严金昌

（广东长高通信服务有限公司）

探讨运营商业务平台云计算资源池所采用的安全技术及建设方案

严金昌

（广东长高通信服务有限公司）

随着我国社会经济的不断发展，社会各行各业对数据的需求量也越来越大，运营商业务平台开始采用云计算技术，建立云计算资源池。这在一定程度上提升了资源的完整性、准确性和及时性，有利于业务平台的可持续发展。本文就针对运营业务平台云计算资源池所采用的安全技术及建设方案，进行了分析。

运营商；业务平台；云计算资源池；安全技术；建设

云计算资源池的建设，是一项综合性、复杂性、技术性的工作，在建设过程中，必须综合考虑技术水平、业务需求以及建设成本等各方面的因素。其中，最重要的是现有技术水平这一因素，尤其是安全技术，因为运用云计算技术建立的运营商业务平台是一个开放性的平台，其面临着一个广阔的市场环境，这就意味着各种不安全因素的存在。只有采用最科学实用的安全技术，才能实现运营商业务平台云计算资源池的顺利建成及高效运行。

1 运营商业务平台云计算资源池所采用的安全技术分析

一般来说，云计算资源池的安全技术主要涉及当前仍具有一定适用性的传统安全技术以及与云计算联系紧密的现代化安全技术，以下是具体分析：

1.1 传统安全技术

从实践经验来看，传统安全技术对云计算资源池的建设来说，具有一定的适用性，主要原因在于传统安全防护与云计算安全防护并没有太大差别，其本质基本相同。不同之处，无非在于安全的实现方式。将传统安全技术应用于云计算资源池的安全建设中，主要可采取以下几个方面的措施：

（1）网络层面的措施，可采用访问权限控制技术，建立一个虚拟的防火墙，进而对非法用户的进入进行有效监督和防范。

（2）应用层面的措施，可通过用户认证的方法来实现安全防护，云计算资源池的用户认证，主要应具备访问授权和身份管理两个功能。在访问授权方面，主要包括对用户身份的识别、认证、审查和监测。在身份管理方面，主要包括对用户身份及生命周期的管理，具体来说主要涉及对用户访问权限的控制、单点登录管理、自动化身份标示管理等。

（3）系统层面的措施，整个云计算系统可划分为虚拟系统和物理系统，可采用补丁修复、病毒查杀以及漏洞修补等安全技术措施。相比现代化新型安全技术来说，传统安全技术具有成熟度较高、技术风险较低以及成本低的优点。

1.2 现代化新型安全技术

1.2.1 虚拟化安全技术

在运营商业务平台云计算资源池建设过程中，比较常用的一种现代化安全技术就是虚拟化安全技术，从应用领域上来看，该技术主要可分为存储虚拟化技术、服务器虚拟化技术以及网络虚拟化技术，以下是具体介绍：

（1）存储虚拟化技术，顾名思义，该技术主要用于系统数据存储的安全防护上，要确保各类存储数据的安全，首先必须遵循相应的数据安全标准构建备份和容灾机制。同时，所有的数据必须根据门类进行安全隔离。在此基础上，运用存储虚拟化技术对数据信息传输的整个过程进行加密，就能最大限度实现数据存储和访问的安全，杜绝用户隐私信息的泄露。存储虚拟化技术的实施，需要一定的安全产品作为支撑，可选用IBM的Proventia虚拟化网络安全防火墙、VMware Vshield App等产品。

（2）服务器虚拟化技术，该技术主要用于对虚拟机的安全防护，降低虚拟机可能遭遇的病毒、漏洞等风险。①应对虚拟机进行安全隔离，以免遭到攻击的虚拟机影响到其它的虚拟机。②应当定期对虚拟机进行杀毒，修补安全漏洞。此外，还应当制定虚拟机的访问规则，避免不合法用户的访问，并及时撤销虚拟机中的各种非必要服务，进而降低被攻击的几率。

（3）网络虚拟化技术，该技术适用于对网络协议、IP地址以及端口的安全防护，主要通过建立虚拟网络防火墙的方式，在虚拟交换机上设置接入控制标准，避免不合法的虚拟机或物理机接入到网络系统中。同时，每个虚拟网的端口都安装了相关的检测组件，防止非法入侵的出现，为了达到更佳的安全防护效果，还可根据类型和业务的不同，分别对虚拟网进行VLAN划分和安全隔离。

1.2.2 IAM技术

IAM技术是一种应用范围较广的现代化云计算安全技术，其主要功能为策略性的集中式授权、认证管理等。运用该技术对云计算资源池进行安全防护，要求用户在登录系统的时候，首先需要通过身份认证，也就是核实用户的真实身份；然后再进行授权，只有通过授权的用户才能自由访问系统中的数据资源。

事实证明，采用IAM技术能为云计算资源池用户身份的唯一性提供有效保障。现实中，比较典型的IAM技术在云计算安全中的应用主要有CA Technologies公司旗下的身份识别智能系统、IBM公司旗下的访问保障服务等。

2 运营商业务平台云计算资源池的建设原则

2.1 容灾备份与云安全原则

在进行云计算资源池建设的过程中，必须遵循容灾备份与云安全的原则。在容灾备份方面，可在资源池建设的初级阶段，通过共享存储和虚拟机的在线热迁移相结合，实现资源池可用性功能的提升；若要实现更高等级的数据信息备份和容灾，则可采取数据镜像技术、持续数据保护技术、数据快照技术等。在云安全方面，应将传统安全技术和现代化新型安全技术相结合，凭借虚拟化技术、身份认证和管理技术等，确保整个系统的安全。

2.2 动态性原则

业务平台云的规模，必须符合未来业务资源的发展需求。因此，在建设云计算资源池的时候，应遵循动态性的原则，确保其具备一定的可扩充性，以便随着业务需求的不断增加而扩大资源池的综合容量。

3 运营商业务平台云计算资源池的建设方案

3.1 业务网LaaS资源池建设的技术框架

要实现运营商业务平台云计算资源池的科学有效建设，首先必须建立一个合理的技术框架，该技术框架可分为初期实施和后期初步实施模块，由虚拟映像管理、虚拟化技术、云管理平台、安全和容灾备份五个部分组成。虚拟映像管理层面主要包括设计创建、虚拟机快照、虚拟机部署和虚拟机复制；虚拟化技术层面主要涉及虚拟服务器、虚拟存储、虚拟网络等；云管理平台由支撑管理、自服务层管理、业务层管理、虚拟层管理和设备层管理组成；安全层面主要涉及网络安全、运营和管理安全、主机和虚拟安全以及业务和数据安全；容灾备份层面则包含异地容灾系统和数据备份系统。

3.2 资源池硬件设备的计算和选型

资源池的硬件设备主要可分为计算资源池、存储资源池、网络资源池三大模块。其中，计算资源池主要考虑物理服务器的配置，需要严格测算CPU与内存的配比、GE端口的数量等；存储资源池主要考虑虚拟机的容量、资源池的冗余系数、软件管理数据区的容量、磁阵RAID系数等；网络资源池应主要考虑核心交换机和防火墙的设置，涉及到服务器数量、网络端口数量、设备空间及交换容量等的计算。所有的计算必须有专业人员操作，并根据测算结果确定硬件设备的型号。

3.3 虚拟化技术的采用及虚拟软件的选型

资源虚拟化技术可分为多种类型，不同类型、不同级别的虚拟化技术，实施的难度也各不相同。因此，在建设云计算资源池时，应根据每种虚拟化技术的实施难度，确定其应用顺序。一般来说，利用虚拟化技术对各种资源的整合，应遵循从PC服务器到存储系统，再到小型机和网络的顺序，虚拟化软件可采用目前比较成熟的Galax、Xens erver等产品。

4 结语

总之，当今社会，随着网络信息技术的普及，人们的日常生活基本已经离不开网络。这虽然在一定程度上给人们的生活带来了便利，但是也让人们面临各种数据安全风险，越来越多的用户开始提升对数据信息安全的重视度。对于运营商业务平台云计算资源池的建设来说，安全防护也是必不可少的。这就需要运用各种现代化的安全技术，并制定科学可行的建设方案，才能实现最佳的建设效果。

[1]张婧，陈磊，等.基于云计算技术的业务平台整合方案研究.邮电设计技术，2011（10）.

[2]张云帆.云计算LaaS资源池规划设计与建设方法研究.电信快报：网络与通信，2012（12）：26～28.

TP393.0

A

1004-7344（2016）26-0282-02

2016-9-4