摘要：本文主要針對以下四點問題進行研究，其中包括：對雲管理平台的安全問題進行研究，并通過借鑒國内外的狀況，重點對雲計算平台進行趨勢分析，并且針對未來的發展方向重點進行研究；通過針對平台的需求進行分析，并且依照安全性原則，确定平台結構化構架；對關鍵模塊重點詳細地進行設計，通過接入安全保障，對安全性業務進行分析，保障信息的可控和感知能力；設置模塊，進行模塊和身份識别功能，實現訪問的安全性，并保障虛拟識别過程中的安全性，為大數據流量進行安全分析，保障IT基礎設施的狀态監控；針對平台環境進行簡單描述，并且根據平台的特點進行功能檢測，對于關鍵功能進行測試，并且将測試的結果進行展現。本文通過不同的方法和技術，将雲數據管理平台進行管理，解和虛拟化、彈性計算、作業分發、資源調度、分布式存儲等技術，幫助雲計算平台開發業務，提供基礎保障，實現雲服務平台的有效管理，合理利用資源設備，提高安全，促進雲管理平台科學有效發展，并且使IPv6/4混合數據流更好地使用，為互聯網的發展提供更為安全有效的部署。

1 雲計算及其安全性

大數據時代的到來，使得雲計算成為人們眼中的明星技術，借助網絡的發展，使得用戶能夠通過網絡進行資源以及服務的共享。目前，雲數據中心的安全性對雲計算的發展起到了決定性的因素。作為其核心處理部分，最重要的是需要保障數據的安全。目前構建的“雲數據中心安全管理平台”，是借助雲計算服務所建成的[1]，能夠通過對用戶的身份進行确認，保障數據的安全，資源的安全。

2 雲計算平台主機層安全管理的要求

2.1 雲計算平台主機層安全管理需求分析

雲數據中心安全管理平台的主要功能需求有以下幾點[2-5]：

第一，支持IPv6/4混合數據流監控；

第二，系統安全管理、用戶準入管理、固定資産管理、安全事件管理、網絡脆弱性管理、網絡風險管理、安全策略管理、事件響應管理、安全預警管理、安全知識管理、事件報表管理等；

第三，識别虛拟機，包括能夠及時掌握虛拟機的遷移動态，根據預測規劃虛拟機的遷移路線，實施安全策略确保設備的安全；

第四，合理配置不同設備的安全策略原則，實現與虛拟機的合作，下放安全策略确保數據信息的準确度，此外，虛拟機的外接口需要做認證處理，确保系統的安全以及數據的快速接入；

第五，設置一個安全模塊能夠更方便的執行安全規則，對系統中的數據進行安全檢測，對虛拟機的遷移動态做到實時跟蹤；

第六，信息系統的安全性需要不斷采集信息以及做到對數據的取證，從而進行評估、檢測等操作；

第七，通過多源異構系統完成對物理設備、軟件系統、數據庫、業務應用系統的數據信息采集以及分析，完成對安全事件的整理、分析等管理；

第八，需要對系統出現問題時的人工或者自動進行審核，保證系統的安全運行，對安全事件進行實時跟蹤監控，完善審核流程，統一管理安全事件。

2.2 雲計算平台主機層安全管理總體設計

雲計算平台的設計思路是将信息安全技術與規範化管理相結合，提高雲計算平台的兼容性、規範性以及擴展性，幫助更好的管理網絡信息與安全等工作；雲計算管理平台實現了人、技術、管理三方面的融合，将管理平台設計得更加人性化，提高系統的雲計算的安全性，确保管理工作的規範化，提高系統自身的安全性和規範性[6]。

雲數據中心安全管理平台憑借自身平台優勢、管理優勢以及資源優勢能夠完善新一代的雲計算安全管理平台，可以通過接入安全管理組件、服務運維組件，實現IPv6/4混合數據流監控、虛拟設備狀态檢測及管理、網絡數據内容取證、虛拟操作系統識别、感知部署和遷移等功能實現服務化結構。

雲數據中心安全管理平台從用戶接入到界面展示都有一套完善的流程，包括用戶權限設置問題、網絡環境安全問題、業務滿足等問題都能夠滿足雲計算中心對網絡安全的各種需求，其中就有數據安全需求以及管理需求等，系統的界面展示的具體内容包括系統的狀态、性能等具體信息。雲數據中心安全管理平台全面支持系統的虛拟化管理，包括對數據、計算、存儲以及安全設備的虛拟化，實現網絡安全設備的成功轉換[7]；這其中，關鍵需要看虛拟化設備的安全管理，對虛拟設備的安全檢測、虛拟機的遷移動态檢測，以及過程中的數據流的安全。

3 雲計算平台主機層安全管理關鍵模塊

3.1 身份及訪問安全模塊

網絡安全首先應該注意的就是身份問題，不同的人員需要不同的進入權限。用戶進入系統時需要先進行身份驗證，之後根據用戶的身份分配資源和安全策略，這樣才能夠保證系統的規範性以及安全性。本模塊主要針對的是用戶的身份識别問題，包括接入認證、出口認證、身份認證、權限确認以及安全域控制，網絡通信安全性等問題。本模塊主要從用戶接入、主機安全、網絡通信三方面對雲計算數據中心的安全問題進行相關措施，切實保障系統的安全，保障雲數據中心的業務、數據以及應用網絡的安全[8]。

用戶的認證方式有多種方式可供選擇；用戶一旦認證成功連同登陸設備都需要綁定；登陸主機時設備的安全檢查、主機運行的安全問題；對主機自身存在的漏洞進行解決；用戶權限的匹配需要根據用戶自身以及設備的狀态；對運行的日常數據進行采集，确保系統的穩定運行。本模塊的用戶認證方式包含：二維碼認證、短信認證、無感知認證等；按照用戶不同身份進行權限的分配；用戶以及登陸設備進行綁定的方式主要包含：用戶名、密碼、IP地址、MAC地址、認證交換機IP、認證交換機端口号、主機硬盤序列号、IMSI/手機号、SSID等多種方式，完全保證用戶信息的安全；短信認證、系統修複可以是自動操作；用戶上下線日志功能；用戶黑名單功能；Web認證功能；無限身份認證功能；第三方廠商的交換機聯動功能[9]。

3.2 基于業務安全度量模塊

業務安全性建模模塊會在基礎架構連接的狀态下實現業務層次結構的自動發現與手動調整，系統可以自行判斷業務的發展情況，會對設備、服務器、中間件以及數據庫、虛拟化平台等支撐網元進行分類處理，如果是同一類别的支撐網元，則需要在業務視圖上進行說明，這樣做的目的是業務運行人員能夠更方便的處理系統。對系統中的數據要采集的話，會有采集周期以及采集的數量之間的問題。采集周期短，意味着需要采集大量的數據用來支撐對系統的實時跟蹤分析，這樣也能比較迅速地了解系統的運行狀态，及時地發現存在的問題并予以解決，能夠确保系統安全平穩的運行，但從另一方面說，采集的數量越大，意味着系統所需要承受的壓力就越大[10]。

3.3 虛拟機識别遷移模塊

虛拟化支持就是對交換機中的所有虛拟化指令的支持，包括虛拟機以及虛拟機遷移、虛拟機報文轉發等功能；網絡安全設備需要對系統中的設備下放網絡安全策略，對系統進行全面部署，使其适應虛拟機的狀态。系統還需要時刻準備虛拟機的不同用戶所需，針對用戶不同的虛拟機要求，确保持續的服務，使用戶能夠方便在不同的物理宿主機之間進行遷移[11]。

當虛拟機在數據中心進行遷移的時候，需要注意的是必須确保與虛拟機相關的安全策略等的跟随遷移，這樣能夠确保遷移過程中的數據安全。當虛拟機進行遷移時，虛拟機識别模塊需要實現識别到虛拟機的遷移動态，并進行API通告；當虛拟機遷移到新的物理宿主機，需要對外發送新的通告MAC地址，接入設備收到新的地址後要上傳到安全管理平台；安全管理平台收到新的地址請求時，需要對比後台的數據庫，将原來的地址進行更新，重新與之配置對應資源 ；因為虛拟機遷移狀态的關聯性，平台需要将遷移有關的所有策略進行重新匹配；匹配完成并生效之後，虛拟機就開始開通數據交換通道進行數據交換處理。

3.4 數據安全模塊

對系統的數據需要做到事前掃描、事中分析、事後審計，通過建立安全數據庫，來确保用戶數據的安全可靠與完整；對數據流量進行分析，确保用戶在進行網絡操作時能夠做出正确可靠的分析判斷；數據安全的事後審計是規範性要求，事後的數據審計能夠進一步推動系統自身的内部安全，還能夠彌補安全策略的不足，提高審計水平。

對數據安全模塊的管理首先需要收集流量，從不同的端口采集，包括端口、接口等，收集之後存儲到數據庫；在網絡拓撲的基礎上對流量的采集形成一個實時的繪制；對應用的繪畫流量進行實時繪制，幫助管理者實時了解流量的使用情況，根據不同的用戶所需進行不同的分析管理，對會話的流量分析能夠保證深度業務的管理，本模塊的管理重點就是對會話流量的分析管理。

3.5 資源監控模塊

物理資源監控管理，對物理設備中的數據進行分散采集并集中調度，使用拓撲計算法進行分析，能夠及時地發現物理設備之間的關聯度，彼此之間的影響力度，管理員通過一系列的分析能夠更清晰地了解物理設備的整個邏輯關系。

設備監控是對設備的承載能力的監控；設備的内存空間、設備接口的流量統計、包數以及網絡延遲情況；設備接口的利用率；設備的端口流量。對主機的監控主要是對主機的操作系統的監控，對服務器狀态的監控；磁盤的使用狀态、磁盤讀寫速率等；物理内存以及緩存的空間使用情況。

4 總結

本文對雲數據中心安全管理平台進行設計包括其接入安全管理組件、服務運維組件以及實體交換設備的組合完成，完成雲計算數據中心的虛拟機識别以及感知與遷移，同時根據預設不定期下放安全策略，提高安全性；使交換機與虛拟機進行互動，互動的數據信息保證準确無誤，能夠達到預期并下放安全策略，對虛拟機的接入安全進行認證，确保可以準确分析接入數據；安全模塊要下放安全策略，需要對接入的數據進行安全檢測，能夠對虛拟機的遷移做實時的跟蹤分析。雲安全管理平台是以雲數據中心的特點為基礎的，利用多源異構對設備進行監控。對IT設施中的網絡設備、服務器、中間件以及數據庫等業務的運行狀态進行有效監控，達到利用多源異構對IT基礎設施的監控與管理。服務器與虛拟機之間的數據交換需要确保數據的準确，網絡與設備的結合，能夠實現對數據交換的實時監控，同時對交換數據進行分析，保證數據的安全可靠。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!