云管理平台将云计算中的物理计算设备、虚拟计算设备、存储设备等资源整合起来,转化为可统一管理、灵活调度、动态分配的逻辑资源,以向用户提供云服务。构建云管理平台,对于实时掌握基础设施运行情况,及时发现隐患、故障,降低运维成本,控制云计算数据中心的能耗,合理分配计算资源,提高基础设施利用率大有益处。
云管理平台建立在由多台主机所组成的计算机集群上,其架构按照逻辑层次可以分为三个逻辑层,分别是计算设备层、计算资源层和计算服务层。
(1)计算设备层。计算设备层是利用现有的主机构成一个基础物理环境,向上提供基本的计算、存储和其他处理能力。
(2)计算资源层。计算资源层是对云计算中计算资源进行统一管理的层次。
(3)计算服务层。计算服务层为上层应用提供按需的计算服务,包括计算服务部署与管理模块、计算环境规划门户,以及计算环境使用门户。
一、云管理平台的安全隐患
云管理平台对资源管理进行了抽象化和集中化,直接通过API和Web控制台就可以管理数据中心的配置。因此,访问管理平台获得对数据中心的控制权是十分便捷的,但是在便捷的同时也带来了极大的安全隐患。
首先,云管理平台通过API和Web控制台进行访问, 使得其自身存在遭受外部攻击的可能。若云管理平台没有足够的防护能力,一旦遭受攻击将无法对云基础设施进行有效管理,进而将无法给用户提供服务。其次, 云管理员作为内部员工,本身属于防范边界(如防火墙)内部的可信任实体,且云管理员具有特权,可轻易地绕过传统的安全策略。
二、云管理平台的安全控制措施
由于云管理平台管理着云计算的底层基础设施以及各种资源,必须要制定一系列的安全控制措施,保证云管理平台的安全性,从而保证云计算信息系统的安全性。云管理平台的安全控制措施如下∶
(1)网络防护。在构建云管理平台时,需要部署网络防护机制,防止针对云管理平台组件本身的攻击。
(2) 管理权限细粒度划分。根据云管理员的不同职责,使用基于角色的权限访问控制的方式,可以给不同的角色划分不同的权限。
(3)特权行为动态管控。当云管理员对运行在云计算平台中的服务器、网络设备、虚拟机等设备进行操作时,管控系统应该拦截操作指令,并对其进行判别。通过特权行为的动态管控,可以有效制止恶意云管理员利用特权破坏云计算平台或盗取用户敏感数据的行为。
(4)安全管理模块。在构建云管理平台时,需要增加安全管理模块,对云管理平台所管理的基础设施进行安全配置、监控以及防护。安全管理模块应包括对云管理平台控制节点、虚拟机、Hypervisor以及主机的加固,对基础设施运行状况的监控,对可能存在的安全隐患进行防护等功能。
原文地址:http://www.cnblogs.com/tiduyun/p/16858426.html
