來源公衆号:優享智庫
電子政務大資料雲平台架構
雲平台包括基礎設施服務層(IaaS)、平台服務層(PaaS)、應用軟體服務層(SaaS)、資訊安全體系和營運管理體系等,由雲服務資源、雲服務管理、雲服務提供、雲營運支撐、雲開發平台五個部分組成,總體結構如下圖。
基礎設施服務層(IaaS):提供基本的計算、存儲、網絡服務;服務于共享計算、存儲、網絡的項目,這個服務主要針對原有已建成系統的遷移,在這個層次上,除了可享受基礎資源的虛拟化服務外,還通過資源的池化實作資源的動态配置設定、再配置設定和回收。目前資源池主要分為計算資源池、存儲資源池和網絡資源池,同時也包括軟體和資料等内容資源池。
平台服務層(PaaS):平台服務層主要提供應用開發、測試和運作的平台,使用者可以基于該平台,進行應用的快速開發、測試和部署運作,它依托于雲計算基礎架構,把基礎架構資源變成平台環境提供給使用者和應用。為業務資訊系統提供軟體開發和測試環境,同時可以将各業務系統功能納入一個集中的平台上,有效地複用和編排組織内部的應用服務構件,以便按需組織這些服務構件。典型的門戶網站平台服務,可為使用者提供快速定制開發門戶網站提供應用軟體平台,使用者隻需在此平台進行少量的定制開發即可快速部署應用。
軟體服務層(SaaS):SaaS軟體即服務,典型的運用模式就是使用者通過标準的WEB浏覽器來使用Internet上的軟體,隻需要按需租用軟體,直接應用。
雲計算平台資訊安全管理體系:針對雲計算平台建設,以高性能高可靠的網絡、安全一體化防護體系、虛拟化為技術支撐的安全防護體系,利用雲安全模式加強雲端和用戶端的關聯耦合,采用非技術手段補充等保障雲計算平台的安全。
營運管理體系包括運作維護管理和營運管理:保障雲計算平台的正常運作,提供資源管理、排程管理、監控管理等運維功能,以及業務管理、流程管理等營運功能,包括運維管理的門戶和營運管理的門戶,是政務雲平台對外提供服務的界面。
雲計算服務平台遵循雲計算經典服務模型,提供IaaS層服務。平台通過雲計算作業系統實作對于底層伺服器、存儲、網絡等硬體資源的虛拟化和統一排程管理,并抽象出彈性計算雲和資料庫雲兩類雲服務,提供面向最終使用者的自助服務門戶。使用者可申請彈性計算雲服務部署應用伺服器和WEB伺服器、申請雲資料庫執行個體來導入業務資料。平台提供内在的安全性設計,多個使用者之間通過虛拟防火牆實作安全隔離和通路控制,并支援強身份認證和可選資料加密措施.
雲平台部署
雲平台部署包括伺服器、網絡裝置、儲存設備、管理裝置幾個部分,存儲網、虛拟網、管理網分開。
伺服器上安裝虛拟化軟體XenServer,虛拟化管理軟體采用XenCenter,網絡部署簡圖如下。
雲管理平台
資源管理子產品
實作對所有雲内資源的管理。該子產品通過可擴充的裝置資源管理接口,對雲内包括網絡、存儲、伺服器、軟體、資料庫等資源進行增加、删除、修改、配置及自動化發現。資源管理子產品對外提供Web通路接口,背景組成主要包括資源資料庫,中間件子產品和資源管理接口。
雲安全平台
雲安全與傳統安全第一大差異是防護理念上的差異,在傳統安全防護中,很重要的一個原則就是基于邊界的安全隔離和通路控制,并且強調針對不同的安全區域有差異化的安全防護政策,在很大程度上依賴各區域之間明顯清晰的區域邊界;而在雲計算環境下,存儲和計算資源高度整合,基礎網絡架構統一化,安全裝置的部署邊界已經漸漸消失,這也意味着單一的邊界防護效果将急速降低,雲安全的防護更注重是差異化、體系化和網元化的安全防護。
雲安全與傳統安全的第二大差異是防護體系上的差異,在傳統安全防護中,更多的是采用資源結構式的防護,一般會分為實體安全、網絡安全、系統安全、應用與資料安全和安全管理五部分;而在雲計算環境下,在傳統資源結構的基礎上,由于虛拟化技術的引入,安全防護的将納入虛拟化平台的安全、虛拟化管理層的安全和虛拟化安全三部分。在應用安全方面,将以雲計算的服務模式為基礎,決定着應用安全的重點與建設方向。而資料安全、安全管理與安全運維則是兩個方面均需要考慮的。
CSA雲計算關鍵領域安全指南V2.1中為雲安全建構了技術及管理架構,其中包含了3個層面,13個關注點。
CSA安全指南v2.1在技術上面明确闡述了法律、電子證據發現(D3)以及虛拟化(D13)方面的安全關注建議,另外對于資料的可移植性和互操作性(D6)也是新版CSA安全指南的獨特之處。這些内容在ISO27001或者PCI-DSS中或者沒有要求,或者很少闡述。