◆丁昊天 张晨飞
(中机新时代有限公司 北京 100089)
基于大数据平台的云安全建设
◆丁昊天 张晨飞
(中机新时代有限公司 北京 100089)
目前大数据在世界范围内得到迅速的发展,但是也在发展中遇到许多的挑战,为此,构建一整套的大数据平台的云安全体系是非常有必要的。本文主要阐述了大数据平台面对的问题,系统的提出了云安全体系建设的主要方案,旨在通过完善云安全体系,提高各个单位在云上的运行安全性。
大数据;云安全体系;建设措施
随着云服务和云计算的发展,其在发展过程中面临的一个重要的挑战就是云安全,其中,云安全在技术和管理方面出现了很多问题。在云计算的发展环境下,资源共享、多元化的服务类型以及用户数量的大量增长等导致多个方面都出现了一定的问题。最近几年来,像谷歌、亚马逊等云计算领先的服务商都出现了重大的云服务安全事故,造成大范围的服务中断。所以说,云计算面对的一个重要问题就是其安全性,加强云安全建设势在必行。
大数据安全势必是一场斗争,在大数据领导的时代,以电商社交为代表的互联网、以微博微信为代表的移动互联网、以传感器为代表的物联网、以及金融电信等各行各业都在产生着大量的数据,已经开始作为一种生产要素发挥着极其重要的作用,成为竞争的有力因素。大数据虽然包含着比较多的信息量,但是在发展过程中也因此会产生较多的风险挑战。
在大数据环境下产生了应用防护风险,资源被泛滥使用和恶用,拒绝服务攻击,WEB安全等。虚拟环境产生安全风险。在引进新的虚拟技术过程中,大数据系统就增加了新的安全风险,比如说,在一个管理程序中运行多个虚拟机,那么虚拟数据中心攻击的最主要目标就是这个管理程序,因为一旦攻破这个管理程序就可以访问许多个数据中心的虚拟系统。
2.1 云平台安全
云平台本身的技术种类繁多,复杂多样,还不够成熟。开发单位在集数据库、消息队列等多个功能的云平台上,通过其提供的语言和工具进行开发,接口安全和运行安全是云平台安全的两个重要部分。
云平台接口安全。云平台在开放接口之后面临的最大的威胁就是通过利用该接口攻击内部外部以及滥用云服务。在建设云安全体系中,应该加强访问控制,比如说,实行强用户认证、保障有效的加密等措施。
云安全运行安全。云平台开放后面临的又一个问题就是搭载于云平台上的用户 IT系统,需要通过加强安全审核和监控用户应用的力度,同时加强不同用户的系统隔离。使用安全组防火墙提供三层隔离,在同一组的不同服务器可以互相访问,不同安全组的服务器则无法做到这一点。
2.2 服务器安全
整合服务器,之所以进行服务器整合,是因为可以通过整合把部分业务转移到虚拟平台再进行运行,这样不仅能够节约系统资源,而且方便管理容易更新。
对于不同业务的系统区域要进行合理的配置,同一台服务器上最好不要部署不同级别的业务设计。
合理划分安全区域,在划分过程中,及时满足公网访问和运行维护管理的需求。
要充分保证业务之间的隔阂,在服务器整合之后,重新评估公共防火墙的性能,如果现有的设备数量无法满足所需时,要增加新的防火墙设备。
加强对虚拟化平台的防护,保护虚拟化平台,可以通过启用现有的安全选项加固系统。
加强云计算的备份与恢复能力。
2.3 数据安全
根据云计算的自身特点和数据生命周期,构建云端数据安全体系。
数据访问。用户通常都是需要通过控制台日常操作才能访问云资源,把用户和云产品的对应关系运用对称加密的形式来鉴别身份。运行维护管理人员在对大数据中心和云计算进行操作时都需要双重鉴定来实现认证,即静态密码结合动态令牌。操作时需要的权限需要多个层面的审批和固化规则,当出现违规操作时就会自动报警。
数据传输。用户的个人账户产生的数据和云端生产产生的数据是两种不同的数据对象,在进行传输控制时需要从客户端到云端,云端再到服务间,云服务到云服务控制这三个层次的控制系统来完成。需要注意的是个人数据在从客户端到云端传输时一律都要使用SSL进行加密,后面的两者都是使用程序进行加密来确保个人数据不落地。
数据存储。在保存云端生产数据过程中,不管使用的是哪一种云服务器,都要将数据采用碎片分布式离散技术进行粉碎,就是说数据被切割成许多片段通过随机分散保存在不同的机架,而且每一个片段都会有多个副本进行保存。根据每一个用户ID的不同云服务系统将其云端数据进行隔离,客户的云存储空间访问权限是由其对称加密所控制的,确保云端数据的访问权限最小化。
数据销毁。在客户要求删除存储数据或者是使用的设备被售出抛弃时,都要运用内存释放和清空数据来彻底删除所有的数据。在云计算环境下,许多硬盘在外进行维修或者是服务器报废时都会导致数据失窃,大数据中心必须遵循标准流程:磁盘更换时换下来的磁盘每盘都保证消磁,每一个磁盘的消磁记录都能够被查到,消磁的视频做到每天可溯。不断加大磁盘消磁工作的视频监控力度,完善相应的策略,在监控过程中确保操作防抵赖性和监控视频的保存完整性。
2.4 虚拟桌面云安全
虚拟桌面的主要作用就是实行集中管理和维护,把用户的电脑环境转移到虚拟的主机环境,在这个环境下进行管理维护工作。一台瘦终端、鼠标、键盘等简单的设备就可以组成终端进行操作,极大的降低了运行成本,还提高了管理维护的工作效率,企业内部的坐席业务和办公网络等都广泛使用虚拟桌面。
终端安全。虚拟桌面拥有多样化形态的接入终端,既可以通过笔记本、台式电脑也可以通过各种智能终端或者是瘦终端进行接入,终端必须具有较高的安全性能。在虚拟桌面的终端中,需要多加关注病毒的查杀或者是制定黑白名单体制,像瘦终端这样的专用终端,可以通过黑白名单体制来允许操作者仅仅可以运行特定的流程。
接入安全。虚拟桌面可以通过有线接入、无线接入等多种形式进行接入,在保证终端安全的情况下需要多加关注传输数据时的安全。如果必须需要外部网络进行接入时,需要配置 VPN网关等必要性程序,只有通过这项程序才可以连接内部办公环境。
防病毒。可以安装一般的桌面防病毒软件来完成虚拟桌面的防病毒工作,但是值得注重的是一般的防病毒软件也许会有扫描风暴或者是更新病毒库风暴等问题。所以可以采用专门的虚拟桌面防病毒系统。这样的专门针对虚拟桌面设计的防病毒系统不仅减轻了虚拟桌面自身负担,实行任务调节,而且还能避免大量的病毒扫描此类操作共同进行,有效的减轻了系统的负载。
2.5 其他安全
大数据安全还要确保设备及其相关环境的安全,关键是要完善大数据平台的管理制度。加强建设的规范性,制定严格的管理制度,通过制度来保障大数据平台相关设备的安全。首先要严格管理门禁,对大数据设备所在环境的进出制定严格的时间标准,非标准的时间一律按照相关制度来进行管理。其次,制定备用物资的存放和使用标准,严格进行该场地的实时监控。最后要不断完善供电消防等基本保障制度。加强账号异常登录检测,在以往的服务器异常登录情况中,绝大多数的情况是受到了入侵或者是攻击。根据日常登录情况,对经常登录的区域进行识别,需要精确到该区域所在的具体的地市级,防止出现不必要的损失。快速扫描云服务器的端口,可以结合以指纹识别为代表的生物识别技术来判断开放端口正在运行的软件甚至是版本,如果发现没有经过允许的开放端口,要在第一时间内提醒用户关闭该开放端口,以防止系统被病毒或者黑客入侵。
伴随着大数据和云计算的广泛应用,我们需要及时发现当中的问题,及时找出解决措施进行处理并且完善。本文基于大数据这个平台,通过5个层面的设计构建了云安全的防护体系,这个体系可以强有力的保证云服务和云计算的运行安全性,用户可以利用大数据和云安全防护体系不断创新工作,促进社会的发展。
[1]罗仟松.基于虚拟数据中心的云安全策略研究与设计[D].山东大学,2013.
[2]白秀杰,李汝鑫,刘新春,邵宗有.云安全防护体系架构研究[J].信息安全与技术,2013.
[3]胡祥义,马占国,刘宇.一种云安全架构的解决方案[J].网络安全技术与应用,2011.
[4]曹瑞,刘新龙.云安全解决方案[J].中国铁路,2017.