湯劍 胡洪新

摘要：描述基礎(chǔ)平臺(tái)可能存在的安全問題，通過計(jì)算資源池分隔、應(yīng)用分類、主機(jī)多層次防護(hù)、計(jì)算資源預(yù)測(cè)來實(shí)改善安全現(xiàn)狀。

關(guān)鍵詞：虛擬化;數(shù)據(jù)中心;網(wǎng)絡(luò);安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）29-0023-02

信息化建設(shè)與網(wǎng)絡(luò)安全是現(xiàn)在政府及企事業(yè)單位都非常重視的一項(xiàng)工作，信息化是提高業(yè)務(wù)運(yùn)作效率與便捷性的重要手段，推進(jìn)信息化建設(shè)的基礎(chǔ)條件是裝備信息化基礎(chǔ)設(shè)備及網(wǎng)絡(luò)安全，網(wǎng)絡(luò)架構(gòu)與計(jì)算資源都是必要的組成部分，如何裝備計(jì)算資源與有效保障網(wǎng)絡(luò)安全是信息化過程中的一項(xiàng)必要工作。

1問題現(xiàn)狀

隨著教育信息化2.0的發(fā)布，高校信息化作為重要參與者近年來在網(wǎng)絡(luò)安全與信息化方面在不斷建設(shè)。經(jīng)常碰到的一個(gè)問題怎么兼顧計(jì)算資源有效分配與保障網(wǎng)絡(luò)安全，突出的問題有這些：

1.1網(wǎng)絡(luò)架構(gòu)、計(jì)算及主機(jī)資源缺少統(tǒng)一網(wǎng)絡(luò)安全防護(hù)規(guī)劃

數(shù)據(jù)中心基礎(chǔ)平臺(tái)的網(wǎng)絡(luò)架構(gòu)、計(jì)算資源、應(yīng)用服務(wù)等一般都不是一步到位建設(shè)完成，從最初的只有一套數(shù)據(jù)中心主網(wǎng)絡(luò)設(shè)備和一套計(jì)算資源，逐到發(fā)展到考慮業(yè)務(wù)可持續(xù)性，增加冗余的數(shù)據(jù)中心第二套主網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)層的雙活可用，避免出現(xiàn)網(wǎng)絡(luò)單點(diǎn)故障，數(shù)據(jù)中心網(wǎng)絡(luò)在邏輯架構(gòu)劃分上早期一般僅考慮了業(yè)務(wù)可運(yùn)行，因?yàn)楫?dāng)時(shí)的應(yīng)用業(yè)務(wù)量相對(duì)較少，這樣的劃分方式不會(huì)現(xiàn)出明顯問題，隨著建設(shè)的應(yīng)用業(yè)務(wù)域越來越多，逐步暴露出了較多問題，一些不同服務(wù)級(jí)別的應(yīng)用在同一個(gè)網(wǎng)段下，一些非關(guān)鍵業(yè)務(wù)的應(yīng)用故障或安全事件直接會(huì)影響到整個(gè)網(wǎng)段內(nèi)所有業(yè)務(wù)的運(yùn)行。

計(jì)算資源是隨著業(yè)務(wù)應(yīng)用的需求的增加而同步進(jìn)行擴(kuò)建，在擴(kuò)展建設(shè)時(shí)要保證原來應(yīng)用業(yè)務(wù)的可持續(xù)性，較多的條件限制了計(jì)算資源的有效調(diào)整分配，較明顯的一個(gè)現(xiàn)象是存儲(chǔ)資源分配的不均衡，一般初始化時(shí)計(jì)算資源的量為基準(zhǔn)進(jìn)行存儲(chǔ)資源的劃分與配置，從早期以SAN存儲(chǔ)服務(wù)為主發(fā)展到現(xiàn)在的SAN、NAS服務(wù)方式并行，這種方式下存儲(chǔ)的劃分需要與計(jì)算資源、應(yīng)用主機(jī)需求的相結(jié)合，并隨著應(yīng)用的增加逐步劃分NAS卷，這種需求情況下前期一步到位劃分的存儲(chǔ)資源顯得有些被動(dòng)。計(jì)算資源早期建設(shè)規(guī)模較小，一般都劃入一個(gè)大的計(jì)算池，后期再被充的計(jì)算資源也直接劃入同一池，在這種情況下可能出現(xiàn)非關(guān)鍵應(yīng)用與關(guān)鍵應(yīng)用使用同一計(jì)算主機(jī)的現(xiàn)象，偶發(fā)性的非關(guān)鍵應(yīng)用虛機(jī)故障導(dǎo)致計(jì)算主機(jī)資源被異常大量消耗，進(jìn)行影響在同一計(jì)算主機(jī)的基礎(chǔ)平臺(tái)管理軟件運(yùn)行，導(dǎo)致計(jì)算資源池整體陛能下降及部分資源控制失效。

1.2項(xiàng)目的計(jì)算資源需求無法預(yù)估

早期計(jì)算資源的增加是和應(yīng)用項(xiàng)目同步進(jìn)行建設(shè)，即一個(gè)項(xiàng)目包含基礎(chǔ)計(jì)算資源和應(yīng)用業(yè)務(wù)軟件，同項(xiàng)目建設(shè)帶來的問題是每個(gè)項(xiàng)目采購的基礎(chǔ)計(jì)算資源都不同且管理不便，隨著虛擬化大量推廣及應(yīng)用的快速建設(shè)，數(shù)據(jù)中心基礎(chǔ)計(jì)算資源建設(shè)作為單獨(dú)基礎(chǔ)建設(shè)項(xiàng)目建設(shè)，建議的方式是虛擬化計(jì)算集群為主，但建設(shè)的計(jì)算資源量與實(shí)際應(yīng)用需求的量往往不能匹配，因?yàn)樾畔⒒ㄔO(shè)的加速、大數(shù)據(jù)分析應(yīng)用、物聯(lián)網(wǎng)應(yīng)用的普及，對(duì)計(jì)算資源的需求較以前傳統(tǒng)應(yīng)用而言需求量已不同，前期計(jì)算資源的建設(shè)是按照應(yīng)用項(xiàng)目的數(shù)量來進(jìn)行大概預(yù)計(jì)，這種簡(jiǎn)單的預(yù)估方式對(duì)于前期應(yīng)用基本可以應(yīng)付，但大數(shù)據(jù)分析應(yīng)用、物聯(lián)網(wǎng)應(yīng)用對(duì)計(jì)算資源的相對(duì)高要求，這種預(yù)估數(shù)量無法較好匹配多用途應(yīng)用對(duì)計(jì)算資源的需求量。

2解決方案

面對(duì)計(jì)算資源缺乏安全規(guī)劃與資源需求無法適當(dāng)預(yù)測(cè)問題，通過優(yōu)化基礎(chǔ)平臺(tái)架構(gòu)的方式來改善現(xiàn)狀，主要通過以下幾個(gè)方面

2.1依據(jù)業(yè)務(wù)架構(gòu)在資源層實(shí)現(xiàn)分隔

按照應(yīng)用業(yè)務(wù)的架構(gòu)一般分為數(shù)據(jù)庫層、中間件層、應(yīng)用層，規(guī)劃數(shù)據(jù)中心基礎(chǔ)平臺(tái)計(jì)算池時(shí)按照這樣的分類進(jìn)行計(jì)算資源池的物理模塊化分隔，數(shù)據(jù)庫層專門建立一個(gè)計(jì)算池且單獨(dú)建立物理區(qū)域，在該計(jì)算池配置2個(gè)以上高性能計(jì)算主機(jī)節(jié)點(diǎn)均衡計(jì)算負(fù)載，中間件層建設(shè)專用邏輯計(jì)算池包含2個(gè)以上高性能節(jié)點(diǎn)，應(yīng)用軟件資源池由其他的剩下的計(jì)算節(jié)點(diǎn)構(gòu)成，這三個(gè)池之間的物理設(shè)備分布不同位置，各自連接不同的存儲(chǔ)資源池，計(jì)算資源池過網(wǎng)絡(luò)核心設(shè)備進(jìn)行互聯(lián)。

2.2按業(yè)務(wù)服務(wù)層次實(shí)現(xiàn)業(yè)務(wù)域的分級(jí)

在具體的業(yè)務(wù)邏輯層對(duì)上面劃分的三個(gè)域進(jìn)行業(yè)務(wù)細(xì)化配置，在數(shù)據(jù)庫層劃分為核心數(shù)據(jù)庫與交互數(shù)據(jù)庫，核心數(shù)據(jù)庫區(qū)域存放業(yè)務(wù)系統(tǒng)使用的核心數(shù)據(jù)，僅限相關(guān)業(yè)務(wù)系統(tǒng)訪問并拒絕其他訪問，交互數(shù)據(jù)庫用于應(yīng)用系統(tǒng)之間數(shù)據(jù)庫交互，有些系統(tǒng)因?yàn)樵O(shè)計(jì)不規(guī)范，還需要讓應(yīng)用客戶端直接訪問數(shù)據(jù)庫，交互數(shù)據(jù)庫層主要用來解決數(shù)據(jù)中間庫及應(yīng)用過濾問題，配置策略相對(duì)寬松，核心數(shù)據(jù)庫與交互數(shù)據(jù)庫的計(jì)算資源庫實(shí)現(xiàn)邏輯隔離。

應(yīng)用層的資源池按照業(yè)務(wù)劃分為非常重要應(yīng)用、較重要應(yīng)用、一般應(yīng)用，非常重要的應(yīng)用如網(wǎng)絡(luò)認(rèn)證平臺(tái)、一卡通核心平臺(tái)、統(tǒng)一身份認(rèn)證平臺(tái)、應(yīng)用數(shù)據(jù)交換平臺(tái)、支付交費(fèi)平臺(tái)等，該類應(yīng)用需要配置在高性能的計(jì)算節(jié)點(diǎn)及配置多個(gè)計(jì)算節(jié)點(diǎn)應(yīng)對(duì)負(fù)載，較重要應(yīng)用包括一些使用些量大、影響面廣的應(yīng)用，一般應(yīng)用包括一些使用范圍相對(duì)小及使用頻率較低的應(yīng)用，較重要應(yīng)用配置多個(gè)計(jì)算節(jié)點(diǎn)用于用負(fù)載均衡與冗余，一般應(yīng)用配置在一些性能一般的單計(jì)算節(jié)點(diǎn)池。

2.3資源規(guī)劃與網(wǎng)絡(luò)安全同行

完成上面業(yè)務(wù)邏輯層面的劃分后，在網(wǎng)絡(luò)層面依據(jù)業(yè)務(wù)進(jìn)行細(xì)化網(wǎng)段劃分，劃分時(shí)需要考慮到網(wǎng)絡(luò)安全的同步規(guī)劃、同步建設(shè)、同步使用，數(shù)據(jù)層劃分出核心數(shù)據(jù)段、交互數(shù)據(jù)庫段，該網(wǎng)段必須是物理連到數(shù)據(jù)中心核心交換，通過數(shù)據(jù)中心核心交換與應(yīng)用通信，這種部署方式可以較好滿足數(shù)據(jù)庫審計(jì)與數(shù)據(jù)庫防火墻的透明部署要求，起到保護(hù)數(shù)據(jù)庫的網(wǎng)絡(luò)安全目的，實(shí)現(xiàn)資源的第一層防護(hù)。在應(yīng)用邏輯層將非常重要應(yīng)用、較重要應(yīng)用、一般應(yīng)用分別劃分在分隔較遠(yuǎn)的不同網(wǎng)絡(luò)區(qū)段，便于后期在流量監(jiān)控分析時(shí)清晰的識(shí)別流量來源，在網(wǎng)絡(luò)段層配置粗策略的安全防護(hù)或隔離規(guī)劃，實(shí)現(xiàn)資源的第二層防護(hù)。結(jié)合虛擬計(jì)算資源平臺(tái)的SDN網(wǎng)絡(luò)功能在每應(yīng)用主機(jī)上層配置主機(jī)安全防火墻，做到來源地址、目的地址、目的端口的精細(xì)化控制，此功能區(qū)別于操作系統(tǒng)自身防火墻功能，不受操作系統(tǒng)的影響，在計(jì)算資源平臺(tái)與虛擬網(wǎng)絡(luò)層實(shí)現(xiàn)安全集中訪問管理，以上功能完成資源的第三層防護(hù)，數(shù)據(jù)中心基礎(chǔ)平臺(tái)出口網(wǎng)絡(luò)配備安全WAF、IPS防護(hù)設(shè)備、防毒墻等實(shí)現(xiàn)區(qū)域間的網(wǎng)絡(luò)安全防護(hù)。

2.4計(jì)算資源及應(yīng)用變動(dòng)統(tǒng)計(jì)分析

建立計(jì)算資源基礎(chǔ)庫、應(yīng)用資源信息庫，在計(jì)算資源基礎(chǔ)庫中存放計(jì)算資源的基本信息，包括資源的創(chuàng)建時(shí)間、CPU容量、內(nèi)存大小、掛載的存儲(chǔ)大小，應(yīng)用資源信息庫存放應(yīng)用主機(jī)的基本信息，包括應(yīng)用主機(jī)的創(chuàng)建時(shí)間、應(yīng)用所屬項(xiàng)目、主機(jī)用途、CPU、內(nèi)存、磁盤容量、是否在線等信息。建立應(yīng)用項(xiàng)目虛擬主機(jī)需求模板庫，在模板庫中存放多個(gè)項(xiàng)目模板，如普通應(yīng)用類模板包含項(xiàng)目所需虛機(jī)平均數(shù)量、項(xiàng)目所需磁盤平均容量等指標(biāo)，如大數(shù)據(jù)應(yīng)用模塊包含項(xiàng)目所需虛機(jī)平均數(shù)量、項(xiàng)目所需磁盤平均容量等指標(biāo)，每當(dāng)新建應(yīng)用資源項(xiàng)目時(shí)，必須先進(jìn)行項(xiàng)目模板類型選擇，每次新建完一批項(xiàng)目應(yīng)用主機(jī)后，定期更新模板數(shù)據(jù)庫的虛機(jī)及磁盤容易平均值。項(xiàng)目的建設(shè)周期一般為一年一批次，每半年進(jìn)行一次計(jì)算資源、應(yīng)用主機(jī)信息的信息統(tǒng)計(jì)，并基于本年度項(xiàng)目的分類信息及歷史年度的應(yīng)用增長(zhǎng)速率分析預(yù)測(cè)，計(jì)算出當(dāng)前計(jì)算資源池可支撐的服務(wù)周期、下一年可能建設(shè)的項(xiàng)目類型偏好與計(jì)算資源需求，為后期的基礎(chǔ)平臺(tái)計(jì)算資源擴(kuò)建提供參考。

3運(yùn)行效果

經(jīng)過實(shí)際環(huán)境的計(jì)算資源架構(gòu)改善及網(wǎng)絡(luò)安全同步規(guī)劃，使用基礎(chǔ)平臺(tái)兼顧信息系統(tǒng)架構(gòu)與網(wǎng)絡(luò)安全要求，應(yīng)用資源的安全性得到較大的改善，數(shù)據(jù)庫中心區(qū)域應(yīng)用系統(tǒng)被惡意攻擊的宕機(jī)時(shí)件大量減小，借助三層防護(hù)機(jī)制操作系統(tǒng)出現(xiàn)漏洞時(shí)也能穩(wěn)步應(yīng)對(duì)，大部分情況都是相對(duì)安全可控，遇到非常嚴(yán)重的情況時(shí)可通過物理隔斷關(guān)聯(lián)的計(jì)算資源池來保障基礎(chǔ)平臺(tái)整體安全。通過計(jì)算資源及應(yīng)用變動(dòng)統(tǒng)計(jì)分析實(shí)現(xiàn)未來年度計(jì)算資源需求的初步可預(yù)測(cè)，改善了前期基礎(chǔ)平臺(tái)資源完全被動(dòng)及冗余建設(shè)的現(xiàn)狀，總體初步提升基礎(chǔ)平臺(tái)的安全層次及計(jì)算資源建設(shè)的合理化與標(biāo)準(zhǔn)化水平。

在實(shí)際實(shí)現(xiàn)過程中也發(fā)現(xiàn)有不少問題，三層防護(hù)機(jī)制可以適當(dāng)有效提升應(yīng)用與網(wǎng)絡(luò)安全，但部署應(yīng)用主機(jī)時(shí)間帶來了額外分類工作量，計(jì)算資源的需求預(yù)測(cè)未細(xì)化考慮資源池分隔需求，資源池分隔會(huì)帶來額外的資源浪費(fèi)，如何在網(wǎng)絡(luò)安全與計(jì)算資源最大化利用上達(dá)到較優(yōu)狀態(tài)是較難的問題，如何規(guī)劃更合理的基礎(chǔ)平臺(tái)計(jì)算資源架構(gòu)來滿足網(wǎng)絡(luò)安全、監(jiān)測(cè)、預(yù)警、審計(jì)、防護(hù)的及快速部署的要求是今后繼續(xù)努力的方向。