云计算公司安全管理（云计算平台主机层安全管理技术分析）

摘要：本文主要针对以下四点问题进行研究，其中包括：对云管理平台的安全问题进行研究，并通过借鉴国内外的状况，重点对云计算平台进行趋势分析，并且针对未来的发展方向重点进行研究；通过针对平台的需求进行分析，并且依照安全性原则，确定平台结构化构架；对关键模块重点详细地进行设计，通过接入安全保障，对安全性业务进行分析，保障信息的可控和感知能力；设置模块，进行模块和身份识别功能，实现访问的安全性，并保障虚拟识别过程中的安全性，为大数据流量进行安全分析，保障IT基础设施的状态监控；针对平台环境进行简单描述，并且根据平台的特点进行功能检测，对于关键功能进行测试，并且将测试的结果进行展现。本文通过不同的方法和技术，将云数据管理平台进行管理，解和虚拟化、弹性计算、作业分发、资源调度、分布式存储等技术，帮助云计算平台开发业务，提供基础保障，实现云服务平台的有效管理，合理利用资源设备，提高安全，促进云管理平台科学有效发展，并且使IPv6/4混合数据流更好地使用，为互联网的发展提供更为安全有效的部署。

1 云计算及其安全性

大数据时代的到来，使得云计算成为人们眼中的明星技术，借助网络的发展，使得用户能够通过网络进行资源以及服务的共享。目前，云数据中心的安全性对云计算的发展起到了决定性的因素。作为其核心处理部分，最重要的是需要保障数据的安全。目前构建的“云数据中心安全管理平台”，是借助云计算服务所建成的[1]，能够通过对用户的身份进行确认，保障数据的安全，资源的安全。

2 云计算平台主机层安全管理的要求

2.1 云计算平台主机层安全管理需求分析

云数据中心安全管理平台的主要功能需求有以下几点[2-5]：

第一，支持IPv6/4混合数据流监控；

第二，系统安全管理、用户准入管理、固定资产管理、安全事件管理、网络脆弱性管理、网络风险管理、安全策略管理、事件响应管理、安全预警管理、安全知识管理、事件报表管理等；

第三，识别虚拟机，包括能够及时掌握虚拟机的迁移动态，根据预测规划虚拟机的迁移路线，实施安全策略确保设备的安全；

第四，合理配置不同设备的安全策略原则，实现与虚拟机的合作，下放安全策略确保数据信息的准确度，此外，虚拟机的外接口需要做认证处理，确保系统的安全以及数据的快速接入；

第五，设置一个安全模块能够更方便的执行安全规则，对系统中的数据进行安全检测，对虚拟机的迁移动态做到实时跟踪；

第六，信息系统的安全性需要不断采集信息以及做到对数据的取证，从而进行评估、检测等操作；

第七，通过多源异构系统完成对物理设备、软件系统、数据库、业务应用系统的数据信息采集以及分析，完成对安全事件的整理、分析等管理；

第八，需要对系统出现问题时的人工或者自动进行审核，保证系统的安全运行，对安全事件进行实时跟踪监控，完善审核流程，统一管理安全事件。

2.2 云计算平台主机层安全管理总体设计

云计算平台的设计思路是将信息安全技术与规范化管理相结合，提高云计算平台的兼容性、规范性以及扩展性，帮助更好的管理网络信息与安全等工作；云计算管理平台实现了人、技术、管理三方面的融合，将管理平台设计得更加人性化，提高系统的云计算的安全性，确保管理工作的规范化，提高系统自身的安全性和规范性[6]。

云数据中心安全管理平台凭借自身平台优势、管理优势以及资源优势能够完善新一代的云计算安全管理平台，可以通过接入安全管理组件、服务运维组件，实现IPv6/4混合数据流监控、虚拟设备状态检测及管理、网络数据内容取证、虚拟操作系统识别、感知部署和迁移等功能实现服务化结构。

云数据中心安全管理平台从用户接入到界面展示都有一套完善的流程，包括用戶权限设置问题、网络环境安全问题、业务满足等问题都能够满足云计算中心对网络安全的各种需求，其中就有数据安全需求以及管理需求等，系统的界面展示的具体内容包括系统的状态、性能等具体信息。云数据中心安全管理平台全面支持系统的虚拟化管理，包括对数据、计算、存储以及安全设备的虚拟化，实现网络安全设备的成功转换[7]；这其中，关键需要看虚拟化设备的安全管理，对虚拟设备的安全检测、虚拟机的迁移动态检测，以及过程中的数据流的安全。

3 云计算平台主机层安全管理关键模块

3.1 身份及访问安全模块

网络安全首先应该注意的就是身份问题，不同的人员需要不同的进入权限。用户进入系统时需要先进行身份验证，之后根据用户的身份分配资源和安全策略，这样才能够保证系统的规范性以及安全性。本模块主要针对的是用户的身份识别问题，包括接入认证、出口认证、身份认证、权限确认以及安全域控制，网络通信安全性等问题。本模块主要从用户接入、主机安全、网络通信三方面对云计算数据中心的安全问题进行相关措施，切实保障系统的安全，保障云数据中心的业务、数据以及应用网络的安全[8]。

用户的认证方式有多种方式可供选择；用户一旦认证成功连同登陆设备都需要绑定；登陆主机时设备的安全检查、主机运行的安全问题；对主机自身存在的漏洞进行解决；用户权限的匹配需要根据用户自身以及设备的状态；对运行的日常数据进行采集，确保系统的稳定运行。本模块的用户认证方式包含：二维码认证、短信认证、无感知认证等；按照用户不同身份进行权限的分配；用户以及登陆设备进行绑定的方式主要包含：用户名、密码、IP地址、MAC地址、认证交换机IP、认证交换机端口号、主机硬盘序列号、IMSI/手机号、SSID等多种方式，完全保证用户信息的安全；短信认证、系统修复可以是自动操作；用户上下线日志功能；用户黑名单功能；Web认证功能；无限身份认证功能；第三方厂商的交换机联动功能[9]。

3.2 基于业务安全度量模块

业务安全性建模模块会在基础架构连接的状态下实现业务层次结构的自动发现与手动调整，系统可以自行判断業务的发展情况，会对设备、服务器、中间件以及数据库、虚拟化平台等支撑网元进行分类处理，如果是同一类别的支撑网元，则需要在业务视图上进行说明，这样做的目的是业务运行人员能够更方便的处理系统。对系统中的数据要采集的话，会有采集周期以及采集的数量之间的问题。采集周期短，意味着需要采集大量的数据用来支撑对系统的实时跟踪分析，这样也能比较迅速地了解系统的运行状态，及时地发现存在的问题并予以解决，能够确保系统安全平稳的运行，但从另一方面说，采集的数量越大，意味着系统所需要承受的压力就越大[10]。

3.3 虚拟机识别迁移模块

虚拟化支持就是对交换机中的所有虚拟化指令的支持，包括虚拟机以及虚拟机迁移、虚拟机报文转发等功能；网络安全设备需要对系统中的设备下放网络安全策略，对系统进行全面部署，使其适应虚拟机的状态。系统还需要时刻准备虚拟机的不同用户所需，针对用户不同的虚拟机要求，确保持续的服务，使用户能够方便在不同的物理宿主机之间进行迁移[11]。

当虚拟机在数据中心进行迁移的时候，需要注意的是必须确保与虚拟机相关的安全策略等的跟随迁移，这样能够确保迁移过程中的数据安全。当虚拟机进行迁移时，虚拟机识别模块需要实现识别到虚拟机的迁移动态，并进行API通告；当虚拟机迁移到新的物理宿主机，需要对外发送新的通告MAC地址，接入设备收到新的地址后要上传到安全管理平台；安全管理平台收到新的地址请求时，需要对比后台的数据库，将原来的地址进行更新，重新与之配置对应资源 ；因为虚拟机迁移状态的关联性，平台需要将迁移有关的所有策略进行重新匹配；匹配完成并生效之后，虚拟机就开始开通数据交换通道进行数据交换处理。

3.4 数据安全模块

对系统的数据需要做到事前扫描、事中分析、事后审计，通过建立安全数据库，来确保用户数据的安全可靠与完整；对数据流量进行分析，确保用户在进行网络操作时能够做出正确可靠的分析判断；数据安全的事后审计是规范性要求，事后的数据审计能够进一步推动系统自身的内部安全，还能够弥补安全策略的不足，提高审计水平。

对数据安全模块的管理首先需要收集流量，从不同的端口采集，包括端口、接口等，收集之后存储到数据库；在网络拓扑的基础上对流量的采集形成一个实时的绘制；对应用的绘画流量进行实时绘制，帮助管理者实时了解流量的使用情况，根据不同的用户所需进行不同的分析管理，对会话的流量分析能够保证深度业务的管理，本模块的管理重点就是对会话流量的分析管理。

3.5 资源监控模块

物理资源监控管理，对物理设备中的数据进行分散采集并集中调度，使用拓扑计算法进行分析，能够及时地发现物理设备之间的关联度，彼此之间的影响力度，管理员通过一系列的分析能够更清晰地了解物理设备的整个逻辑关系。

设备监控是对设备的承载能力的监控；设备的内存空间、设备接口的流量统计、包数以及网络延迟情况；设备接口的利用率；设备的端口流量。对主机的监控主要是对主机的操作系统的监控，对服务器状态的监控；磁盘的使用状态、磁盘读写速率等；物理内存以及缓存的空间使用情况。

4 总结

本文对云数据中心安全管理平台进行设计包括其接入安全管理组件、服务运维组件以及实体交换设备的组合完成，完成云计算数据中心的虚拟机识别以及感知与迁移，同时根据预设不定期下放安全策略，提高安全性；使交换机与虚拟机进行互动，互动的数据信息保证准确无误，能够达到预期并下放安全策略，对虚拟机的接入安全进行认证，确保可以准确分析接入数据；安全模块要下放安全策略，需要对接入的数据进行安全检测，能够对虚拟机的迁移做实时的跟踪分析。云安全管理平台是以云数据中心的特点为基础的，利用多源异构对设备进行监控。对IT设施中的网络设备、服务器、中间件以及数据库等业务的运行状态进行有效监控，达到利用多源异构对IT基础设施的监控与管理。服务器与虚拟机之间的数据交换需要确保数据的准确，网络与设备的结合，能够实现对数据交换的实时监控，同时对交换数据进行分析，保证数据的安全可靠。