高校私有云平台架构的设计与安全分析

张媛　黄磊　马健乐

摘要：根据目前高校私有云安全的情况，通过高校已经建设云平台的经验，提出一种新型的、应用性能良好的云安全框架。本文重点研究服务器集群内部的安全防护，旨在通过研究提高整个平台的安全性能。

关键词：私有云；安全架构；安全分析

中图分类号：TP39 文献标识码：A 文章编号：1007-9416（2018）09-0184-02

随着云计算技术的广泛应用，高校开始将信息管理系统向云平台进行迁移，以减轻运维的负担。如何选择合适的云平台和随之而来的安全问题接踵而至。

1 云环境中的安全问题

伴随着云计算技术高速的发展，针对云的网络攻击也是越来越多。传统的网络架构，通常利用交换机的端口镜像功能监控平台外部和内部、内部和内部服务器之间的数据流量，判断攻击行为[1]；但在云计算架构的虚拟化环境中，位于同一台物理服务器上的不同虚拟机之间的通讯不存在实体交换机，无法使用传统的入侵检测设备，如图1所示，高校私有云架构图2所示。

根据云安全联盟（CSA）的报告，73%的用户在选择云计算服务时都对云计算的安全十分担心。所以高校私有云在建造时必须思考如何减少高校私有云平台受到的外界攻击，保证损失最小化和快速的修复云平台[2]。

2 高校云平台的选择

高校现有的数据中心很少形成统一的数据标准，达到真正意义上的数据共享。与公有云相比较，高校建设私有云更适合[3]。通过建设私有云平台实现统一的数据标准，进而实现完全意义的数据共享。私有云底层建设与业务件事是分离的，提供的服务类型由用户决定，数据中心的安全性和可控性是私有云最大的优势，同时节约和降低使用、存储、维护成本，便于远程教育及移动互联网接入，提高基础教育教学服务能力。

3 高校私有云的功能和架构

高校私有云建设必须对现有系统进行集成和业务整合，将整合后的应用系统统一部署运维，随时扩展各种应用与服务逐步，为全校师生提供交流协作的平台[4]。

3.1 高校私有云建设主要功能

（1）各类业务通过私有云平台共享基础设施。（2）管理员统一申请、释放资源。（3）私有云对数据中心内所有数据提供安全防护、备份/恢复、监控；管理员随时监控资源消耗并做出相应的调整。（4）可提供安全可靠的数据存储，便于旧应用的迁移和新应用的扩展、融合。（5）可以快速实现不同实验环境的部署，通过镜像维护，降低成本、运维成本。（6）必须采用控制策略有效的对虚拟机进行控制，保证数据中心的安全。

3.2 高校私有云的逻辑架构

高校私有云架构可以分成云服务层和云管理层，如图2所示。平台服务以页面方式提供给师生使用。云管理层对云计算中心进行实时监控管理，保证其安全稳定的运行。云管理层的运维管理实现虚拟机的自动管理及虚拟机迁移、服务器负载均衡，降低运维成本；通过资源管理动态管理系统资源。安全管理保证不受外界的攻击及内部访问数据的合法性；容灾管理进行数据的冗余备份和异地备份。检测层实时监测，为云管理提供真实有效的数据。

3.3 网络总体架构

高校私有云的网络总体框架采用分层思想进行架构设计如图3所示，Internet边界区如图4所示。数据中心通过Internet边界区与Internet连接，并对Internet数据进行攻击检测，VPN接入等策略。边界区与核心区通过防火墙连接，边界区路由不执行内部路由协议。

应用服务区位于防火墙后，为保证Internet网络可以访问内部服务器，设置为DMZ（隔离区）区域，作为一个非安全系统与安全系统之间的缓冲区。应用服务区的逻辑拓扑结构如图5所示。

4 高校私有云的安全性分析

4.1 私有云的安全问题

用户的虚拟机如果和服务器的虚拟机处于同一台物理服务器中，系统只是通过检测物理网络中的流量变化无法检测出虚拟机是否受到攻击，整个系统的防护措施无法起作用。

4.2 私有云安全框架的功能

私有云的终端构成为两种类型：（1）典型的云安全设备，主要用来数据采集。（2）云安全软件，通过多层次的安全策略和API监控技术相结合，实现对云的安全防御和威胁处理。

私有云安全框架必须具有以下功能：（1）除黑名单的防护逻辑，需要更加精确的安全逻辑，如域名授权、登录账户、API接口等。（2）系统监控软件必须对网内数据随时跟踪和发现，做到实时监控。（3）判断文件的安全性需要多维度分析，动静结合提高准确率。（4）通过云数据采集，实现实时系统风险评估。（5）通过预测，为用户提供安全防御与危险处置策略，提高安全降低运维成本。

4.3 高校私有云安全平台建立的必要性

高校私有云平台的建立是传统网络数据中心模式的突破，分散式分布變为集中管理，降低了校园整体运维的成本，提高了校园安全等级。便于高校实现信息业务整合、统一身份认证、实时威胁监控和全流程评估，保证了高校信息系统的稳定运行。

5 结语

高校私有云建设需要总体规划，充分考虑高校数据中心的特点，考虑各类安全问题，做到统筹兼顾。高校私有云的建设需要长期的建设和完善，通过分步实施，实现“智慧校园”这一目标。

参考文献

[1]He Tianlan. Construction of College Private Cloud and Safety Analysis [D].Xiamen： Hua Qiao University，2015.

[2]李铁.云计算环境下企业私有云平台安全架构的机理和实现[J].电子技术与软件工程，2017，（2）：232-233.

[3]He Tianlan. Construction of College Private Cloud and Safety Analysis [D].Xiamen： Hua Qiao University，2015.

[4]黄猛，罗桦，李洪兵.基于 Hadoop 的高校档案馆私有云存储平台的构建[J].办公自动化，2015，（1）：54-56+29.