张凯

摘 要 Eucalyptus是用来满足大数据环境弹性需求的一款软件，运行环境通常为成组的服务器或者系统集群，一般运行在Linux环境下，使用Web服务。Eucalyptus云平台为用户提供了登录证书认证功能又增加了访问控制、数据加密以及日志管理功能，从而用户的可信度大大提高。

关键词 Eucalyptus；大数据；安全平台

中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2018）217-0113-02

1 Eucalyptus平台构架介绍

一个基于Eucalyptus的多维化安全性高的大数据平台包括中包含了处理数据的数据存储、控制模块，对集群和节点进行控制的模块，以及后来添加的对资源和任务进行管理的模块。为了保证这两个新增模块不出异常在基础设施层要保证负载的均衡分配，系统资源方面也要尽量实现最优化的利用。

除此之外，在Eucalyptus提供的用户认证和登录功能的基础之上，加强具体用户访问云平合的安全性。整个架构自上而下分别为平台应用层、平台表现层、平台控制层、设备管理层和基础设施层。

平台应用层在企业资源规划客户关系管理和资源规划三方而起作用，为企业、教育机构和政府等提供服务。平台表现层则是面向服务的体系结构，采用工作流技术通过Web技术来表现那些通常情况下位于底层的、不可见的资源和业务，这样就使得用户可见的层面上的一切皆是服务。建立平台控制层的目的是搭建一个量级较轻的、灵活性强的平台以供使用，该层主要分为3个模块，分别作用于资源分配、安全防范和任务协调，这3个模块相辅相成，实现了多角度、多方面的安全保障。

对于资源分配模块来说，它的功能不仅仅是进行资源分配，还可以对资源进行监控和调用。对于安全防范模块来说，它包含访问控制、负载均衡和数据加解密等功能。对于任务协调模块来说，不仅可以对任务进行分解执行，还可以对任务进行监控。设备管理层利用Eucalyptus这个平台实现对虚拟机的基本管理，Eucalyptus的功能很强大，使用其提供的功能便可以分配不同的虚拟机和簇，建立一个良好的环境。基础设施层指的是位于底层的各种服务器，比如虚拟机服务器等。使用这些服务器可以构建必需的云环境来确保云端的计算、存储等正常运行。

2 Eucalyptus服务对象

Eucalyptus平台在安全服务部分的产品主要涉及以下几个对象。

2.1 电子邮件过滤（包括备份、归档和电子发现）

虽然电子发现不只包含电子邮件，但因为机构信息大多是通过电子邮件传输的，电子邮件开始成为发现威胁的最合适位置。

对于电子邮件来说，安全服务的内容主要包括清理垃圾邮件、钓鱼邮件以及包含在电子邮件流中的恶意软件，然后将安全的电子邮件提供给机构，使邮件不会再次被污染。这种方法的好处在于：多引擎的存在使用户的安全性不仅能得到更加完善的保障，还可以使设备的性能得到提升，更好地管理反恶意软件。反恶意软件管理之所以优于终端解决方案，是因为反恶意软件与处理器和操作系统无关，这样可以通过云计算来进行集中的管理而不用分散地处理从多个反恶意软件提供商處获得的多个管理系统。

这种包含在云计算中的清理服务带来的好处是：减小电子邮件占用的带宽、降低电子邮件服务器的负荷，以及提高反恶意软件的效果。虽然安全服务主要对入站电子邮件进行处理，但在出站电子邮件方面也常使用安全服务。

许多机构为了确保其发送的邮件不会在不经意间感染恶意代码，使用安全及服务来清理出站电子邮件可以有效解决问题除此之外，安全服务可以对出站的电子邮件按机构关于电子邮件加密的策略来执行，通常对电子邮件的加密在服务器到服务器层面执行，这样不需要个人用户的参与，也不需要使用密钥来管理。这可以通过在传输层的网络通信中使用安全套接字层（SSL）或传输层安全协议（TIS）实现。

使用安全即服务来进行反恶意软件的另一个好处是，它凌驾于企业终端可见恶意软件威胁之上，从其中提炼出来了它们的整体特性，与设备类型、位置、操作系统或者处理器架构无关，拥有更广阔的视野，对于机构的信息安全性有很大帮助。电子邮件的安全服务也包括其备份和归档。

这个服务的对象通常是存储在集中的存储库中的索引机构的电子邮件信息及其附件。机构可以在这个集中的存储库中使用些参数进行索引，参数包括数据范围、收件人、发件人、主题以及内容。这些功能对电子发现是非常有用的，如果没有这些功能，电子发现的过程将会耗费大量资源。

2.2 网页内容过滤

网页内容过滤属于机构终端的处理，无论在机构设施内、在家中还是在公路上，当用户试图获取网页信息时，这些流暈就会被转移到安全服务提供商处进行排除恶意软件威胁的扫描，以确保只有干净的流量才会被传送到终端用户。

机构可以通过允许、阻止或限制流量的方式执行其网页流量策略。由于当今可访问的网站数目异常庞大，早期部署于机构内部的URL（统一资源定位符）过滤解决方案变得越来越低效，很难满足需求。而安全服务提供商可以通过对HTTP（超文本传输协议）头信息、页面内容以及嵌入的链接的检査，更好地了解网站的内容，从而为URL过滤措施提供帮助。除此之外，这些服务使用集体信誉记分制以加强过滤的精度。

网页内容的安全服务还对出站的网络流量进行扫描，防止用户无意识地向外传递敏感信息、（如ID号码、信用卡信息等）从而导致信息泄露。网络流量的扫描还会对内容文件类型进行分析并进行模式匹配，以防止数据泄露。

2.3 漏洞管理

随着互联网机构的规模越来越大、复杂度越来越高，以及地位的提升，保障相关系统的安全性和稳定性就显得越来越重要，同时也越来越不易。一些安全服务提供商发现系统漏洞，并进行评，然后报告并修补这些漏洞，以此确保系统的安全、正常运行。

与电子邮件过滤、网页内容过滤和漏洞管理等安全服务中的经典产品不同，身份管理即服务（IDaaS）是近期才出现的安全服务实例。和在云计算中经常使用的身份及访问管理（IAM）相比，目前所使用的身份及访问管理功能有明显不足和缺陷。身份管理服务在云计算中提供身份管理及访问管理的功能。

早期的身份管理服务产品关注的重点往往是身份验证，因为用户最关心的便是这一方面。但是，对于云计算服务提供商來说，首要任务是针对身份管理服务提供商开发协同元系统。正如元目录的规模在机构内不会发生改变，虚拟目录的规模也不会根据云计算的水平而发生改变。身份管理服务提供商也需要为云计算中的用户提供其他的身份及访问管理服务，包括授权、用户开通和审计。

3 结论

当前存在的几个安全服务产品不仅可行性强，而且十分成熟。其中，电子邮件和网页内容过滤已经为许多企业提供了几年的时间，并且云计算服务提供商提供此类服务的方法也具有成熟性和先进性。但有一些安全服务产品出现的时间不长，还需要不断的完善（如身份管理服务）。

目前，已有一些云计算服务提供商运用自己定制的云计算环境为多个机构提供安全服务了，但至今还没有一家正规的、有实力的云计算服务提供商（包括Rightscale Proofpoint Workday、Google、Amazon、Salesforce、Microsoft等）能够将安全服务集成为一种产品提供出来。

参考文献

[1]陈左宁，王广益，胡苏太，等.大数据安全与自主可控[J].科学通报，2015，60（5）：427-432.

[2]冯登国，张敏，李昊.大数据安全与隐私保护[J].计算机学报，2014，37（1）：246-258.

[3]傅颖勋，罗圣美，舒继武.安全云存储系统与关键技术综述[J].计算机研究与发展，2013，50（1）：136-145.

[4]冯伟.大数据时代面临的信息安全机遇和挑战[J].中国科技投资，2012（34）：49-53.

[5]刘正伟，张华忠，文中领，等.海量数据持续数据保护技术研究及实现[J].计算机研究与发展，2012，49（s1）：37-41.

[6]杨高明，杨静，张健沛.隐私保护的数据发布研究[J].计算机科学，2011，38（9）：11-17.

[7]杨建春.网络环境下数据安全控制技术研究[J].甘肃科技，2011，27（16）：22-24.