来源公众号:优享智库
电子政务大数据云平台架构
云平台包括基础设施服务层(IaaS)、平台服务层(PaaS)、应用软件服务层(SaaS)、信息安全体系和运营管理体系等,由云服务资源、云服务管理、云服务提供、云运营支撑、云开发平台五个部分组成,总体结构如下图。
基础设施服务层(IaaS):提供基本的计算、存储、网络服务;服务于共享计算、存储、网络的项目,这个服务主要针对原有已建成系统的迁移,在这个层次上,除了可享受基础资源的虚拟化服务外,还通过资源的池化实现资源的动态分配、再分配和回收。目前资源池主要分为计算资源池、存储资源池和网络资源池,同时也包括软件和数据等内容资源池。
平台服务层(PaaS):平台服务层主要提供应用开发、测试和运行的平台,用户可以基于该平台,进行应用的快速开发、测试和部署运行,它依托于云计算基础架构,把基础架构资源变成平台环境提供给用户和应用。为业务信息系统提供软件开发和测试环境,同时可以将各业务系统功能纳入一个集中的平台上,有效地复用和编排组织内部的应用服务构件,以便按需组织这些服务构件。典型的门户网站平台服务,可为用户提供快速定制开发门户网站提供应用软件平台,用户只需在此平台进行少量的定制开发即可快速部署应用。
软件服务层(SaaS):SaaS软件即服务,典型的运用模式就是用户通过标准的WEB浏览器来使用Internet上的软件,只需要按需租用软件,直接应用。
云计算平台信息安全管理体系:针对云计算平台建设,以高性能高可靠的网络、安全一体化防护体系、虚拟化为技术支撑的安全防护体系,利用云安全模式加强云端和客户端的关联耦合,采用非技术手段补充等保障云计算平台的安全。
运营管理体系包括运行维护管理和运营管理:保障云计算平台的正常运行,提供资源管理、调度管理、监控管理等运维功能,以及业务管理、流程管理等运营功能,包括运维管理的门户和运营管理的门户,是政务云平台对外提供服务的界面。
云计算服务平台遵循云计算经典服务模型,提供IaaS层服务。平台通过云计算操作系统实现对于底层服务器、存储、网络等硬件资源的虚拟化和统一调度管理,并抽象出弹性计算云和数据库云两类云服务,提供面向最终用户的自助服务门户。用户可申请弹性计算云服务部署应用服务器和WEB服务器、申请云数据库实例来导入业务数据。平台提供内在的安全性设计,多个用户之间通过虚拟防火墙实现安全隔离和访问控制,并支持强身份认证和可选数据加密措施.
云平台部署
云平台部署包括服务器、网络设备、存储设备、管理设备几个部分,存储网、虚拟网、管理网分开。
服务器上安装虚拟化软件XenServer,虚拟化管理软件采用XenCenter,网络部署简图如下。
云管理平台
资源管理模块
实现对所有云内资源的管理。该模块通过可扩展的设备资源管理接口,对云内包括网络、存储、服务器、软件、数据库等资源进行增加、删除、修改、配置及自动化发现。资源管理模块对外提供Web访问接口,后台组成主要包括资源数据库,中间件模块和资源管理接口。
云安全平台
云安全与传统安全第一大差异是防护理念上的差异,在传统安全防护中,很重要的一个原则就是基于边界的安全隔离和访问控制,并且强调针对不同的安全区域有差异化的安全防护策略,在很大程度上依赖各区域之间明显清晰的区域边界;而在云计算环境下,存储和计算资源高度整合,基础网络架构统一化,安全设备的部署边界已经渐渐消失,这也意味着单一的边界防护效果将急速降低,云安全的防护更注重是差异化、体系化和网元化的安全防护。
云安全与传统安全的第二大差异是防护体系上的差异,在传统安全防护中,更多的是采用资源结构式的防护,一般会分为物理安全、网络安全、系统安全、应用与数据安全和安全管理五部分;而在云计算环境下,在传统资源结构的基础上,由于虚拟化技术的引入,安全防护的将纳入虚拟化平台的安全、虚拟化管理层的安全和虚拟化安全三部分。在应用安全方面,将以云计算的服务模式为基础,决定着应用安全的重点与建设方向。而数据安全、安全管理与安全运维则是两个方面均需要考虑的。
CSA云计算关键领域安全指南V2.1中为云安全构建了技术及管理框架,其中包含了3个层面,13个关注点。
CSA安全指南v2.1在技术上面明确阐述了法律、电子证据发现(D3)以及虚拟化(D13)方面的安全关注建议,另外对于数据的可移植性和互操作性(D6)也是新版CSA安全指南的独特之处。这些内容在ISO27001或者PCI-DSS中或者没有要求,或者很少阐述。