在線客服

咨詢熱線

淺談數據中心基礎平臺與安全規劃

作者:未知

  摘要:描述基礎平臺可能存在的安全問題,通過計算資源池分隔、應用分類、主機多層次防護、計算資源預測來實改善安全現狀。
  關鍵詞:虛擬化;數據中心;網絡;安全
  中圖分類號:TP393 文獻標識碼:A
  文章編號:1009-3044(2019)29-0023-02
  信息化建設與網絡安全是現在政府及企事業單位都非常重視的一項工作,信息化是提高業務運作效率與便捷性的重要手段,推進信息化建設的基礎條件是裝備信息化基礎設備及網絡安全,網絡架構與計算資源都是必要的組成部分,如何裝備計算資源與有效保障網絡安全是信息化過程中的一項必要工作。
  1問題現狀
  隨著教育信息化2.0的發布,高校信息化作為重要參與者近年來在網絡安全與信息化方面在不斷建設。經常碰到的一個問題怎么兼顧計算資源有效分配與保障網絡安全,突出的問題有這些:
  1.1網絡架構、計算及主機資源缺少統一網絡安全防護規劃
  數據中心基礎平臺的網絡架構、計算資源、應用服務等一般都不是一步到位建設完成,從最初的只有一套數據中心主網絡設備和一套計算資源,逐到發展到考慮業務可持續性,增加冗余的數據中心第二套主網絡設備,實現網絡層的雙活可用,避免出現網絡單點故障,數據中心網絡在邏輯架構劃分上早期一般僅考慮了業務可運行,因為當時的應用業務量相對較少,這樣的劃分方式不會現出明顯問題,隨著建設的應用業務域越來越多,逐步暴露出了較多問題,一些不同服務級別的應用在同一個網段下,一些非關鍵業務的應用故障或安全事件直接會影響到整個網段內所有業務的運行。
  計算資源是隨著業務應用的需求的增加而同步進行擴建,在擴展建設時要保證原來應用業務的可持續性,較多的條件限制了計算資源的有效調整分配,較明顯的一個現象是存儲資源分配的不均衡,一般初始化時計算資源的量為基準進行存儲資源的劃分與配置,從早期以SAN存儲服務為主發展到現在的SAN、NAS服務方式并行,這種方式下存儲的劃分需要與計算資源、應用主機需求的相結合,并隨著應用的增加逐步劃分NAS卷,這種需求情況下前期一步到位劃分的存儲資源顯得有些被動。計算資源早期建設規模較小,一般都劃入一個大的計算池,后期再被充的計算資源也直接劃入同一池,在這種情況下可能出現非關鍵應用與關鍵應用使用同一計算主機的現象,偶發性的非關鍵應用虛機故障導致計算主機資源被異常大量消耗,進行影響在同一計算主機的基礎平臺管理軟件運行,導致計算資源池整體陛能下降及部分資源控制失效。
  1.2項目的計算資源需求無法預估
  早期計算資源的增加是和應用項目同步進行建設,即一個項目包含基礎計算資源和應用業務軟件,同項目建設帶來的問題是每個項目采購的基礎計算資源都不同且管理不便,隨著虛擬化大量推廣及應用的快速建設,數據中心基礎計算資源建設作為單獨基礎建設項目建設,建議的方式是虛擬化計算集群為主,但建設的計算資源量與實際應用需求的量往往不能匹配,因為信息化建設的加速、大數據分析應用、物聯網應用的普及,對計算資源的需求較以前傳統應用而言需求量已不同,前期計算資源的建設是按照應用項目的數量來進行大概預計,這種簡單的預估方式對于前期應用基本可以應付,但大數據分析應用、物聯網應用對計算資源的相對高要求,這種預估數量無法較好匹配多用途應用對計算資源的需求量。
  2解決方案
  面對計算資源缺乏安全規劃與資源需求無法適當預測問題,通過優化基礎平臺架構的方式來改善現狀,主要通過以下幾個方面
  2.1依據業務架構在資源層實現分隔
  按照應用業務的架構一般分為數據庫層、中間件層、應用層,規劃數據中心基礎平臺計算池時按照這樣的分類進行計算資源池的物理模塊化分隔,數據庫層專門建立一個計算池且單獨建立物理區域,在該計算池配置2個以上高性能計算主機節點均衡計算負載,中間件層建設專用邏輯計算池包含2個以上高性能節點,應用軟件資源池由其他的剩下的計算節點構成,這三個池之間的物理設備分布不同位置,各自連接不同的存儲資源池,計算資源池過網絡核心設備進行互聯。
  2.2按業務服務層次實現業務域的分級
  在具體的業務邏輯層對上面劃分的三個域進行業務細化配置,在數據庫層劃分為核心數據庫與交互數據庫,核心數據庫區域存放業務系統使用的核心數據,僅限相關業務系統訪問并拒絕其他訪問,交互數據庫用于應用系統之間數據庫交互,有些系統因為設計不規范,還需要讓應用客戶端直接訪問數據庫,交互數據庫層主要用來解決數據中間庫及應用過濾問題,配置策略相對寬松,核心數據庫與交互數據庫的計算資源庫實現邏輯隔離。
  應用層的資源池按照業務劃分為非常重要應用、較重要應用、一般應用,非常重要的應用如網絡認證平臺、一卡通核心平臺、統一身份認證平臺、應用數據交換平臺、支付交費平臺等,該類應用需要配置在高性能的計算節點及配置多個計算節點應對負載,較重要應用包括一些使用些量大、影響面廣的應用,一般應用包括一些使用范圍相對小及使用頻率較低的應用,較重要應用配置多個計算節點用于用負載均衡與冗余,一般應用配置在一些性能一般的單計算節點池。
  2.3資源規劃與網絡安全同行
  完成上面業務邏輯層面的劃分后,在網絡層面依據業務進行細化網段劃分,劃分時需要考慮到網絡安全的同步規劃、同步建設、同步使用,數據層劃分出核心數據段、交互數據庫段,該網段必須是物理連到數據中心核心交換,通過數據中心核心交換與應用通信,這種部署方式可以較好滿足數據庫審計與數據庫防火墻的透明部署要求,起到保護數據庫的網絡安全目的,實現資源的第一層防護。在應用邏輯層將非常重要應用、較重要應用、一般應用分別劃分在分隔較遠的不同網絡區段,便于后期在流量監控分析時清晰的識別流量來源,在網絡段層配置粗策略的安全防護或隔離規劃,實現資源的第二層防護。結合虛擬計算資源平臺的SDN網絡功能在每應用主機上層配置主機安全防火墻,做到來源地址、目的地址、目的端口的精細化控制,此功能區別于操作系統自身防火墻功能,不受操作系統的影響,在計算資源平臺與虛擬網絡層實現安全集中訪問管理,以上功能完成資源的第三層防護,數據中心基礎平臺出口網絡配備安全WAF、IPS防護設備、防毒墻等實現區域間的網絡安全防護。
  2.4計算資源及應用變動統計分析
  建立計算資源基礎庫、應用資源信息庫,在計算資源基礎庫中存放計算資源的基本信息,包括資源的創建時間、CPU容量、內存大小、掛載的存儲大小,應用資源信息庫存放應用主機的基本信息,包括應用主機的創建時間、應用所屬項目、主機用途、CPU、內存、磁盤容量、是否在線等信息。建立應用項目虛擬主機需求模板庫,在模板庫中存放多個項目模板,如普通應用類模板包含項目所需虛機平均數量、項目所需磁盤平均容量等指標,如大數據應用模塊包含項目所需虛機平均數量、項目所需磁盤平均容量等指標,每當新建應用資源項目時,必須先進行項目模板類型選擇,每次新建完一批項目應用主機后,定期更新模板數據庫的虛機及磁盤容易平均值。項目的建設周期一般為一年一批次,每半年進行一次計算資源、應用主機信息的信息統計,并基于本年度項目的分類信息及歷史年度的應用增長速率分析預測,計算出當前計算資源池可支撐的服務周期、下一年可能建設的項目類型偏好與計算資源需求,為后期的基礎平臺計算資源擴建提供參考。
  3運行效果
  經過實際環境的計算資源架構改善及網絡安全同步規劃,使用基礎平臺兼顧信息系統架構與網絡安全要求,應用資源的安全性得到較大的改善,數據庫中心區域應用系統被惡意攻擊的宕機時件大量減小,借助三層防護機制操作系統出現漏洞時也能穩步應對,大部分情況都是相對安全可控,遇到非常嚴重的情況時可通過物理隔斷關聯的計算資源池來保障基礎平臺整體安全。通過計算資源及應用變動統計分析實現未來年度計算資源需求的初步可預測,改善了前期基礎平臺資源完全被動及冗余建設的現狀,總體初步提升基礎平臺的安全層次及計算資源建設的合理化與標準化水平。
  在實際實現過程中也發現有不少問題,三層防護機制可以適當有效提升應用與網絡安全,但部署應用主機時間帶來了額外分類工作量,計算資源的需求預測未細化考慮資源池分隔需求,資源池分隔會帶來額外的資源浪費,如何在網絡安全與計算資源最大化利用上達到較優狀態是較難的問題,如何規劃更合理的基礎平臺計算資源架構來滿足網絡安全、監測、預警、審計、防護的及快速部署的要求是今后繼續努力的方向。
轉載注明來源:http://www.361tx.com/8/view-15070540.htm

?
天天啪啪,天天啪一啪,天天啪影院,啪啪在线影院免费