e-works数字化企业网  »  文章频道  »  基础信息化  »  运维管理

世纪互联蓝云汤涛:云服务的安全运维平台

2017/7/21    来源:第一物联网    作者:佚名      
关键字:云服务  安全运维平台  
2017年5月,由国家发改委主管、国家信息中心主办的《信息安全研究》期刊特别策划,以信息安全国际合作为主题,推出微软中国专题栏目。

    对于云用户而言,就不再像以前那样需要完整的运维系统及运维人员,云用户只需要关心应用解决方案层面的运维,也就是说更专注于业务系统,而不再需要关心什么时候需要采购扩充物理硬件。这样一来,对于云运维而言,就比传统IT运维提出了更高的要求,也对云运维从业工程师提出了更高的要求,传统IT运维往往只需要考量单个或者基于群集的多台服务器,而在云运维阶段,云运维工程师需要考虑更多云服务组件的部署,多租户的资源分配,虚拟主机和网络协同等等,对工程师的要求也更高。就云运维而言,这就需要通盘考虑,特别是不能停机的情况下升级系统等等,这是一个很典型地从量变到质变的过程。
 
    云运维平台
 
    云运维的广度和复杂度在一定程度上就决定了对运维人员和相关运维系统的要求高度。如何能保障云平台的稳定可靠,就需要有相关的外围系统的支撑,这些系统主要包含云平台管理系统和云服务系统,其中,云平台管理系统又可以分为如下4个类别:
 
    1、运维支持服务系统
 
    运维支持服务系统主要提供云平台后台的运维支持相关服务,比如云平台的监控和事件管理、变更和配置管理、容量和性能管理、IT资产和许可管理、平台和基础结构管理等等,其功能通常如下表所示:
 
    运维支持服务系统
 
    2、业务支持服务系统
 
    业务支持服务系统通常包括与客户相关的商务和服务系统,比如客户管理系统、合同和协议管理系统、订阅管理和价格管理等等,这些相关系统以及其功能描述如下表所示:
 
    业务支持服务系统
 
    3、业务管理流程及API管理系统
 
    由于云服务涉及多样化的流程,甚至是跨业务部门的流程,因此,业务流程的管理和各个系统之间以及系统内的API管理就很重要。业务流程有的可以整合到云运维平台中,即是系统对系统的业务流程,有的可能是信息系统与纸质或者邮件的结合。
 
    4、云服务内部管理或第三方合作伙伴管理系统
 
    云服务运维平台通常可能需要提供管理第三方合作伙伴的系统等,以及内部的管理系统,比如内部办公系统、内部邮件系统等等。这些与常规的企业内部信息化管理系统类似,在此不再一一复述。
 
    云安全与合规
 
    云安全是个比较大的范畴的问题,涉及到云的安全防护,比如反病毒、防攻击、防渗透等外来攻击,还涵盖用户的数据安全,比如防泄漏、防监守自盗等多方面。这些问题都是云运维中不可避免,而且需要着重强调和考虑的。
 
    通常在云平台中,需要有多重的防DDOS攻击和黑客攻击渗透的工具和手段。在防DDOS方面通常业界有比较流行的处理方法,比如软硬防火墙、协议分析、流量清洗、黑洞等等。由于云平台用户的多样性和复杂性,不仅要防由外而内的攻击,还需要注意由内向外的攻击,这种往往就是用户的虚拟机被劫持或者是恶意用户通过云平台对外的DDOS攻击。而防黑客攻击方面,包含日常的漏洞扫描、及时打补丁、针对一些开源技术的可能漏洞进行跟踪。为了防止帐号和服务等的劫持,除了采用必要的双因子认证以外,还需要加强对堡垒机的安全加固,并且构建威胁分析模型,对所有可能的威胁做全面的分析,必要时执行包含白客扫描在内的多样化的扫描的模拟攻击以便找到并堵住这些潜在的风险和漏洞。
 
    在用户之间做好严格的隔离也非常重要,比如在Azure平台中,就有多方面的隔离措施:首先在网络上有完全的逻辑隔离技术,内网IP在跨用户账户之间不可以访问,在用户访问权限上有逻辑隔离,而且在数据存储上也通过加密及读写隔离措施防止用户访问之前磁盘上别的用户存储的但已逻辑删除的数据等方式。
 
    在次就是增强用户数据的安全性方面,需要提供多种加密方式可以供用户选择用于保护用户存储的数据。将所有数据访问活动记入日志,并且让用户可以访问自己的日志也是用户数据安全防护的重要手段之一。数据的异地同步、异地容灾也有利于增强用户数据的安全性。云运维工程师对客户数据无常设的访问权限,只有在客户提供书面授权的情况下才按照客户要求访问客户的数据,而且用户的书面授权书和相应的操作日志都完整保存,并保证可追溯。这样也是满足国家信息安全三级等级的审计要求,以及满足工信部可信云认证的要求的重要保障,同时也是防止监守自盗的重要方法,对于用户而言这样的用户数据安全性就会比较有信心。
 
    在云合规方面,根据国家法律法规的要求,不仅需要把数据物理上保存在境内,而且需要严格地提供针对各种相关法律法规的要求,以及政策方面的要求的十分严格又易于理解的解释,以便用户了解能做什么不能什么。按照这些要求,针对用户的数据进行存储和管理。在合规方面,还需要定期开展第三方独立审计,以便满足上述不同的合规要求。由于云平台作为底层平台,用户部署在其上的系统需要满足合规的要求时,云服务商往往也可能需要配合并满足用户相关的合规要求。
 
    结语:
 
    云服务的质量不仅仅取决于技术的先进性,同样重要的是也取决于云运维的服务质量。本文从云运维的变迁入手,简要地描述了云运维与传统运维的区别,着重描述了云运维平台的各个系统以及这些系统的基本功能,同时也简明扼要地阐述了云安全以及云合规的基本要求。这些都是云运维的重要组成部分,也是云服务商日常需要考虑和涉及的。世纪互联全资子公司上海蓝云网络科技有限公司在4年多来提供Azure和O365云服务过程,一直致力于为国内用户提供世界级的云技术和云服务,为提升国内云技术和服务水平,为促进国内经济和社会的发展起到了积极作用。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐