云计算客户虚拟机间的安全机制研究与实现
2017-04-06王飞王国庆陈明武
王飞+王国庆+陈明武
摘 要:云计算弹性服务主要依赖于一些虚拟技术支持,但是虚拟技术存在安全问题,这就会导致云计算安全受到威胁。本文主要分析云计算客户虚拟机安全管理的模块设计与云资源控制隔离机制的设计,深入研究系统实现方式,保护客户虚拟机的安全性。
关键词:云计算;客户虚拟机;安全机制
云计算作为全新服务模式和计算方式,在社会发展中占据重要地位。云计算容易发生安全事故,导致云计算行业发展受到了影响,而云计算安全风险和自身服务模式、技术特点有着直接关系。云计算同传统集群应用的模式或者网络相比,其主要特点就是虚拟技术。因此,为了降低云计算安全事故发生率,需要从虚拟技术着手,解决虚拟环境中的安全问题。
一、安全管理
1.设计安全管理的模块。首先,对云用户的标签进行管理;其次,制订云平台的安全管理对策;再次,添加新建虚拟标签,并进行访问控制与保护;最后,对虚拟机的运行情况进行维护。在安全管理的模块设计过程中,资源标签的添加命令与虚拟机主要置于管理的模块,这样可以弥补安全链容易断裂的缺陷,同时能够对用户信息与虚拟机的启动过程进行监视。
2.标签设计与安全策略。安全机制的工作基础就是安全策略与用户标记,安全机制要想正常工作,需要保证用户标记的安全性,设计人员通过设计安全标记可以满足中国墙和STE要求。同样,在进行用户标签设計时,需要充分考虑用户安全要求,可以将二级用户的标签当作用户标志,这样不仅符合从组织的角度进行云计算隔离的要求,也能够精确至细粒度访问控制。采用生成标签方式,可以直接引用用户名与组织名,也可以计算出组织名与用户名的摘要值来作标签。
二、设计云资源控制隔离机制
在设计隔离机制时,所采用思路主要是通过云计算资源控制方法完成虚拟机隔离,该过程用户绝对透明。通常情况下,隔离机主要在云控制的节点上工作,通过云计算来实现隔离功能。在隔离机制控制云计算的节点资源时,主要按照用户安全的要求,隔离不同节点上的虚拟机,防止恶意窃取用户信息现象的出现。此外,还要建立云资源控制隔离机制,该机制主要包含虚拟机的启动与隔离控制。其中,一般的虚拟机具体启动流程为虚拟机的创建请求、虚拟机基本的信息分配、按照资源要求筛选计算机的节点,然后从与要求相符的众多计算节点之中提取一个节点,并构建虚拟机。隔离控制的流程是从安全节点提取冲突集的信息与虚拟机的标签,按照安全规则筛选计算节点,回到与安全规则相符合的计算节点表。在虚拟机启动与隔离控制完成以后,需要下发一个隔离机制建立的命令。
三、系统地实现分析
1.实现安全管理的模块。要想实现安全管理的模块,需要提供一个接口响应调用的请求,同时监视云平台的其他组件连接。把socket的通信当作接口提供方式,完成连接以后,主程序可以对操作进行判断,如果操作正确,再调用响应函数实施处理。此外,计算节点的通信功能和安全管理的模块不会对IP地址的信息进行维护,主要是通过OPENSTACK中RESTful的接口提取信息,再下发命令与数据。通过这种方式来传输信息,可以有效保障用户虚拟机的安全,同时避免了不必要的环节,提高了信息提取效率。
2.实现访问控制机制。关于方位控制的配置模块实现,其主要是作为守护点常驻在计算节点内存之中,并对云控制的节点发出命令进行响应。通常情况下,安全管理模块要求云控制的节点具备加载、资源标签添加与安全策略变更等功能,然后应用socket机制的监听端口来监视云控制的节点通信,防止不法分子窃取用户信息,确保用户信息的安全。
3.实现隔离机制。隔离控制实现主要是依赖OPENSTACK所提供Filters的过滤器完成,在OPENSTACK创建各种虚拟机过程中,其会按照虚拟机资源筛选出与要求相符合的节点,Filters的机制则是应用过滤方式过滤一些不满足要求的节点。通过Filters的机制可以提供统一框架,能够修改虚拟机的创建流程。其实现流程为修改OPENSTACK的虚拟机创建流程,对安全管理的模块进行调用,按照所建目标的虚拟机用户信息来提取安全的标签,然后和系统中VM UUID 构成虚拟机的名称。在一系列操作与配置结束以后,虚拟机创建流程会转换至scheduler的进程,以便准确筛选计算节点,然后实现隔离控制的流程。
四、结语
综上所述,在分析了云计算的虚拟技术安全问题后得出,要想彻底解决虚拟机安全问题,需要充分融合云计算的资源开放性与共享特点,通过云计算隔离控制、访问控制两种机制来确保客户的虚拟系统安全性。此外,要分步实施与集中管理云计算的访问控制系统,同时在云计算的资源隔离机制基础上,充分实现云计算功能;从安全机制着手,强化云计算虚拟机的安全性,确保客户的信息安全,避免被不法分子窃取信息。
参考文献:
[1]乔然,胡俊,荣星.云计算客户虚拟机间的安全机制研究与实现[J].计算机工程,2014(12):26-32.
[2]房晶,吴昊,白松林.云计算的虚拟化安全问题[J].电信科学,2012(4):135-140.
