1.研究布景
云计较是网格计较、漫衍式计较、并行计较、功效计较、收集存储、虚拟化、负载均衡、等传统计较机手艺和收集手艺成长畅通领悟的产品。借助SaaS、PaaS、IaaS、MSP 等进步前辈的商业模式把这强大年夜的计较能力漫衍到终端用户手中。云计较的核心思惟,是将大年夜量用收集连接的计较资本统一治理和调剂,构成一个计较资本池向用户按需办事。
跟着云计较逐步成为将来成长的趋势,获得了当前业界乃至全社会的存眷,被遍及觉得是新一代信息手艺改变和营业利用模式改变的核心。作为IT根本举措措施、信息办事的交付和利用模式及基于互联网的新型计较模式,云计较使信息手艺加倍简单、易用,使常识普及成本大年夜幅降落,令人们可以或许更好地获得和利用常识,可以或许更好地撑持工作、糊口。云计较的呈现是传统IT 范畴和通信范畴手艺进步、需求鞭策和商业模式改变共同促进的成果,具有以收集为中间、以办事为供给编制、高扩大性和高靠得住性和资本利用虚拟化、透明化等首要特点。跟着云计较手艺及理念的深进利用,操纵云计较强大年夜的办事能力供给安然办事(即云安然)愈来愈成为安然业界存眷的重点,同时云计较手艺及理念也对传统安然手艺及利用产生了深远的影响。
2.云安然办事的关头手艺
当前云计较在资本共享和分派上表现的是一个整体的自力系统,是以固定命目标资本或既定的解决方案为用户供给办事,其营业流程相对比较固定。跟着收集手艺的成长,和基于办事架构(ServiceOriented Architecture,SOA) 思惟的提出,收集安然设备的共享和利用过程应当是基于办事而构成的,对若何发布资本和若何搜刮资本展开了大年夜量的工作,可是若何实现资本和任务在接口、功能、流程、语义、办事质量等方面的智能匹配、寻租、动态组合等,则贫乏有效的解决手段。正因为今朝的安然云手艺没有很好地解决收集安然设备的动态共享与智能分派、终端物理设备智能嵌进式接进等标题问题,使其奉行利用和成长遭到了限制。
安然云触及的关头手艺大年夜致可以分为: 模式、系统架构、尺度和规范;云端化手艺;云办事的综合治理手艺;安然云营业治理模式与手艺。
(1) 安然云模式、系统架构、相干尺度及规范
主如果从系统的角度解缆,研究安然云平台的布局、组织与运行模式等方面的手艺,同时研究撑持实施安然云的相干尺度和规范。包含:撑持多用户的、商业运行的、面向办事的安然系统架构;安然云利用模式下设备的交互、共享、互把持模式;安然云平台的相干尺度、和谈、规范等, 如云办事接进尺度、云办事描述规范、云办事拜候和谈等。
(2) 云端化手艺
首要研究安然云办事供给端各类安然设备的嵌进式云终端封装、接进、调用等手艺, 并研究安然办事要求端接进安然云平台、拜候和调用安然云平台中办事的手艺, 包含:撑持介入安然云的底层终端物理设备智能嵌进式接进手艺、云计较互接进手艺等;云终端设备办事定义封装、发布、虚拟化手艺及响应东西的开辟;云要求端接进和拜候云制造平台手艺,和撑持平台用户利用安然云平台的手艺;物联网实现手艺等。
(3) 云办事综合治理手艺
首要研究和撑持云办事运营商对云端办事进行接进、发布、组织与聚合、治理与调剂等综合治理把持,包含: 云供给端资本和办事的接进治理,犹如一接口定义与治理、认证治理等;高效、动态的云办事组建、聚合、存储编制;高效能、智能化安然云办事搜刮与动态匹配手艺;安然云任务动态构建与摆设、分化、资本办事协同调剂优化建设编制;安然云办事供给模式及奉行,云用户(包含云供给端和云要求端) 治理、授权机制等。
3.系统实现
本文的首要研究内容包含若何操纵蓝盾收集安然云防护平台基于操纵云计较平台,在蓝盾现有的综合收集安然设备和系统的根本上,实现统一威胁治理云办事、统一终端治理云办事、和统一策略治理云办事,表现云计较环境在收集安然,出格是在外网防御方面的优势。同时,本文操纵了基于同态hash(homomorphic hashing)的数据持有性证实编制、虚拟收集随动审计、基于通用的认证和密钥治理框架、可证实安然的高效认证密钥协商和谈、自立可控的细粒度云数据共享拜候节制等手段来呵护用户的隐私和数据安然,消弭用户对云计较的疑虑,保障云平台的不变运行。
蓝盾收集安然云防护平台架构包含有收集安然根本举措措施层IaaS (Security Infrastructure as a Service)、收集安然利用平台层PaaS (Security Platform as a Service),和收集安然办事层SaaS(Security Software as a Service)。此中:
(1)收集安然根本举措措施层IaaS 供给根本的存储资本和计较资本,经由过程开源Xen 云计较虚拟根本举措措施系统机关云根本举措措施层,实现硬件资本的虚拟化,并且以虚拟机为根本单位对资本进行分派、调剂和治理等。Xen 虚拟化了根本举措措施资本,实现了根本举措措施资本的收集化交付。
(2)在IaaS 的根本上,经由过程设计响应的办事接口,实现根本和共性功能,机关收集安然利用平台层PaaS。PaaS 基于开源的Hadoop 云计较利用平台,别离供给HDFS 漫衍式存储和Map/Reduce 并行计较的撑持,为各个立异软件/办事的共性需求供给撑持,包含海量数据存储和备份、海量安然信息的汇集、阐发和监控、协同防御的根基实现。
(3)在PaaS 的根本上,经由过程Web Service 接口,以收集办事的情势供给各类直接面向利用的软件办事,包含云网站防护、云风险评估、云审计和云防火墙等等软件办事。
(1)收集安然根本举措措施层
收集安然根本举措措施层IaaS 供给根本的存储资本和计较资本,经由过程Xen 云计较虚拟根本举措措施系统机关云根本举措措施层,实现硬件资本的虚拟化,并且以虚拟机为根本单位对资本进行分派、调剂和治理等。Xen虚拟化了根本举措措施资本,实现了根本举措措施资本的收集化交付。
Xen 是云虚拟化根本举措措施平台,该云虚拟化根本举措措施平台完成对硬件资本的虚拟化和供给统一的平台对资本进行治理和拜候。在设备中引进虚拟化的概念,使得一个物理设备可以虚拟化为多个设备。同时各个虚拟设备之间的环境有严格的隔离;本项目撑持用户在肆意位置、利用各类终端获得利用办事。用户要求的资本来自“云”,而不是固定的有形的实体。利用在“云”中某处运行,用户无需体味利用运行的具体位置。只需要一台笔记本或一个手机,便可以经由过程收集来实现安然云办事。
Xen 实现了以下首要功能:①硬件资本的虚拟化。经由过程对硬件资本进行虚拟化, Xen 可以或许在不合的硬件环境中虚拟出一致的环境和平台,以简化软件的研发和治理。②硬件资本的多租户共享和办事的安然隔离。Xen 经由过程虚拟化,对硬件资本进行豆割、隔离和共享,可以实现单一硬件上的多组用户共享,晋升硬件资本的操纵率。同时,虚拟化过程构成的严格隔离区域,为各个办事供给安然的运行区域。③资本的池化集约式治理。Xen 对把硬件资本虚拟化后,构成一个统一的大年夜资本池。Xen 集中治理和分派硬件资本,最大年夜化资本的操纵率。④实现了集约式产品研发模式。传统的烟囱式研发需要从硬件平台开端进行产品研发。在整合Xen 平台后,产品研发可以直接从产品的利用模块开端,而无需在考虑软硬件平台等标题问题。
(3)收集安然利用平台层
在收集安然利用平台层,经由过程Hadoop 平台,为收集安然办事层供给多种共性办事,例如网站安然云防护、云防火墙、云安然风险评估,云安然策略治理,云安然协同防御,云安然流量治理等。
4.结论
本文首要摸索了云安然办事所需要的关头手艺,在蓝盾现有的综合收集安然设备和系统的根本上,设计了三层云安然办事架构,实现统一威胁治理云办事、统一终端治理云办事、和统一策略治理云办事,表现云计较环境在收集安然,出格是在外网防御方面的优势。