張凱

摘 要 Eucalyptus是用來(lái)滿足大數(shù)據(jù)環(huán)境彈性需求的一款軟件，運(yùn)行環(huán)境通常為成組的服務(wù)器或者系統(tǒng)集群，一般運(yùn)行在Linux環(huán)境下，使用Web服務(wù)。Eucalyptus云平臺(tái)為用戶提供了登錄證書認(rèn)證功能又增加了訪問(wèn)控制、數(shù)據(jù)加密以及日志管理功能，從而用戶的可信度大大提高。

關(guān)鍵詞 Eucalyptus；大數(shù)據(jù)；安全平臺(tái)

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）217-0113-02

1 Eucalyptus平臺(tái)構(gòu)架介紹

一個(gè)基于Eucalyptus的多維化安全性高的大數(shù)據(jù)平臺(tái)包括中包含了處理數(shù)據(jù)的數(shù)據(jù)存儲(chǔ)、控制模塊，對(duì)集群和節(jié)點(diǎn)進(jìn)行控制的模塊，以及后來(lái)添加的對(duì)資源和任務(wù)進(jìn)行管理的模塊。為了保證這兩個(gè)新增模塊不出異常在基礎(chǔ)設(shè)施層要保證負(fù)載的均衡分配，系統(tǒng)資源方面也要盡量實(shí)現(xiàn)最優(yōu)化的利用。

除此之外，在Eucalyptus提供的用戶認(rèn)證和登錄功能的基礎(chǔ)之上，加強(qiáng)具體用戶訪問(wèn)云平合的安全性。整個(gè)架構(gòu)自上而下分別為平臺(tái)應(yīng)用層、平臺(tái)表現(xiàn)層、平臺(tái)控制層、設(shè)備管理層和基礎(chǔ)設(shè)施層。

平臺(tái)應(yīng)用層在企業(yè)資源規(guī)劃客戶關(guān)系管理和資源規(guī)劃三方而起作用，為企業(yè)、教育機(jī)構(gòu)和政府等提供服務(wù)。平臺(tái)表現(xiàn)層則是面向服務(wù)的體系結(jié)構(gòu)，采用工作流技術(shù)通過(guò)Web技術(shù)來(lái)表現(xiàn)那些通常情況下位于底層的、不可見的資源和業(yè)務(wù)，這樣就使得用戶可見的層面上的一切皆是服務(wù)。建立平臺(tái)控制層的目的是搭建一個(gè)量級(jí)較輕的、靈活性強(qiáng)的平臺(tái)以供使用，該層主要分為3個(gè)模塊，分別作用于資源分配、安全防范和任務(wù)協(xié)調(diào)，這3個(gè)模塊相輔相成，實(shí)現(xiàn)了多角度、多方面的安全保障。

對(duì)于資源分配模塊來(lái)說(shuō)，它的功能不僅僅是進(jìn)行資源分配，還可以對(duì)資源進(jìn)行監(jiān)控和調(diào)用。對(duì)于安全防范模塊來(lái)說(shuō)，它包含訪問(wèn)控制、負(fù)載均衡和數(shù)據(jù)加解密等功能。對(duì)于任務(wù)協(xié)調(diào)模塊來(lái)說(shuō)，不僅可以對(duì)任務(wù)進(jìn)行分解執(zhí)行，還可以對(duì)任務(wù)進(jìn)行監(jiān)控。設(shè)備管理層利用Eucalyptus這個(gè)平臺(tái)實(shí)現(xiàn)對(duì)虛擬機(jī)的基本管理，Eucalyptus的功能很強(qiáng)大，使用其提供的功能便可以分配不同的虛擬機(jī)和簇，建立一個(gè)良好的環(huán)境?；A(chǔ)設(shè)施層指的是位于底層的各種服務(wù)器，比如虛擬機(jī)服務(wù)器等。使用這些服務(wù)器可以構(gòu)建必需的云環(huán)境來(lái)確保云端的計(jì)算、存儲(chǔ)等正常運(yùn)行。

2 Eucalyptus服務(wù)對(duì)象

Eucalyptus平臺(tái)在安全服務(wù)部分的產(chǎn)品主要涉及以下幾個(gè)對(duì)象。

2.1 電子郵件過(guò)濾（包括備份、歸檔和電子發(fā)現(xiàn)）

雖然電子發(fā)現(xiàn)不只包含電子郵件，但因?yàn)闄C(jī)構(gòu)信息大多是通過(guò)電子郵件傳輸?shù)?，電子郵件開始成為發(fā)現(xiàn)威脅的最合適位置。

對(duì)于電子郵件來(lái)說(shuō)，安全服務(wù)的內(nèi)容主要包括清理垃圾郵件、釣魚郵件以及包含在電子郵件流中的惡意軟件，然后將安全的電子郵件提供給機(jī)構(gòu)，使郵件不會(huì)再次被污染。這種方法的好處在于：多引擎的存在使用戶的安全性不僅能得到更加完善的保障，還可以使設(shè)備的性能得到提升，更好地管理反惡意軟件。反惡意軟件管理之所以優(yōu)于終端解決方案，是因?yàn)榉磹阂廛浖c處理器和操作系統(tǒng)無(wú)關(guān)，這樣可以通過(guò)云計(jì)算來(lái)進(jìn)行集中的管理而不用分散地處理從多個(gè)反惡意軟件提供商處獲得的多個(gè)管理系統(tǒng)。

這種包含在云計(jì)算中的清理服務(wù)帶來(lái)的好處是：減小電子郵件占用的帶寬、降低電子郵件服務(wù)器的負(fù)荷，以及提高反惡意軟件的效果。雖然安全服務(wù)主要對(duì)入站電子郵件進(jìn)行處理，但在出站電子郵件方面也常使用安全服務(wù)。

許多機(jī)構(gòu)為了確保其發(fā)送的郵件不會(huì)在不經(jīng)意間感染惡意代碼，使用安全及服務(wù)來(lái)清理出站電子郵件可以有效解決問(wèn)題除此之外，安全服務(wù)可以對(duì)出站的電子郵件按機(jī)構(gòu)關(guān)于電子郵件加密的策略來(lái)執(zhí)行，通常對(duì)電子郵件的加密在服務(wù)器到服務(wù)器層面執(zhí)行，這樣不需要個(gè)人用戶的參與，也不需要使用密鑰來(lái)管理。這可以通過(guò)在傳輸層的網(wǎng)絡(luò)通信中使用安全套接字層（SSL）或傳輸層安全協(xié)議（TIS）實(shí)現(xiàn)。

使用安全即服務(wù)來(lái)進(jìn)行反惡意軟件的另一個(gè)好處是，它凌駕于企業(yè)終端可見惡意軟件威脅之上，從其中提煉出來(lái)了它們的整體特性，與設(shè)備類型、位置、操作系統(tǒng)或者處理器架構(gòu)無(wú)關(guān)，擁有更廣闊的視野，對(duì)于機(jī)構(gòu)的信息安全性有很大幫助。電子郵件的安全服務(wù)也包括其備份和歸檔。

這個(gè)服務(wù)的對(duì)象通常是存儲(chǔ)在集中的存儲(chǔ)庫(kù)中的索引機(jī)構(gòu)的電子郵件信息及其附件。機(jī)構(gòu)可以在這個(gè)集中的存儲(chǔ)庫(kù)中使用些參數(shù)進(jìn)行索引，參數(shù)包括數(shù)據(jù)范圍、收件人、發(fā)件人、主題以及內(nèi)容。這些功能對(duì)電子發(fā)現(xiàn)是非常有用的，如果沒(méi)有這些功能，電子發(fā)現(xiàn)的過(guò)程將會(huì)耗費(fèi)大量資源。

2.2 網(wǎng)頁(yè)內(nèi)容過(guò)濾

網(wǎng)頁(yè)內(nèi)容過(guò)濾屬于機(jī)構(gòu)終端的處理，無(wú)論在機(jī)構(gòu)設(shè)施內(nèi)、在家中還是在公路上，當(dāng)用戶試圖獲取網(wǎng)頁(yè)信息時(shí)，這些流暈就會(huì)被轉(zhuǎn)移到安全服務(wù)提供商處進(jìn)行排除惡意軟件威脅的掃描，以確保只有干凈的流量才會(huì)被傳送到終端用戶。

機(jī)構(gòu)可以通過(guò)允許、阻止或限制流量的方式執(zhí)行其網(wǎng)頁(yè)流量策略。由于當(dāng)今可訪問(wèn)的網(wǎng)站數(shù)目異常龐大，早期部署于機(jī)構(gòu)內(nèi)部的URL（統(tǒng)一資源定位符）過(guò)濾解決方案變得越來(lái)越低效，很難滿足需求。而安全服務(wù)提供商可以通過(guò)對(duì)HTTP（超文本傳輸協(xié)議）頭信息、頁(yè)面內(nèi)容以及嵌入的鏈接的檢査，更好地了解網(wǎng)站的內(nèi)容，從而為URL過(guò)濾措施提供幫助。除此之外，這些服務(wù)使用集體信譽(yù)記分制以加強(qiáng)過(guò)濾的精度。

網(wǎng)頁(yè)內(nèi)容的安全服務(wù)還對(duì)出站的網(wǎng)絡(luò)流量進(jìn)行掃描，防止用戶無(wú)意識(shí)地向外傳遞敏感信息、（如ID號(hào)碼、信用卡信息等）從而導(dǎo)致信息泄露。網(wǎng)絡(luò)流量的掃描還會(huì)對(duì)內(nèi)容文件類型進(jìn)行分析并進(jìn)行模式匹配，以防止數(shù)據(jù)泄露。

2.3 漏洞管理

隨著互聯(lián)網(wǎng)機(jī)構(gòu)的規(guī)模越來(lái)越大、復(fù)雜度越來(lái)越高，以及地位的提升，保障相關(guān)系統(tǒng)的安全性和穩(wěn)定性就顯得越來(lái)越重要，同時(shí)也越來(lái)越不易。一些安全服務(wù)提供商發(fā)現(xiàn)系統(tǒng)漏洞，并進(jìn)行評(píng)，然后報(bào)告并修補(bǔ)這些漏洞，以此確保系統(tǒng)的安全、正常運(yùn)行。

與電子郵件過(guò)濾、網(wǎng)頁(yè)內(nèi)容過(guò)濾和漏洞管理等安全服務(wù)中的經(jīng)典產(chǎn)品不同，身份管理即服務(wù)（IDaaS）是近期才出現(xiàn)的安全服務(wù)實(shí)例。和在云計(jì)算中經(jīng)常使用的身份及訪問(wèn)管理（IAM）相比，目前所使用的身份及訪問(wèn)管理功能有明顯不足和缺陷。身份管理服務(wù)在云計(jì)算中提供身份管理及訪問(wèn)管理的功能。

早期的身份管理服務(wù)產(chǎn)品關(guān)注的重點(diǎn)往往是身份驗(yàn)證，因?yàn)橛脩糇铌P(guān)心的便是這一方面。但是，對(duì)于云計(jì)算服務(wù)提供商來(lái)說(shuō)，首要任務(wù)是針對(duì)身份管理服務(wù)提供商開發(fā)協(xié)同元系統(tǒng)。正如元目錄的規(guī)模在機(jī)構(gòu)內(nèi)不會(huì)發(fā)生改變，虛擬目錄的規(guī)模也不會(huì)根據(jù)云計(jì)算的水平而發(fā)生改變。身份管理服務(wù)提供商也需要為云計(jì)算中的用戶提供其他的身份及訪問(wèn)管理服務(wù)，包括授權(quán)、用戶開通和審計(jì)。

3 結(jié)論

當(dāng)前存在的幾個(gè)安全服務(wù)產(chǎn)品不僅可行性強(qiáng)，而且十分成熟。其中，電子郵件和網(wǎng)頁(yè)內(nèi)容過(guò)濾已經(jīng)為許多企業(yè)提供了幾年的時(shí)間，并且云計(jì)算服務(wù)提供商提供此類服務(wù)的方法也具有成熟性和先進(jìn)性。但有一些安全服務(wù)產(chǎn)品出現(xiàn)的時(shí)間不長(zhǎng)，還需要不斷的完善（如身份管理服務(wù)）。

目前，已有一些云計(jì)算服務(wù)提供商運(yùn)用自己定制的云計(jì)算環(huán)境為多個(gè)機(jī)構(gòu)提供安全服務(wù)了，但至今還沒(méi)有一家正規(guī)的、有實(shí)力的云計(jì)算服務(wù)提供商（包括Rightscale Proofpoint Workday、Google、Amazon、Salesforce、Microsoft等）能夠?qū)踩?wù)集成為一種產(chǎn)品提供出來(lái)。

參考文獻(xiàn)

[1]陳左寧，王廣益，胡蘇太，等.大數(shù)據(jù)安全與自主可控[J].科學(xué)通報(bào)，2015，60（5）：427-432.

[2]馮登國(guó)，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：246-258.

[3]傅穎勛，羅圣美，舒繼武.安全云存儲(chǔ)系統(tǒng)與關(guān)鍵技術(shù)綜述[J].計(jì)算機(jī)研究與發(fā)展，2013，50（1）：136-145.

[4]馮偉.大數(shù)據(jù)時(shí)代面臨的信息安全機(jī)遇和挑戰(zhàn)[J].中國(guó)科技投資，2012（34）：49-53.

[5]劉正偉，張華忠，文中領(lǐng)，等.海量數(shù)據(jù)持續(xù)數(shù)據(jù)保護(hù)技術(shù)研究及實(shí)現(xiàn)[J].計(jì)算機(jī)研究與發(fā)展，2012，49（s1）：37-41.

[6]楊高明，楊靜，張健沛.隱私保護(hù)的數(shù)據(jù)發(fā)布研究[J].計(jì)算機(jī)科學(xué)，2011，38（9）：11-17.

[7]楊建春.網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)安全控制技術(shù)研究[J].甘肅科技，2011，27（16）：22-24.