中國移動(dòng)私有云的安全建設(shè)思路初探
為應(yīng)對(duì)業(yè)務(wù)系統(tǒng)建設(shè)面臨的資源利用率低、規(guī)模擴(kuò)展性有限、提供業(yè)務(wù)應(yīng)用需求快速響應(yīng)能力不足等問題,中國移動(dòng)積極引入云計(jì)算技術(shù),依托云計(jì)算技術(shù)改造現(xiàn)有系統(tǒng),同時(shí)建設(shè)基于虛擬化、集中管理、自動(dòng)調(diào)度的下一代業(yè)務(wù)系統(tǒng)。
在保證資源高效利用、業(yè)務(wù)需求快速響應(yīng)的同時(shí),安全問題也是利用云計(jì)算技術(shù)中必然要考慮的。而且在云計(jì)算模式下,不僅要考慮傳統(tǒng)模式下設(shè)備的安全配置、賬號(hào)口令以及日志管理等問題,更重要的是要解決云計(jì)算自身特性帶來的新的安全問題。以短彩信系統(tǒng)為例,傳統(tǒng)模式下短、彩信中心面臨的主要安全風(fēng)險(xiǎn)一方面在于運(yùn)維人員賬號(hào)口令、日志審計(jì)以及端口服務(wù)等基礎(chǔ)安全落實(shí)不到位造成泄露客戶通信信息,另一方面在于短彩信等系統(tǒng)資源被非法利用濫發(fā)垃圾信息。而以云計(jì)算模式構(gòu)建短彩信系統(tǒng)時(shí),面臨的業(yè)務(wù)風(fēng)險(xiǎn)沒有改變,但增加了導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)的因素,主要是云計(jì)算底層基礎(chǔ)設(shè)施系統(tǒng)運(yùn)維人員非法訪問、安全域劃分不善而導(dǎo)致的上述兩方面的風(fēng)險(xiǎn)。
另外,由于云計(jì)算資源共享、彈性擴(kuò)展等特性,對(duì)業(yè)務(wù)系統(tǒng)的運(yùn)維管理也提出了新的要求。從管理流程上,一方面要針對(duì)業(yè)務(wù)的具體風(fēng)險(xiǎn)制定相應(yīng)的防護(hù)措施。更重要的是要定期安全評(píng)估和檢查,同時(shí)建立對(duì)問題整改的閉環(huán)流程。
1. 中國移動(dòng)私有云安全建設(shè)思路
在私有云平臺(tái)上提供某業(yè)務(wù)服務(wù)時(shí),云計(jì)算固有的虛擬化技術(shù)、資源共享、彈性擴(kuò)展等特征,必然會(huì)給基于云上的業(yè)務(wù)風(fēng)險(xiǎn)的新影響因素。
因此,中國移動(dòng)在構(gòu)建私有云平臺(tái)時(shí),要結(jié)合云計(jì)算自身的特性,針對(duì)承載的業(yè)務(wù)面臨的風(fēng)險(xiǎn)及影響因素,針對(duì)私有云提出安全建設(shè)的思路。
2.1 重建網(wǎng)絡(luò)安全域邊界,加強(qiáng)網(wǎng)絡(luò)安全防護(hù)
傳統(tǒng)網(wǎng)絡(luò)安全域的劃分都是按照網(wǎng)絡(luò)中物理設(shè)備的邊界來設(shè)置。而在私有云場景中,基于物理設(shè)備的網(wǎng)絡(luò)邊界變得模糊,存在一臺(tái)物理設(shè)備上部署不同安全需求和不同安全策略的多種業(yè)務(wù)。另外,傳統(tǒng)網(wǎng)絡(luò)中安全防護(hù)設(shè)備的部署也是圍繞安全域的物理邊界。這一部署方式在私有云的場景下,可以保護(hù)其中的物理設(shè)備,但無法為虛擬化資源提供有效保護(hù)。
云計(jì)算模式下安全域的劃分,需要結(jié)合云計(jì)算的虛擬機(jī)、資源共享、彈性擴(kuò)展等基本特性,重構(gòu)新的安全域邊界?梢圆捎锰摂M機(jī)MAC地址分組控制策略或動(dòng)態(tài)隧道技術(shù)來重建安全域邊界,實(shí)現(xiàn)云計(jì)算網(wǎng)絡(luò)安全域隔離與保護(hù)。
2.2 增強(qiáng)虛擬機(jī)管理器的安全,確保私有云根基穩(wěn)固
虛擬機(jī)管理器作為業(yè)務(wù)系統(tǒng)私有云平臺(tái)的核心,其完整性及可用性是至關(guān)重要的。虛擬機(jī)管理器負(fù)責(zé)為上層虛擬機(jī)所在的各業(yè)務(wù)系統(tǒng)協(xié)調(diào)所有計(jì)算和存儲(chǔ)資源,從而使各業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)。
因此,在構(gòu)建私有云服務(wù)時(shí),私有云平臺(tái)所在的虛擬機(jī)管理器的安全保障尤為關(guān)鍵。在保證操作系統(tǒng)最小化安裝的同時(shí)增強(qiáng)安全配置,限制或禁用某些不安全的服務(wù),以提高系統(tǒng)的安全性。
2.3 做好虛擬機(jī)自身的安全防護(hù),保障業(yè)務(wù)系統(tǒng)正常運(yùn)營
在私有云中構(gòu)建某業(yè)務(wù)系統(tǒng)時(shí),首先要保證云平臺(tái)的虛擬機(jī)自身的安全。一方面需要保證創(chuàng)建虛擬機(jī)的鏡像文件的完整性,另一方面還需要從多個(gè)維度加強(qiáng)對(duì)虛擬機(jī)的安全防護(hù)。
·不同業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)的隔離保障
由于私有云資源共享的特性,就會(huì)給其上的業(yè)務(wù)系統(tǒng)帶來一定的安全風(fēng)險(xiǎn),包括同一物理主機(jī)上虛擬機(jī)之間的攻擊,或某業(yè)務(wù)系統(tǒng)的運(yùn)維人員非法訪問其他業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)。因此保障虛擬機(jī)之間的有效隔離,是業(yè)務(wù)平臺(tái)正常運(yùn)營的基礎(chǔ)所在。
因此,需要確保同一物理機(jī)上不同業(yè)務(wù)系統(tǒng)所在虛擬機(jī)之間的資源隔離?紤]將業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)的IP地址和MAC地址綁定,限制虛擬機(jī)只能發(fā)送本機(jī)地址的報(bào)文,防止虛擬機(jī)之間的地址欺騙。另外,可參照傳統(tǒng)方式,將業(yè)務(wù)系統(tǒng)所在虛擬機(jī)指定專門的虛擬端口,即使在同一臺(tái)物理主機(jī)上的虛擬機(jī)也接收不到其他虛擬機(jī)的數(shù)據(jù)包,防止虛擬機(jī)之間的惡意嗅探。
·業(yè)務(wù)系統(tǒng)所在虛擬機(jī)的訪問控制和權(quán)限管理
由于業(yè)務(wù)系統(tǒng)是構(gòu)建在底層基礎(chǔ)設(shè)施之上的虛擬機(jī)中,因此一旦虛擬機(jī)的訪問控制和權(quán)限管理不當(dāng),就會(huì)造成底層基礎(chǔ)設(shè)施的系統(tǒng)管理員或運(yùn)維人員能訪問或修改上層業(yè)務(wù)系統(tǒng)的相關(guān)信息,從而影響業(yè)務(wù)系統(tǒng)的安全。因此,在業(yè)務(wù)系統(tǒng)的私有云中需要確保虛擬機(jī)賬號(hào)、密碼的安全,并設(shè)置嚴(yán)格的訪問控制方式。對(duì)于底層基礎(chǔ)設(shè)施的系統(tǒng)管理員或運(yùn)維人員賬號(hào)進(jìn)行合理的權(quán)限分配。
·保障在虛擬機(jī)之間以及虛擬機(jī)與虛擬機(jī)管理器之間的通信安全
在業(yè)務(wù)私有云中,業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)之間,以及虛擬機(jī)與下層的虛擬機(jī)管理器之間不可避免的要進(jìn)行信息的通信。因此,需要提供一定的機(jī)制保障彼此之間通信的安全,從而防止某業(yè)務(wù)系統(tǒng)運(yùn)維人員非法嗅探或監(jiān)視虛擬機(jī)網(wǎng)絡(luò)上明文信息的傳輸。
2.4 建立完善的數(shù)據(jù)保護(hù)方案,防止用戶信息非法泄露
由于云計(jì)算資源共享以及彈性動(dòng)態(tài)擴(kuò)展的特性,在業(yè)務(wù)系統(tǒng)的私有云建設(shè)中,對(duì)于用戶信息及業(yè)務(wù)經(jīng)營分析等重要數(shù)據(jù)的保護(hù)面臨更嚴(yán)峻的考驗(yàn)。因此,在制定數(shù)據(jù)保護(hù)方案時(shí),除了要保證傳統(tǒng)模式下數(shù)據(jù)存儲(chǔ)、傳輸、冗余備份等安全防護(hù)之外,還需要結(jié)合云計(jì)算的特性,提供相應(yīng)的防護(hù)措施。
·防止數(shù)據(jù)被底層的系統(tǒng)管理員非法訪問
由于業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)是架設(shè)在底層的基礎(chǔ)設(shè)施之上,一旦底層基礎(chǔ)設(shè)施的系統(tǒng)管理員或運(yùn)維人員權(quán)限分配不當(dāng),就會(huì)造成非法訪問或篡改上層的業(yè)務(wù)信息。因此,在業(yè)務(wù)系統(tǒng)私有云的數(shù)據(jù)保護(hù)中,需要采取一定的措施防止數(shù)據(jù)被底層的系統(tǒng)管理員等的非授權(quán)訪問。
·剩余數(shù)據(jù)徹底刪除,防止被運(yùn)維人員非授權(quán)恢復(fù)
由于私有云共享基礎(chǔ)設(shè)施的特性,使得同一塊存儲(chǔ)資源可能在經(jīng)過處理后分配給其他業(yè)務(wù)系統(tǒng)所用。存儲(chǔ)空間上被刪除后的數(shù)據(jù)變成了剩余數(shù)據(jù),若這些數(shù)據(jù)處理不徹底,可能就會(huì)被后來的業(yè)務(wù)系統(tǒng)的運(yùn)維人員恢復(fù)出來。因此,需要參考國際相關(guān)標(biāo)準(zhǔn)或通用做法進(jìn)行數(shù)據(jù)的徹底刪除,防止被非授權(quán)恢復(fù)。
2.5 私有云管理平臺(tái)統(tǒng)一納入4A系統(tǒng)集中管理
云計(jì)算模式下由于存在專門的云計(jì)算管理平臺(tái)負(fù)責(zé)所有資源的分配、調(diào)度以及業(yè)務(wù)系統(tǒng)的遷移等。一旦云計(jì)算管理平臺(tái)的系統(tǒng)管理員以及運(yùn)維人員權(quán)限設(shè)置不當(dāng)就會(huì)造成對(duì)云計(jì)算平臺(tái)上業(yè)務(wù)系統(tǒng)的非法訪問或信息泄露。因此,對(duì)于業(yè)務(wù)系統(tǒng)私有云管理平臺(tái)也要統(tǒng)一納入公司4A系統(tǒng)進(jìn)行集中管理,通過統(tǒng)一的入口嚴(yán)格控制對(duì)管理平臺(tái)的訪問以及通過管理平臺(tái)對(duì)業(yè)務(wù)系統(tǒng)執(zhí)行的操作。
2. 總結(jié)
私有云整體安全建設(shè)的過程中,一方面需要結(jié)合云計(jì)算的特性,從技術(shù)層面設(shè)計(jì)關(guān)于虛擬機(jī)管理器安全、虛擬機(jī)安全、以及私有云數(shù)據(jù)保護(hù)等新的技術(shù)手段或解決方案,以應(yīng)對(duì)云計(jì)算帶來的新的安全問題和風(fēng)險(xiǎn)。另一方面也需要從管理層面完善相應(yīng)的規(guī)章制度,積極應(yīng)對(duì)云計(jì)算模式下可能出現(xiàn)的各類安全事件,完善安全事件的應(yīng)急響應(yīng)機(jī)制,進(jìn)而保證整個(gè)私有云的安全。
(責(zé)任編輯:admin)- “掃一掃”關(guān)注融合網(wǎng)微信號(hào)
免責(zé)聲明:我方僅為合法的第三方企業(yè)注冊(cè)用戶所發(fā)布的內(nèi)容提供存儲(chǔ)空間,融合網(wǎng)不對(duì)其發(fā)布的內(nèi)容提供任何形式的保證:不保證內(nèi)容滿足您的要求,不保證融合網(wǎng)的服務(wù)不會(huì)中斷。因網(wǎng)絡(luò)狀況、通訊線路、第三方網(wǎng)站或管理部門的要求等任何原因而導(dǎo)致您不能正常使用融合網(wǎng),融合網(wǎng)不承擔(dān)任何法律責(zé)任。
第三方企業(yè)注冊(cè)用戶在融合網(wǎng)發(fā)布的內(nèi)容(包含但不限于融合網(wǎng)目前各產(chǎn)品功能里的內(nèi)容)僅表明其第三方企業(yè)注冊(cè)用戶的立場和觀點(diǎn),并不代表融合網(wǎng)的立場或觀點(diǎn)。相關(guān)各方及作者發(fā)布此信息的目的在于傳播、分享更多信息,并不代表本網(wǎng)站的觀點(diǎn)和立場,更與本站立場無關(guān)。相關(guān)各方及作者在我方平臺(tái)上發(fā)表、發(fā)布的所有資料、言論等僅代表其作者個(gè)人觀點(diǎn),與本網(wǎng)站立場無關(guān),不對(duì)您構(gòu)成任何投資、交易等方面的建議。用戶應(yīng)基于自己的獨(dú)立判斷,自行決定并承擔(dān)相應(yīng)風(fēng)險(xiǎn)。
根據(jù)相關(guān)協(xié)議內(nèi)容,第三方企業(yè)注冊(cè)用戶已知悉自身作為內(nèi)容的發(fā)布者,需自行對(duì)所發(fā)表內(nèi)容(如,字體、圖片、文章內(nèi)容等)負(fù)責(zé),因所發(fā)表內(nèi)容(如,字體、圖片、文章內(nèi)容等)等所引發(fā)的一切糾紛均由該內(nèi)容的發(fā)布者(即,第三方企業(yè)注冊(cè)用戶)承擔(dān)全部法律及連帶責(zé)任。融合網(wǎng)不承擔(dān)任何法律及連帶責(zé)任。
第三方企業(yè)注冊(cè)用戶在融合網(wǎng)相關(guān)欄目上所發(fā)布的涉嫌侵犯他人知識(shí)產(chǎn)權(quán)或其他合法權(quán)益的內(nèi)容(如,字體、圖片、文章內(nèi)容等),經(jīng)相關(guān)版權(quán)方、權(quán)利方等提供初步證據(jù),融合網(wǎng)有權(quán)先行予以刪除,并保留移交司法機(jī)關(guān)查處的權(quán)利。參照相應(yīng)司法機(jī)關(guān)的查處結(jié)果,融合網(wǎng)對(duì)于第三方企業(yè)用戶所發(fā)布內(nèi)容的處置具有最終決定權(quán)。
個(gè)人或單位如認(rèn)為第三方企業(yè)注冊(cè)用戶在融合網(wǎng)上發(fā)布的內(nèi)容(如,字體、圖片、文章內(nèi)容等)存在侵犯自身合法權(quán)益的,應(yīng)準(zhǔn)備好具有法律效應(yīng)的證明材料,及時(shí)與融合網(wǎng)取得聯(lián)系,以便融合網(wǎng)及時(shí)協(xié)調(diào)第三方企業(yè)注冊(cè)用戶并迅速做出相應(yīng)處理工作。
融合網(wǎng)聯(lián)系方式:(一)、電話:(010)57722280;(二)、電子郵箱:2029555353@qq.com dwrh@dwrh.net
對(duì)免責(zé)聲明的解釋、修改及更新權(quán)均屬于融合網(wǎng)所有。
相關(guān)新聞>>
- 云計(jì)算是挖掘大數(shù)據(jù)價(jià)值的核心基礎(chǔ)
- 2014年盤點(diǎn)我國云計(jì)算最嚴(yán)重威脅
- 2014云計(jì)算峰會(huì):云計(jì)算正逐漸落地
- 云計(jì)算與大數(shù)據(jù)行業(yè)促數(shù)據(jù)中心更新?lián)Q代
- 云計(jì)算融入數(shù)據(jù)中心 資源調(diào)配再無阻隔
- 云計(jì)算服務(wù)的成長帶來SaaS的跨越式發(fā)展
- 在云計(jì)算中如何安全地移動(dòng)數(shù)據(jù)
- 云計(jì)算數(shù)據(jù)中心運(yùn)維管理的重點(diǎn)
- 云計(jì)算所帶來的經(jīng)濟(jì)效應(yīng)不可估量
- 2014年云計(jì)算發(fā)展六大趨勢(shì)分析
今日頭條
更多>>您可能感興趣的文章
- 專家支招:確保云計(jì)算安全的12種招式
- 蘇寧構(gòu)想云計(jì)算服務(wù) 與京東商城決一死戰(zhàn)
- 云計(jì)算為三網(wǎng)融合加分
- 企業(yè)“擁抱”云計(jì)算 應(yīng)用是否足夠成熟
- 關(guān)注“云計(jì)算”十大前沿應(yīng)用
- CRM在云計(jì)算中的應(yīng)用
- 中國電信內(nèi)外并舉推動(dòng)云計(jì)算標(biāo)準(zhǔn)發(fā)展
- 微軟落戶經(jīng)開區(qū) 300企業(yè)將率先用上“云計(jì)算”
- 個(gè)人免費(fèi)“云應(yīng)用” 引領(lǐng)中國云趨勢(shì)
- 云計(jì)算安全趨勢(shì):如何妥善管理云端移轉(zhuǎn)
新聞點(diǎn)評(píng)
快速直達(dá)
新聞關(guān)注排行榜
熱門關(guān)鍵字
熱門圖片
- 新疆廣電網(wǎng)絡(luò)“天山云”平臺(tái)正式上線
- Gmail引發(fā)的思考 云存儲(chǔ)有前景云安全遭質(zhì)疑
- 中國云計(jì)算應(yīng)用市場收入規(guī)模將達(dá)1174.12億元
- 華勝天成發(fā)布云計(jì)算業(yè)務(wù)線品牌“天成云”
- 中創(chuàng)中間件云件:全面的云計(jì)算解決方案
- 英特爾收購邁克菲意在云安全服務(wù)
- 從IDC窘境說起 云海集裝箱數(shù)據(jù)中心揭秘
- 云計(jì)算讓成本節(jié)約與效率提升觸手可得
- 哈爾濱投5億發(fā)展云計(jì)算 上網(wǎng)帶寬將提至40M
- 云計(jì)算在規(guī)劃與建設(shè)管理的應(yīng)用