一种云计算环境网络安全服务架构的设计与实现

1.研究背景

  云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡、等传统计算机技术和网络技术发展融合的产物。借助SaaS、PaaS、IaaS、MSP 等先进的商业模式把这强大的计算能力分布到终端用户手中。云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。

  随着云计算逐渐成为未来发展的趋势,得到了当前业界乃至全社会的关注,被广泛认为是新一代信息技术变革和业务应用模式变革的核心。作为IT基础设施、信息服务的交付和使用模式及基于互联网的新型计算模式,云计算使信息技术更加简单、易用,使知识普及成本大幅下降,使人们能够更好地获取和使用知识,能够更好地支撑工作、生活。云计算的出现是传统IT 领域和通信领域技术进步、需求推动和商业模式变化共同促进的结果,具有以网络为中心、以服务为提供方式、高扩展性和高可靠性以及资源使用虚拟化、透明化等重要特征。随着云计算技术及理念的深入应用,利用云计算强大的服务能力提供安全服务(即云安全)越来越成为安全业界关注的重点,同时云计算技术及理念也对传统安全技术及应用产生了深远的影响。

  2.云安全服务的关键技术

  当前云计算在资源共享和分配上体现的是一个整体的独立系统,是以固定数量的资源或既定的解决方案为用户提供服务,其业务流程相对比较固定。随着网络技术的发展,以及基于服务架构(ServiceOriented Architecture,SOA) 思想的提出,网络安全设备的共享和应用过程应该是基于服务而形成的,对如何发布资源以及如何搜索资源开展了大量的工作,但是如何实现资源和任务在接口、功能、流程、语义、服务质量等方面的智能匹配、寻租、动态组合等,则缺乏有效的解决手段。正因为目前的安全云技术没有很好地解决网络安全设备的动态共享与智能分配、终端物理设备智能嵌入式接入等问题,使其推广应用和发展受到了限制。

  安全云涉及的关键技术大致可以分为: 模式、体系架构、标准和规范;云端化技术;云服务的综合管理技术;安全云业务管理模式与技术。

  (1) 安全云模式、体系架构、相关标准及规范

  主要是从系统的角度出发,研究安全云平台的结构、组织与运行模式等方面的技术,同时研究支持实施安全云的相关标准和规范。包括:支持多用户的、商业运行的、面向服务的安全体系架构;安全云应用模式下设备的交互、共享、互操作模式;安全云平台的相关标准、协议、规范等, 如云服务接入标准、云服务描述规范、云服务访问协议等。

  (2) 云端化技术

  主要研究安全云服务提供端各类安全设备的嵌入式云终端封装、接入、调用等技术, 并研究安全服务请求端接入安全云平台、访问和调用安全云平台中服务的技术, 包括:支持参与安全云的底层终端物理设备智能嵌入式接入技术、云计算互接入技术等;云终端设备服务定义封装、发布、虚拟化技术及相应工具的开发;云请求端接入和访问云制造平台技术,以及支持平台用户使用安全云平台的技术;物联网实现技术等。

  (3) 云服务综合管理技术

  主要研究和支持云服务运营商对云端服务进行接入、发布、组织与聚合、管理与调度等综合管理操作,包括: 云提供端资源和服务的接入管理,如统一接口定义与管理、认证管理等;高效、动态的云服务组建、聚合、存储方法;高效能、智能化安全云服务搜索与动态匹配技术;安全云任务动态构建与部署、分解、资源服务协同调度优化配置方法;安全云服务提供模式及推广,云用户(包括云提供端和云请求端) 管理、授权机制等。

  3.系统实现

  本文的主要研究内容包括如何利用蓝盾网络安全云防护平台基于利用云计算平台,在蓝盾现有的综合网络安全设备和系统的基础上,实现统一威胁管理云服务、统一终端管理云服务、以及统一策略管理云服务,体现云计算环境在网络安全,特别是在外网防御方面的优势。同时,本文利用了基于同态hash(homomorphic hashing)的数据持有性证明方法、虚拟网络随动审计、基于通用的认证和密钥管理框架、可证明安全的高效认证密钥协商协议、自主可控的细粒度云数据共享访问控制等手段来保护用户的隐私和数据安全,消除用户对于云计算的疑虑,保障云平台的稳定运行。

  蓝盾网络安全云防护平台架构包括有网络安全基础设施层IaaS (Security Infrastructure as a Service)、网络安全应用平台层PaaS (Security Platform as a Service),以及网络安全服务层SaaS(Security Software as a Service)。其中:

  图1 蓝盾云安全平台架构

  (1)网络安全基础设施层IaaS 提供基础的存储资源和计算资源,通过开源Xen 云计算虚拟基础设施系统构造云基础设施层,实现硬件资源的虚拟化,并且以虚拟机为基础单位对资源进行分配、调度和管理等。Xen 虚拟化了基础设施资源,实现了基础设施资源的网络化交付。

  (2)在IaaS 的基础上,通过设计相应的服务接口,实现基础和共性功能,构造网络安全应用平台层PaaS。PaaS 基于开源的Hadoop 云计算应用平台,分别提供HDFS 分布式存储以及Map/Reduce 并行计算的支持,为各个创新软件/服务的共性需求提供支持,包括海量数据存储和备份、海量安全信息的采集、分析和监控、协同防御的基本实现。

  (3)在PaaS 的基础上,通过Web Service 接口,以网络服务的形式提供各类直接面向应用的软件服务,包括云网站防护、云风险评估、云审计和云防火墙等等软件服务。

(1)网络安全基础设施层

  网络安全基础设施层IaaS 提供基础的存储资源和计算资源,通过Xen 云计算虚拟基础设施系统构造云基础设施层,实现硬件资源的虚拟化,并且以虚拟机为基础单位对资源进行分配、调度和管理等。Xen虚拟化了基础设施资源,实现了基础设施资源的网络化交付。

  Xen 是云虚拟化基础设施平台,该云虚拟化基础设施平台完成对硬件资源的虚拟化以及提供统一的平台对资源进行管理和访问。在设备中引入虚拟化的概念,使得一个物理设备可以虚拟化为多个设备。同时各个虚拟设备之间的环境有严格的隔离;本项目支持用户在任意位置、使用各种终端获取应用服务。用户请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,用户无需了解应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络来实现安全云服务。

  图2 Xen 应用体系

  Xen 实现了下列主要功能:

①硬件资源的虚拟化。通过对硬件资源进行虚拟化, Xen 能够在不同的硬件环境中虚拟出一致的环境和平台,以简化软件的研发和管理。

②硬件资源的多租户共享和服务的安全隔离。Xen 通过虚拟化,对硬件资源进行分割、隔离和共享,可以实现单一硬件上的多组用户共享,提升硬件资源的利用率。同时,虚拟化过程形成的严格隔离区域,为各个服务提供安全的运行区域。

③资源的池化集约式管理。Xen 对把硬件资源虚拟化后,形成一个统一的大资源池。Xen 集中管理和分配硬件资源,最大化资源的利用率。

④实现了集约式产品研发模式。传统的烟囱式研发需要从硬件平台开始进行产品研发。在整合Xen 平台后,产品研发可以直接从产品的应用模块开始,而无需在考虑软硬件平台等问题。

  (3)网络安全应用平台层

  在网络安全应用平台层,通过Hadoop 平台,为网络安全服务层提供多种共性服务,例如网站安全云防护、云防火墙、云安全风险评估,云安全策略管理,云安全协同防御,云安全流量管理等。

  4.结论

  本文主要探索了云安全服务所需要的关键技术,在蓝盾现有的综合网络安全设备和系统的基础上,设计了三层云安全服务架构,实现统一威胁管理云服务、统一终端管理云服务、以及统一策略管理云服务,体现云计算环境在网络安全,特别是在外网防御方面的优势。

时间: 2024-10-01 14:19:05

一种云计算环境网络安全服务架构的设计与实现的相关文章

几种常见的微服务架构方案——ZeroC IceGrid、Spring Cloud、基于消息队列、Docker Swarm

微服务架构是当前很热门的一个概念,它不是凭空产生的,是技术发展的必然结果.虽然微服务架构没有公认的技术标准和规范草案,但业界已经有一些很有影响力的开源微服务架构平台,架构师可以根据公司的技术实力并结合项目的特点来选择某个合适的微服务架构平台,以此稳妥地实施项目的微服务化改造或开发进程. 本文选自<架构解密:从分布式到微服务>. 本文盘点了四种常用的微服务架构方案,分别是ZeroC IceGrid.Spring Cloud.基于消息队列与Docker Swarm. ZeroC IceGrid微服

[文档]一种云计算环境下的能效模型和度量方法

一种云计算环境下的能效模型和度量方法 宋  杰,  李甜甜,  闫振兴,  那  俊,  朱志良 提出一种云计算环境下的能效模型和度量方法.首先定义了能效的数学表达及其测量和计算方法,并推导出了能效最大值的发生条件;其次,为方便能效计算,改进了计算机功率和 CPU 工作状态之间关系的数学表达,通过 CPU 使用率和频率来计算能效,从而简化了能效测量方法.此外,还设计并实施了大量实验,验证了提出的能效模型的正确性;同时对单机环境,云计算环境中 CPU 密集型.I/O 密集型和交互型运算进行能效评估

一种云安全服务架构的设计与实现

1.研究背景 云计算是网格计算.分布式计算.并行计算.效用计算.网络存储.虚拟化.负载均衡.等传统计算机技术和网络技术发展融合的产物.借助SaaS.PaaS.IaaS.MSP 等先进的商业模式把这强大的计算能力分布到终端用户手中.云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务. 随着云计算逐渐成为未来发展的趋势,得到了当前业界乃至全社会的关注,被广泛认为是新一代信息技术变革和业务应用模式变革的核心.作为IT基础设施.信息服务的交付和使用模式及基于互

Hadoop集群环境下网络架构的设计与优化

大数据时代,研究大数据的IT 厂商把研究重心放在优化大数据系统软件架构.优化业务逻辑.优化数据分析算法.优化节点性能等方向,而忽略了大数据环境基础设置中网络环节的评估和优化.本文介绍了思科公司在Hadoop 集群环境下的网络架构设计与优化经验. 大数据Hadoop环境网络特性Hadoop 集群中的各节点通过网络连接起来,而且MapReduce 中的以下过程会在网络中传输数据. (1)写数据.当向HDFS 写入初始数据或者大块数据时,会发生数据写入过程.写入的数据块需要备份到其他节点,需要在网络中

云计算环境下基于Mashup的一种电信网络能力服务提供模式

云计算环境下基于Mashup的一种电信网络能力服务提供模式 刘勇 乔秀全 李晓峰 在电信运营商逐步开放其电信能力API的背景下,基于Mashup的业务构建模式,提出了一种云计算环境下的电信网络能力服务提供模式.该模式将Mashup的理念移植到电信能力上,并将电信能力封装成Web Element的形式呈现给用户,进一步提升了电信网络能力服务的抽象层次. 关键词:云计算环境 Telecom 2.0 Mashup 服务提供模式 Web Element [下载地址]:http://bbs.chinacl

如何拆分你的微服务架构?

如今,市场环境纷繁复杂,瞬息万变,现代企业为了更好地生存,需要有极强的适应能力.快速而轻松地迎接改变,成为了一个优质企业的特征之一,同时企业还要求技术团队构建更科学的架构,搭建成本更低的平台,这就使得这些团队越来越倾向于使用微服务架构来应对以上要求. 微服务的做法有利于软件组件和数据的分散化,将一个整体分解成更小.更容易改变的部分,分散仅帮助团队加快工程进度,而不会牺牲系统的安全性.要想让这种架构工作得很好,需要改变工作方式. 微服务架构的设计,其实是为了使团队能够在执行工作的人之间分配决策权力

云计算环境下CA认证中心的研究与设计

云计算环境下CA认证中心的研究与设计 北京邮电大学   盛宇伟 云计算作为一种新的概念,新的服务模式被提出来,是IT行业又一个崭新的方向.云计算按需提供服务,资源合理利用,简单部署模式等优势在未来不但可以有效的推进计算机的发展,而且可以显著的改善人民的生活及工作方式.然而,安全问题一直伴随着云计算的发展,也阻碍了云计算的发展.认证中心(CA)作为公钥基础设施(PKI)的核心,在安全方面尤为重要.因而在云计算环境中构建认证中心有着深远的意义.本文一方面从云计算安全出发,研究云计算中安全问题以及解决

云计算环境搭建综合全面的自动化框架

所以无论您是环境部署工程师还是自动化脚本开发人员,如果您想开发一套自动化环境部署的解决方案,阅读本文将会有助于您的工作.作者所在的项目是 IBM 基于企业级的 一款庞大而 复杂的云计算战略产品,通过为用户提供可视化的网络平台接口,充分和快捷地帮助客户部署高灵活度的云方案.在项目开发及上线过程中,平均每四个小时会发布一个 新的安装版本,从软件测试到生产发布需要超过四个环境的支持,尤其在 Demo(演示)环境每天需要部署一次,每个环境会涉及冗余 镜像服务.分布式架构.加密的 VPN 终端访问.而部署

云计算环境下基于Petri网的流程计费模型

云计算环境下基于Petri网的流程计费模型 黄卫东   于瑞强 通过分析云计算环境下服务模块流程组合的动态性,运用随机Petri网进行动态流程建模与追踪,给出了分层计费体系下的流程计费模型,使用Petri网对该计费流程进行建模分析和设计,便于云服务提供商实现基于状态的计费控制,从而优化计费策略.实现了云计算基于过程模型的服务计量,并根据该模型进行相应定价,用户即可按需付费.通过应用实例验证了该计费方法的有效性和可操作性,为云服务提供商计费决策提供了技术支撑. 云计算环境下基于Petri网的流程计