔離。在此基礎上，運用存儲虛擬化技術對數據信息傳輸的整個過程進行加密，就能最大限度實現數據存儲和訪問的安全，杜絕用戶隱私信息的泄露。存儲虛擬化技術的實施，需要一定的安全產品作為支撐，可選用IBM的Proventia虛擬化網絡安全防火墻、VMware Vshield App等產品。

（2）服務器虛擬化技術，該技術主要用于對虛擬機的安全防護，降低虛擬機可能遭遇的病毒、漏洞等風險。①應對虛擬機進行安全隔離，以免遭到攻擊的虛擬機影響到其它的虛擬機。②應當定期對虛擬機進行殺毒，修補安全漏洞。此外，還應當制定虛擬機的訪問規則，避免不合法用戶的訪問，并及時撤銷虛擬機中的各種非必要服務，進而降低被攻擊的幾率。

（3）網絡虛擬化技術，該技術適用于對網絡協議、IP地址以及端口的安全防護，主要通過建立虛擬網絡防火墻的方式，在虛擬交換機上設置接入控制標準，避免不合法的虛擬機或物理機接入到網絡系統中。同時，每個虛擬網的端口都安裝了相關的檢測組件，防止非法入侵的出現，為了達到更佳的安全防護效果，還可根據類型和業務的不同，分別對虛擬網進行VLAN劃分和安全隔離。

1.2.2 IAM技術

IAM技術是一種應用范圍較廣的現代化云計算安全技術，其主要功能為策略性的集中式授權、認證管理等。運用該技術對云計算資源池進行安全防護，要求用戶在登錄系統的時候，首先需要通過身份認證，也就是核實用戶的真實身份；然后再進行授權，只有通過授權的用戶才能自由訪問系統中的數據資源。

事實證明，采用IAM技術能為云計算資源池用戶身份的唯一性提供有效保障。現實中，比較典型的IAM技術在云計算安全中的應用主要有CA Technologies公司旗下的身份識別智能系統、IBM公司旗下的訪問保障服務等。

2 運營商業務平臺云計算資源池的建設原則

2.1 容災備份與云安全原則

在進行云計算資源池建設的過程中，必須遵循容災備份與云安全的原則。在容災備份方面，可在資源池建設的初級階段，通過共享存儲和虛擬機的在線熱遷移相結合，實現資源池可用性功能的提升；若要實現更高等級的數據信息備份和容災，則可采取數據鏡像技術、持續數據保護技術、數據快照技術等。在云安全方面，應將傳統安全技術和現代化新型安全技術相結合，憑借虛擬化技術、身份認證和管理技術等，確保整個系統的安全。

2.2 動態性原則

業務平臺云的規模，必須符合未來業務資源的發展需求。因此，在建設云計算資源池的時候，應遵循動態性的原則，確保其具備一定的可擴充性，以便隨著業務需求的不斷增加而擴大資源池的綜合容量。

3 運營商業務平臺云計算資源池的建設方案

3.1 業務網LaaS資源池建設的技術框架

要實現運營商業務平臺云計算資源池的科學有效建設，首先必須建立一個合理的技術框架，該技術框架可分為初期實施和后期初步實施模塊，由虛擬映像管理、虛擬化技術、云管理平臺、安全和容災備份五個部分組成。虛擬映像管理層面主要包括設計創建、虛擬機快照、虛擬機部署和虛擬機復制；虛擬化技術層面主要涉及虛擬服務器、虛擬存儲、虛擬網絡等；云管理平臺由支撐管理、自服務層管理、業務層管理、虛擬層管理和設備層管理組成；安全層面主要涉及網絡安全、運營和管理安全、主機和虛擬安全以及業務和數據安全；容災備份層面則包含異地容災系統和數據備份系統。

3.2 資源池硬件設備的計算和選型

資源池的硬件設備主要可分為計算資源池、存儲資源池、網絡資源池三大模塊。其中，計算資源池主要考慮物理服務器的配置，需要嚴格測算CPU與內存的配比、GE端口的數量等；存儲資源池主要考慮虛擬機的容量、資源池的冗余系數、軟件管理數據區的容量、磁陣RAID系數等；網絡資源池應主要考慮核心交換機和防火墻的設置，涉及到服務器數量、網絡端口數量、設備空間及交換容量等的計算。所有的計算必須有專業人員操作，并根據測算結果確定硬件設備的型號。

3.3 虛擬化技術的采用及虛擬軟件的選型

資源虛擬化技術可分為多種類型，不同類型、不同級別的虛擬化技術，實施的難度也各不相同。因此，在建設云計算資源池時，應根據每種虛擬化技術的實施難度，確定其應用順序。一般來說，利用虛擬化技術對各種資源的整合，應遵循從PC服務器到存儲系統，再到小型機和網絡的順序，虛擬化軟件可采用目前比較成熟的Galax、Xens erver等產品。

4 結語

總之，當今社會，隨著網絡信息技術的普及，人們的日常生活基本已經離不開網絡。這雖然在一定程度上給人們的生活帶來了便利，但是也讓人們面臨各種數據安全風險，越來越多的用戶開始提升對數據信息安全的重視度。對于運營商業務平臺云計算資源池的建設來說，安全防護也是必不可少的。這就需要運用各種現代化的安全技術，并制定科學可行的建設方案，才能實現最佳的建設效果。

[1]張婧，陳磊，等.基于云計算技術的業務平臺整合方案研究.郵電設計技術，2011（10）.

[2]張云帆.云計算LaaS資源池規劃設計與建設方法研究.電信快報：網絡與通信，2012（12）：26～28.

TP393.0

A

1004-7344（2016）26-0282-02

2016-9-4