一种云安全服务架构的设计与实现

  1.研究背景

  云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡、等传统计算机技术和网络技术发展融合的产物。借助SaaS、PaaS、IaaS、MSP 等先进的商业模式把这强大的计算能力分布到终端用户手中。云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。

  随着云计算逐渐成为未来发展的趋势,得到了当前业界乃至全社会的关注,被广泛认为是新一代信息技术变革和业务应用模式变革的核心。作为IT基础设施、信息服务的交付和使用模式及基于互联网的新型计算模式,云计算使信息技术更加简单、易用,使知识普及成本大幅下降,使人们能够更好地获取和使用知识,能够更好地支撑工作、生活。云计算的出现是传统IT 领域和通信领域技术进步、需求推动和商业模式变化共同促进的结果,具有以网络为中心、以服务为提供方式、高扩展性和高可靠性以及资源使用虚拟化、透明化等重要特征。随着云计算技术及理念的深入应用,利用云计算强大的服务能力提供安全服务(即云安全)越来越成为安全业界关注的重点,同时云计算技术及理念也对传统安全技术及应用产生了深远的影响。

  2.云安全服务的关键技术

  当前云计算在资源共享和分配上体现的是一个整体的独立系统,是以固定数量的资源或既定的解决方案为用户提供服务,其业务流程相对比较固定。随着网络技术的发展,以及基于服务架构(ServiceOriented Architecture,SOA) 思想的提出,网络安全设备的共享和应用过程应该是基于服务而形成的,对如何发布资源以及如何搜索资源开展了大量的工作,但是如何实现资源和任务在接口、功能、流程、语义、服务质量等方面的智能匹配、寻租、动态组合等,则缺乏有效的解决手段。正因为目前的安全云技术没有很好地解决网络安全设备的动态共享与智能分配、终端物理设备智能嵌入式接入等问题,使其推广应用和发展受到了限制。

  安全云涉及的关键技术大致可以分为: 模式、体系架构、标准和规范;云端化技术;云服务的综合管理技术;安全云业务管理模式与技术。

  (1) 安全云模式、体系架构、相关标准及规范

  主要是从系统的角度出发,研究安全云平台的结构、组织与运行模式等方面的技术,同时研究支持实施安全云的相关标准和规范。包括:支持多用户的、商业运行的、面向服务的安全体系架构;安全云应用模式下设备的交互、共享、互操作模式;安全云平台的相关标准、协议、规范等, 如云服务接入标准、云服务描述规范、云服务访问协议等。

  (2) 云端化技术

  主要研究安全云服务提供端各类安全设备的嵌入式云终端封装、接入、调用等技术, 并研究安全服务请求端接入安全云平台、访问和调用安全云平台中服务的技术, 包括:支持参与安全云的底层终端物理设备智能嵌入式接入技术、云计算互接入技术等;云终端设备服务定义封装、发布、虚拟化技术及相应工具的开发;云请求端接入和访问云制造平台技术,以及支持平台用户使用安全云平台的技术;物联网实现技术等。

  (3) 云服务综合管理技术

  主要研究和支持云服务运营商对云端服务进行接入、发布、组织与聚合、管理与调度等综合管理操作,包括: 云提供端资源和服务的接入管理,如统一接口定义与管理、认证管理等;高效、动态的云服务组建、聚合、存储方法;高效能、智能化安全云服务搜索与动态匹配技术;安全云任务动态构建与部署、分解、资源服务协同调度优化配置方法;安全云服务提供模式及推广,云用户(包括云提供端和云请求端) 管理、授权机制等。

  3.系统实现

  本文的主要研究内容包括如何利用蓝盾网络安全云防护平台基于利用云计算平台,在蓝盾现有的综合网络安全设备和系统的基础上,实现统一威胁管理云服务、统一终端管理云服务、以及统一策略管理云服务,体现云计算环境在网络安全,特别是在外网防御方面的优势。同时,本文利用了基于同态hash(homomorphic hashing)的数据持有性证明方法、虚拟网络随动审计、基于通用的认证和密钥管理框架、可证明安全的高效认证密钥协商协议、自主可控的细粒度云数据共享访问控制等手段来保护用户的隐私和数据安全,消除用户对于云计算的疑虑,保障云平台的稳定运行。

  蓝盾网络安全云防护平台架构包括有网络安全基础设施层IaaS (Security Infrastructure as a Service)、网络安全应用平台层PaaS (Security Platform as a Service),以及网络安全服务层SaaS(Security Software as a Service)。其中:

  

  图1 蓝盾云安全平台架构

  (1)网络安全基础设施层IaaS 提供基础的存储资源和计算资源,通过开源Xen 云计算虚拟基础设施系统构造云基础设施层,实现硬件资源的虚拟化,并且以虚拟机为基础单位对资源进行分配、调度和管理等。Xen 虚拟化了基础设施资源,实现了基础设施资源的网络化交付。

  (2)在IaaS 的基础上,通过设计相应的服务接口,实现基础和共性功能,构造网络安全应用平台层PaaS。PaaS 基于开源的Hadoop 云计算应用平台,分别提供HDFS 分布式存储以及Map/Reduce 并行计算的支持,为各个创新软件/服务的共性需求提供支持,包括海量数据存储和备份、海量安全信息的采集、分析和监控、协同防御的基本实现。

  (3)在PaaS 的基础上,通过Web Service 接口,以网络服务的形式提供各类直接面向应用的软件服务,包括云网站防护、云风险评估、云审计和云防火墙等等软件服务。

  (1)网络安全基础设施层

  网络安全基础设施层IaaS 提供基础的存储资源和计算资源,通过Xen 云计算虚拟基础设施系统构造云基础设施层,实现硬件资源的虚拟化,并且以虚拟机为基础单位对资源进行分配、调度和管理等。Xen虚拟化了基础设施资源,实现了基础设施资源的网络化交付。

  Xen 是云虚拟化基础设施平台,该云虚拟化基础设施平台完成对硬件资源的虚拟化以及提供统一的平台对资源进行管理和访问。在设备中引入虚拟化的概念,使得一个物理设备可以虚拟化为多个设备。同时各个虚拟设备之间的环境有严格的隔离;本项目支持用户在任意位置、使用各种终端获取应用服务。用户请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,用户无需了解应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络来实现安全云服务。

  图2 Xen 应用体系

  Xen 实现了下列主要功能:①硬件资源的虚拟化。通过对硬件资源进行虚拟化, Xen 能够在不同的硬件环境中虚拟出一致的环境和平台,以简化软件的研发和管理。②硬件资源的多租户共享和服务的安全隔离。Xen 通过虚拟化,对硬件资源进行分割、隔离和共享,可以实现单一硬件上的多组用户共享,提升硬件资源的利用率。同时,虚拟化过程形成的严格隔离区域,为各个服务提供安全的运行区域。③资源的池化集约式管理。Xen 对把硬件资源虚拟化后,形成一个统一的大资源池。Xen 集中管理和分配硬件资源,最大化资源的利用率。④实现了集约式产品研发模式。传统的烟囱式研发需要从硬件平台开始进行产品研发。在整合Xen 平台后,产品研发可以直接从产品的应用模块开始,而无需在考虑软硬件平台等问题。

  (3)网络安全应用平台层

  在网络安全应用平台层,通过Hadoop 平台,为网络安全服务层提供多种共性服务,例如网站安全云防护、云防火墙、云安全风险评估,云安全策略管理,云安全协同防御,云安全流量管理等。

  4.结论

  本文主要探索了云安全服务所需要的关键技术,在蓝盾现有的综合网络安全设备和系统的基础上,设计了三层云安全服务架构,实现统一威胁管理云服务、统一终端管理云服务、以及统一策略管理云服务,体现云计算环境在网络安全,特别是在外网防御方面的优势。

时间: 2024-10-27 11:56:10

一种云安全服务架构的设计与实现的相关文章

云安全是一种基础服务架构

互联网上每天新增的恶意代码和恶意网页都在数十万的量级,严重威胁着用户的上网安全.这些恶意代码,和曾经风靡一时的冲击波等传统病毒相比,变种更多.更新 更快,完全以经济利益为导向,更以网页挂马形式实施大面积传播."所以传统以恶意代码签名为主的防御技术已力有未逮,各大安全厂商都纷纷在安全领域尝试新的思路和技术,在网络安全领域也出现了一个新的名词─云安全.但云安全只是一种基础架构,重要的是为用户提供多种更为实时的安全服务,如防病毒.URL及垃圾邮件过滤等,甚至还可以与软件即服务(SaaS)等商业模式配合

一种云计算环境网络安全服务架构的设计与实现

1.研究背景 云计算是网格计算.分布式计算.并行计算.效用计算.网络存储.虚拟化.负载均衡.等传统计算机技术和网络技术发展融合的产物.借助SaaS.PaaS.IaaS.MSP 等先进的商业模式把这强大的计算能力分布到终端用户手中.云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务. 随着云计算逐渐成为未来发展的趋势,得到了当前业界乃至全社会的关注,被广泛认为是新一代信息技术变革和业务应用模式变革的核心.作为IT基础设施.信息服务的交付和使用模式及基于互

几种常见的微服务架构方案——ZeroC IceGrid、Spring Cloud、基于消息队列、Docker Swarm

微服务架构是当前很热门的一个概念,它不是凭空产生的,是技术发展的必然结果.虽然微服务架构没有公认的技术标准和规范草案,但业界已经有一些很有影响力的开源微服务架构平台,架构师可以根据公司的技术实力并结合项目的特点来选择某个合适的微服务架构平台,以此稳妥地实施项目的微服务化改造或开发进程. 本文选自<架构解密:从分布式到微服务>. 本文盘点了四种常用的微服务架构方案,分别是ZeroC IceGrid.Spring Cloud.基于消息队列与Docker Swarm. ZeroC IceGrid微服

如何拆分你的微服务架构?

如今,市场环境纷繁复杂,瞬息万变,现代企业为了更好地生存,需要有极强的适应能力.快速而轻松地迎接改变,成为了一个优质企业的特征之一,同时企业还要求技术团队构建更科学的架构,搭建成本更低的平台,这就使得这些团队越来越倾向于使用微服务架构来应对以上要求. 微服务的做法有利于软件组件和数据的分散化,将一个整体分解成更小.更容易改变的部分,分散仅帮助团队加快工程进度,而不会牺牲系统的安全性.要想让这种架构工作得很好,需要改变工作方式. 微服务架构的设计,其实是为了使团队能够在执行工作的人之间分配决策权力

互联网保险O2O平台微服务架构设计

关于架构,笔者认为并不是越复杂越好,而是相反,简单就是硬道理也提现在这里.这也是微服务能够流行的原因,看看市场上曾经出现的服务架 构:EJB.SCA.Dubbo等等,都比微服务先进,都比微服务功能完善,但它们都没有微服务这么深入民心,就是因为他们过于复杂.简单就是高科技,苹 果手机据说专门有个团队研究如何能让用户更加简单的操作.大公司都是由小公司发展起来的,如果小公司在开始技术选型时感觉某个框架费时费力就不会选择,而 小公司发展到大公司的过程,一般也伴随着系统不断优化的过程,而不断优化往往不会重

支撑百度搜索引擎99.995%可靠名字服务架构设计

内容来源:2016年12月16日,郑然在"GIAC 全球互联网架构大会"进行<支撑百度搜索引擎99.995%可靠名字服务架构设计>演讲分享.IT大咖说作为独家视频合作方,经主办方和讲者审阅授权发布. 阅读字数:2783 | 4分钟阅读 点击观看嘉宾演讲视频 搜索引擎的挑战 机器数量多,服务数量大:我们有数万台服务器,数十万个服务,分布在多个IDC. 服务变更多,变更数据大:每天几十万次变更,每周10P量级的文件更新,千余人并行开发上百个模块. 检索流量大,稳定性要高:每秒数

IBM针对IT基础架构的架构和设计服务

要具有竞争力,您的组织必须具有健壮的IT 基础架,以便能够适应不断变化的http://www.aliyun.com/zixun/aggregation/12445.html">业务需求.性能不理想并且未与业务需求保持一致的IT环境可能导致运营成本高昂.不灵活以及资源利用率不足.即使理解了业务需求,将需求转变为高效运行的解决方案仍是严峻的挑战.这就是组织通常经历的IT 基础架构战略和实际部署之间的巨大差距,从而导致成本基数增加,而这又可能导致高昂的纠正工作和项目超支. "IBMIT

认证鉴权与API权限控制在微服务架构中的设计与实现(一)

作者: [Aoho's Blog] 引言: 本文系<认证鉴权与API权限控制在微服务架构中的设计与实现>系列的第一篇,本系列预计四篇文章讲解微服务下的认证鉴权与API权限控制的实现. 1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求.微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限.尤其当访问来源不只是浏览器,还包括其他服务

一种基于MapReduce架构的微博用户影响力评价算法的设计与实现

一种基于MapReduce架构的微博用户影响力评价算法的设计与实现 方超    周斌    李爱平 随着互联网的高速发展和Web2.0时代的到来,微博用户正以惊人的速度在增长.新浪微博现以粉丝数作为用户排名的依据,在僵尸粉和大量低使用率帐号的影响下,这种简单的排名依据难以表征用户的影响力.本文以海量新浪微博数据为分析对象,在分布式系统上构建微博用户的影响力评价模型.文章主要以微博用户的转发网络计算微博用户的微博影响力,再利用关注关系计算微博用户的潜在影响力,最后合成微博用户影响力的评价模型.实验