论文部分内容阅读
摘 要:数据中心是用于容纳计算机系统和相关组件(如电信和存储系统)的设施。它通常包括需要的冗余或备用电源、冗余数据通信连接、环境控制(例如空调、灭火)和各种安全设备。基于云计算的数据中心安全体系能有效保障数据中心运行的安全性和可靠性,本文对该体系的特点和模式进行了研究,以进一步提高数据中心的运行安全性。
关键词:云计算;数据中心;安全体系
1.数据中心的安全管理
物理安全在数据中心中也起着重要作用。现场的实际出入通常限于选定的人员,控制措施包括一个分层的安全系统,通常从栅栏、系船柱和披风开始。如果数据中心很大,或者其中的任何系统包含敏感信息,那么摄像机监控和永久保安几乎总是存在。某些数据保护法规要求记录访问权限。为此,一些组织使用提供访问日志报告的访问控制系统。数据记录可在主入口、机械室入口和白色空间以及设备柜中进行。机柜中的现代访问控制允许与智能配电单元集成,以便锁可以通过同一设备供电和联网。
数据中心基础安全管理(DCIM)是信息技术和设施管理学科的集成,用于集中监控、管理和智能规划数据中心关键系统的容量。通过实施专门的软件、硬件和传感器,DCIM为IT和设施基础设施中所有相互依赖的系统提供了通用的实时监控和管理平台。
根据实施类型的不同,DCIM产品可以帮助数据中心经理识别和消除风险源,以提高关键IT系统的可用性。DCIM产品还可用于确定设施和IT基础架构之间的相互依赖关系,以提醒设施经理注意系统冗余方面的差距,并提供动态、全面的功耗和效率基准,以衡量“绿色IT”计划的成效。
测量和理解数据中心效率指标非常重要。这一领域的许多讨论都集中在能源问题上,但PUE之外的其他指标可以更详细地描述数据中心的运营情况。服务器、存储和员工利用率指标有助于更完整地查看企业数据中心。在许多情况下,磁盘容量未使用,在许多情况下,组织以20 %或更低的利用率运行服务器。更有效的自动化工具还可以增加单个管理员可以处理的服务器或虚拟机的数量。
DCIM提供商正越来越多地与计算流体动力学提供商建立联系,以预测数据中心中复杂的气流模式。CFD组件对于量化计划的未来变化对冷却弹性、容量和效率的影响是必要的。
图1 数据中心网络操作控制室
2.基于云计算的数据中心安全体系
只有正确的防御实施到位,云安全体系结构才是有效的。一个高效的云安全体系结构应该认识到安全管理将出现的问题。安全管理部门通过安全控制来解决这些问题。这些控制措施旨在保护系统中的任何弱点,并减少攻击的影响。尽管云安全体系结构背后有许多类型的控件,但它们通常包括以下部分。
图2 云计算数据安全中心
2.1威慑控制
这些控制旨在减少对数据中心的攻击。威慑控制与栅栏或财产上的警告标志非常相似,通常通过通知潜在攻击者如果他们继续下去将会有不良后果来降低威胁级别。有些人认为它们是预防性控制的一部分。
2.2预防控制
预防性控制通常通过减少(如果不是实际消除)漏洞来加强系统对事件的防范。例如,对云用户的强身份验证使得未经授权的用户访问云系统的可能性降低,并且更有可能肯定地识别云用户。
2.3侦探控制
检测控制旨在检测发生的任何事件并做出适当反应。一旦发生攻击,检测控制将向预防或纠正控制发出信號,以解决问题。系统和网络安全监控,包括入侵检测和防范安排,通常用于检测对云系统和支持通信基础设施的攻击。
2.4纠正控制
纠正控制通常通过限制损害来减少事件的后果。它们在事件期间或之后生效。恢复系统备份以重建受损的系统是纠正控制的一个示例。
3.安全维度
一般建议根据风险选择和实施信息安全控制,通常通过评估威胁、漏洞和影响。数据中心安全问题可以通过各种方式进行分组。云访问安全代理(CASBs)是介于云服务用户和云应用程序之间的软件,用于监视所有活动并实施安全策略。
3.1身份管理
每个企业都有自己的身份管理系统来控制对信息和计算资源的访问。云提供商或使用联邦或SSO技术将客户的身份管理系统集成到他们自己的基础设施中,或使用基于生物特征的身份识别系统,或提供他们自己的身份管理系统。例如,CloudID提供了基于云的隐私保护和跨企业生物识别。它将用户的机密信息与他们的生物特征联系起来,并以加密的方式存储。利用可搜索的加密技术,在加密域中执行生物识别,以确保云提供商或潜在攻击者无法访问任何敏感数据,甚至无法访问单个查询的内容。
3.2人身安全
云服务提供商在物理上保护IT硬件(服务器、路由器、电缆等),防止未经授权的访问,并确保基本供应(如电力)足够强劲,以尽量减少中断的可能性。这通常通过从数据中心提供云应用程序来实现。
3.3人员安全措施
与IT和与云服务相关的其他专业人员相关的各种信息安全问题通常通过雇佣前、雇佣期和雇佣后的活动来处理,例如安全筛选潜在招聘人员、安全意识和培训计划。
3.4隐私
提供商确保所有关键数据(例如信用卡号)都被屏蔽或加密,并且只有授权用户才能访问全部数据。此外,数字身份和凭据必须得到保护,提供商收集或生成的有关云中客户活动的任何数据也必须得到保护。
4.结语
近年来,随着数据中心应用范围的不断扩大,其安全性问题也引起了越来越多的关注。基于云计算的数据中心安全体系可以有效加强数据中心的安全防御系数,降低数据泄露、丢失、被窃取的风险。
参考文献
[1]林小村.数据中心建设与运行管理[M].北京:科学出版社,2010:39-40.
[2]陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2013(5):37-48.
(作者单位:1.中兴通讯股份有限公司;2.北京金谷财行投资有限公司;3.南京安仁电子科技有限公司)
关键词:云计算;数据中心;安全体系
1.数据中心的安全管理
物理安全在数据中心中也起着重要作用。现场的实际出入通常限于选定的人员,控制措施包括一个分层的安全系统,通常从栅栏、系船柱和披风开始。如果数据中心很大,或者其中的任何系统包含敏感信息,那么摄像机监控和永久保安几乎总是存在。某些数据保护法规要求记录访问权限。为此,一些组织使用提供访问日志报告的访问控制系统。数据记录可在主入口、机械室入口和白色空间以及设备柜中进行。机柜中的现代访问控制允许与智能配电单元集成,以便锁可以通过同一设备供电和联网。
数据中心基础安全管理(DCIM)是信息技术和设施管理学科的集成,用于集中监控、管理和智能规划数据中心关键系统的容量。通过实施专门的软件、硬件和传感器,DCIM为IT和设施基础设施中所有相互依赖的系统提供了通用的实时监控和管理平台。
根据实施类型的不同,DCIM产品可以帮助数据中心经理识别和消除风险源,以提高关键IT系统的可用性。DCIM产品还可用于确定设施和IT基础架构之间的相互依赖关系,以提醒设施经理注意系统冗余方面的差距,并提供动态、全面的功耗和效率基准,以衡量“绿色IT”计划的成效。
测量和理解数据中心效率指标非常重要。这一领域的许多讨论都集中在能源问题上,但PUE之外的其他指标可以更详细地描述数据中心的运营情况。服务器、存储和员工利用率指标有助于更完整地查看企业数据中心。在许多情况下,磁盘容量未使用,在许多情况下,组织以20 %或更低的利用率运行服务器。更有效的自动化工具还可以增加单个管理员可以处理的服务器或虚拟机的数量。
DCIM提供商正越来越多地与计算流体动力学提供商建立联系,以预测数据中心中复杂的气流模式。CFD组件对于量化计划的未来变化对冷却弹性、容量和效率的影响是必要的。
图1 数据中心网络操作控制室
2.基于云计算的数据中心安全体系
只有正确的防御实施到位,云安全体系结构才是有效的。一个高效的云安全体系结构应该认识到安全管理将出现的问题。安全管理部门通过安全控制来解决这些问题。这些控制措施旨在保护系统中的任何弱点,并减少攻击的影响。尽管云安全体系结构背后有许多类型的控件,但它们通常包括以下部分。
图2 云计算数据安全中心
2.1威慑控制
这些控制旨在减少对数据中心的攻击。威慑控制与栅栏或财产上的警告标志非常相似,通常通过通知潜在攻击者如果他们继续下去将会有不良后果来降低威胁级别。有些人认为它们是预防性控制的一部分。
2.2预防控制
预防性控制通常通过减少(如果不是实际消除)漏洞来加强系统对事件的防范。例如,对云用户的强身份验证使得未经授权的用户访问云系统的可能性降低,并且更有可能肯定地识别云用户。
2.3侦探控制
检测控制旨在检测发生的任何事件并做出适当反应。一旦发生攻击,检测控制将向预防或纠正控制发出信號,以解决问题。系统和网络安全监控,包括入侵检测和防范安排,通常用于检测对云系统和支持通信基础设施的攻击。
2.4纠正控制
纠正控制通常通过限制损害来减少事件的后果。它们在事件期间或之后生效。恢复系统备份以重建受损的系统是纠正控制的一个示例。
3.安全维度
一般建议根据风险选择和实施信息安全控制,通常通过评估威胁、漏洞和影响。数据中心安全问题可以通过各种方式进行分组。云访问安全代理(CASBs)是介于云服务用户和云应用程序之间的软件,用于监视所有活动并实施安全策略。
3.1身份管理
每个企业都有自己的身份管理系统来控制对信息和计算资源的访问。云提供商或使用联邦或SSO技术将客户的身份管理系统集成到他们自己的基础设施中,或使用基于生物特征的身份识别系统,或提供他们自己的身份管理系统。例如,CloudID提供了基于云的隐私保护和跨企业生物识别。它将用户的机密信息与他们的生物特征联系起来,并以加密的方式存储。利用可搜索的加密技术,在加密域中执行生物识别,以确保云提供商或潜在攻击者无法访问任何敏感数据,甚至无法访问单个查询的内容。
3.2人身安全
云服务提供商在物理上保护IT硬件(服务器、路由器、电缆等),防止未经授权的访问,并确保基本供应(如电力)足够强劲,以尽量减少中断的可能性。这通常通过从数据中心提供云应用程序来实现。
3.3人员安全措施
与IT和与云服务相关的其他专业人员相关的各种信息安全问题通常通过雇佣前、雇佣期和雇佣后的活动来处理,例如安全筛选潜在招聘人员、安全意识和培训计划。
3.4隐私
提供商确保所有关键数据(例如信用卡号)都被屏蔽或加密,并且只有授权用户才能访问全部数据。此外,数字身份和凭据必须得到保护,提供商收集或生成的有关云中客户活动的任何数据也必须得到保护。
4.结语
近年来,随着数据中心应用范围的不断扩大,其安全性问题也引起了越来越多的关注。基于云计算的数据中心安全体系可以有效加强数据中心的安全防御系数,降低数据泄露、丢失、被窃取的风险。
参考文献
[1]林小村.数据中心建设与运行管理[M].北京:科学出版社,2010:39-40.
[2]陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2013(5):37-48.
(作者单位:1.中兴通讯股份有限公司;2.北京金谷财行投资有限公司;3.南京安仁电子科技有限公司)