云計算對新一代數(shù)據(jù)中心的影響分析和建設思路--中國電信
《云計算對新一代數(shù)據(jù)中心的影響分析和建設思路--中國電信》由會員分享,可在線閱讀,更多相關《云計算對新一代數(shù)據(jù)中心的影響分析和建設思路--中國電信(31頁珍藏版)》請在裝配圖網(wǎng)上搜索。
,新計算,新數(shù)據(jù)中心,安全新思路 金華敏 中國電信股份有限公司廣州研究院 2010年10月,,,目錄,,,云計算與數(shù)據(jù)中心,新一代數(shù)據(jù)中心安全對策,云計算定義和特征,云計算對新一代數(shù)據(jù)中心的影響,新一代數(shù)據(jù)中心的演進思路,新一代數(shù)據(jù)中心安全威脅分析,新一代數(shù)據(jù)中心安全對策,云計算的目標理念-IT設施成為象水、電一樣的公共基礎設施,轉變IT服務的商業(yè)模式 極大降低用戶使用IT服務的門檻(資金、技術、時間、人力等方面) 激發(fā)出更為廣大的市場空間,,云計算的定義與特征,,,以服務為提供方式,有別于傳統(tǒng)的一次性買斷統(tǒng)一規(guī)格的有形產(chǎn)品,云計算以按需服務的方式根據(jù)不同用戶的個性化需求推出多層次的服務,,,基于網(wǎng)絡構建的云計算可以快速靈活適應用戶不斷變化的需要,同時通過各種機制實現(xiàn)高擴展高可靠性,高擴展高可靠性,,,底層資源(計算/存儲/網(wǎng)絡/邏輯資源等)對用戶透明,用戶無需了解資源具體實現(xiàn)和地理分布等,對提供者而言則是一個巨大的池化資源,資源池化與透明化,,,網(wǎng)絡是云計算的主要組件之一;網(wǎng)絡是云計算的承載體;網(wǎng)絡是云計算為用戶提供服務的通道,,以網(wǎng)絡為中心,,云計算是一種將池化的集群計算能力通過互聯(lián)網(wǎng)向內外部用戶提供彈性、按需服務的新業(yè)務、新技術。 云計算既是一種技術,也是一種服務,甚至還是一種商業(yè)模式,只有符合某些特征的計算模式才能稱之為“云計算”。其特征如下:,5,提供能力 通過IaaS虛擬化技術,將眾多服務器和存儲資源池化,為用戶或業(yè)務應用的承載提供所需的計算資源 承載方式的轉變 資源利用率更高以實現(xiàn)節(jié)能高效 快速提供計算資源以滿足用戶突發(fā)資源需求 用戶能夠自主定制資源 為提供彈性資源出租服務提供了基礎,IaaS——新的計算承載方式,6,,,,,,,Platform,眾多中低端的x86服務器,編程模型 如MapReduce,超大型文件系統(tǒng) 如HDFS,海量數(shù)據(jù)庫 如Hbase,新計算模型,,監(jiān)控與 調度管理,,,API/SDK,第三方軟件開發(fā)者,最終用戶,交付形態(tài),軟件銷售,提供能力 通過分布式并行計算算法,充分聚合服務器的計算和存儲能力,為特定應用提供海量數(shù)據(jù)處理能力 形成高效的軟件應用開發(fā)和托管平臺,聚合第三方軟件開發(fā)者和終端用戶 計算模型的轉變 通過低成本的PC服務器集群獲得高性能計算,并接近線性擴展,PaaS——新的計算模型,,能力調用接口,,自有應用(如搜索、郵件、視頻),7,,,,交互數(shù)據(jù),軟件運行和計算在數(shù)據(jù)中心側完成,終端通過web瀏覽器使用軟件應用,,Internet,,,提供能力 用戶通過互聯(lián)網(wǎng)獲得所需的軟件服務,無需花費大量的精力用于IT設施的建設與維護 減輕終端設備的計算壓力,拉動移動互聯(lián)網(wǎng)業(yè)務的發(fā)展 應用模式的轉變 計算工作從終端側轉移至數(shù)據(jù)中心側,降低對終端設備的計算能力要求,SaaS——新的計算應用模式,,數(shù)據(jù)中心,,,目錄,,,云計算與數(shù)據(jù)中心,新一代數(shù)據(jù)中心安全對策,云計算定義和特征,云計算對新一代數(shù)據(jù)中心的影響,新一代數(shù)據(jù)中心的演進思路,新一代數(shù)據(jù)中心安全威脅分析,新一代數(shù)據(jù)中心安全對策,云計算對數(shù)據(jù)中心的影響,9,新的計算承載方式 新的計算模型 新的計算應用模式,,物理資源高效整合、業(yè)務快速部署、節(jié)能減排 增強海量數(shù)據(jù)處理能力 計算運行于數(shù)據(jù)中心側,降低終端計算能力要求,能夠拉動前端用戶發(fā)展,,建設模式從煙囪式轉變?yōu)榧s式 規(guī)劃和建設視角從以機房為單位轉變?yōu)槿W(wǎng)統(tǒng)一布局,業(yè)務模式從提供基礎承載環(huán)境轉變?yōu)榻桓顿Y源和應用 降低社會信息化門檻 將極大拉動前端終端用戶的發(fā)展,業(yè)務量將規(guī)模上升,,運營模式由屬地化運營轉變?yōu)榻y(tǒng)一運營 維護模式由簡單的設施和設備監(jiān)測轉變?yōu)槎说蕉薎T應用維護 安全與法律風險從用戶側轉移至數(shù)據(jù)中心側,,云計算的引入,對數(shù)據(jù)中心的技術影響,對數(shù)據(jù)中心的業(yè)務影響,對數(shù)據(jù)中心的挑戰(zhàn),,對數(shù)據(jù)中心的業(yè)務影響,,當前的數(shù)據(jù)中心使用模式,目標業(yè)務模式,運營商核心問題: 基礎業(yè)務占近90%,價值業(yè)務逐步減少;能耗高,運營成本高 由于絕大部分的設備產(chǎn)權歸屬IDC客戶,增值服務和應用服務一直開展不起來 缺乏整體的管理平臺,運維效率低,成本高,,,數(shù)據(jù)中心客戶,運營商,,主機托管,客戶自已提供服務器,運營商提供能源,機柜和帶寬,,VIP機房,客戶租用機房,運營商提供空機房及帶寬,,運營商為客戶提供一站式服務 最終客戶只須租用虛擬機來部署自身應用,IDC客戶核心問題: 用戶需要花費大量精力進行方案設計、設備部署、軟件系統(tǒng)安裝,業(yè)務部署周期長,維護成本高 中小企業(yè)需要在IT資源和維護上進行較大的投入,增加其風險,自助Portal 申請彈性主機,,1,2,數(shù)據(jù)中心,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,,,3,數(shù)據(jù)中心客戶,運營商,運營商價值: 提供豐富的高價值的多樣化服務;利用規(guī)模經(jīng)濟獲取利潤 設備產(chǎn)權歸屬運營商,增強了開展增值服務的基礎 精細化運營,統(tǒng)一管理平臺,IDC客戶價值: 自助式服務,實現(xiàn)業(yè)務快速部署 低成本獲取IT資源,降低其使用IT資源的門檻,減少其維護成本,大型客戶,中小客戶,10,從傳統(tǒng)的煙囪式的建設模式轉變?yōu)榧s化的建設模式,對數(shù)據(jù)中心的技術影響,從傳統(tǒng)的以機房為單位建設上升為全網(wǎng)統(tǒng)一規(guī)劃布局,,,,運營模式,,對數(shù)據(jù)中心的挑戰(zhàn),,挑戰(zhàn),,,對策,,建設全網(wǎng)的統(tǒng)一運營體系,規(guī)范管理組織結構、統(tǒng)一配置資源、整合營銷和服務渠道、統(tǒng)一價格體系,維護模式,,對策,,,挑戰(zhàn),維護人員需要更強的IT技能和服務能力 維護內容繁雜,維護流程復雜,培養(yǎng)IT專家和IT服務團隊 建立配套的管理系統(tǒng)來支撐和簡化運維管理工作,安全與風險,,挑戰(zhàn),,,對策,,建立云計算環(huán)境下的安全防御體系 遵照國家法律法規(guī),定期進行信息安全監(jiān)測和檢查 制定嚴謹?shù)挠脩舴帐褂脜f(xié)議,避免用戶不當帶來的法律糾紛,,,目錄,,,云計算與數(shù)據(jù)中心,新一代數(shù)據(jù)中心安全對策,對云計算(新計算)的理解,云計算對新一代數(shù)據(jù)中心的影響,新一代數(shù)據(jù)中心的演進思路,新一代數(shù)據(jù)中心安全威脅分析,新一代數(shù)據(jù)中心安全對策,基礎資源出租業(yè)務為主,基礎資源出租業(yè)務 + 增值業(yè)務,資源按需提供業(yè)務+ 差異化增值業(yè)務 + 內容整合業(yè)務,,演進路線,,歷史必然,,,企業(yè)信息化發(fā)展,互聯(lián)網(wǎng)的發(fā)展,,,數(shù)據(jù)中心,,從國內數(shù)據(jù)中心發(fā)展現(xiàn)狀來看,目前還基本處于第二代的起步階段,“新一代數(shù)據(jù)中心”一般是指第三代數(shù)據(jù)中心,其所謂的”新“是相對第二代而言,數(shù)據(jù)中心的發(fā)展路線,第一代:提供場地、電源、 帶寬等基礎資源出租服務,第二代:在基礎資源服務基礎上提供各類安全、代維等增值服務,第三代:以業(yè)務應用為中心、服務為導向,聚合內容資源的價值鏈運營,在高性能基礎架構上提供各類隨需應變的融合服務,,,,15,? 2005 Cisco Systems, Inc. All rights reserved.,全程全網(wǎng)的計算服務發(fā)展 虛擬機器實現(xiàn)網(wǎng)絡耦合 內嵌數(shù)據(jù)保護 策略制定與轉發(fā)控制相分立,Session Number Presentation_ID,,,擴展能力 處理能力 設備密度 可用性 可管理能力 投資保護,云計算引發(fā)的新一代數(shù)據(jù)中心變革,Virtualization,節(jié)省能耗 服務加速 運維模式調整 資源使用率提高 靈活性,聚合Consolidation,,傳統(tǒng)數(shù)據(jù)中心 (基礎承載環(huán)境),,,新一代數(shù)據(jù)中心 (業(yè)務聚合平臺),,,,技術架構,業(yè)務模式,,運營管理,新一代數(shù)據(jù)中心將向業(yè)務聚合平臺演進,IT資源和軟件應用的出租服務占比將增大,各類增值業(yè)務業(yè)務也將快速發(fā)展,機房空間、機架、帶寬等基礎業(yè)務為主,虛擬資源池、聚合平臺和應用平臺的構建將成為重點,傳統(tǒng)的網(wǎng)絡和IT設備部署方式,要求在全局上統(tǒng)一運營,打破地域局限性 要求高水平的網(wǎng)絡和IT維護服務團隊 運營商可能會面臨新的風險,屬地化運營 要求具備基本的網(wǎng)絡和IT維護能力 安全風險和法律風險較小,,建設模式,集約型建設,通過資源池化,提高資源利用率,煙囪式建設模式,為每個業(yè)務應用部署一套硬件資源,16,,,目錄,,,云計算與數(shù)據(jù)中心,新一代數(shù)據(jù)中心安全對策,對云計算(新計算)的理解,云計算對新一代數(shù)據(jù)中心的影響,新一代數(shù)據(jù)中心的演進思路,新一代數(shù)據(jù)中心安全威脅分析,新一代數(shù)據(jù)中心安全對策,數(shù)據(jù)中心的傳統(tǒng)安全模型,,L5-L7,應用層威脅防御:間諜軟件、病毒、攻擊等,數(shù)據(jù)安全(異地容災,數(shù)據(jù)備份),安全 管理 用戶 管理,新數(shù)據(jù)中心面臨新的安全威脅與挑戰(zhàn),資源聚合技術的應用使得計算/存儲/網(wǎng)絡資源高度集中,虛擬化等技術的應用使得傳統(tǒng)物理安全邊界缺失,用戶數(shù)據(jù)存儲、處理、網(wǎng)絡傳輸?shù)榷寂c數(shù)據(jù)中心密切相關,如果發(fā)生故障造成的后果較傳統(tǒng)數(shù)據(jù)中心更為嚴重 傳統(tǒng)網(wǎng)絡安全設施與防御機制在防護能力、響應速度等方面越來越難以滿足日益復雜的安全防護要求,傳統(tǒng)的基于安全域/安全邊界防護機制難以滿足虛擬化環(huán)境下的多租戶應用模式 用戶信息安全、用戶信息隔離問題在共享物理資源環(huán)境下的保護更為迫切,分布式計算等技術的應用使得用戶數(shù)據(jù)/計算資源具有全網(wǎng)分布特性,數(shù)據(jù)/計算資源具有不確定性、動態(tài)性和全網(wǎng)分布性,而不是位于某一固定節(jié)點 基于固定節(jié)點的安全設施難以滿足數(shù)據(jù)位置動態(tài)變化或全程全網(wǎng)的安全防護需求,虛擬化應用面臨新的安全問題,,,流量監(jiān)控問題,內部虛擬網(wǎng)絡上的虛擬機通信缺乏可見性和控制力,傳統(tǒng)的流量監(jiān)測方法或設備難以實施有效的安全監(jiān)控,,,虛擬防火墻等虛擬化安全軟件將占用有限的物理機資源,可能對正常的虛擬機用戶的正常運行造成影響,虛擬化安全軟件,,,虛擬化軟件對主機硬件和系統(tǒng)擁有高級訪問權限,可直接訪問到硬件抽象層 虛擬機管理軟件存在的安全漏洞如果被惡意利用,將嚴重威脅整個虛擬化環(huán)境所有虛擬機用戶的安全,虛擬化漏洞問題,,,“惡意”虛擬機對物理資源的過度占用,可能會嚴重影響同一物理機上其他虛擬機的正常運行,,資源搶占問題,,,虛擬化平臺管理員擁有的管理權限如果被非法濫用,將對眾多虛擬機用戶的數(shù)據(jù)和應用安全造成嚴重威脅,,權限濫用問題,,…,,,目錄,,,云計算與數(shù)據(jù)中心,新一代數(shù)據(jù)中心安全對策,云計算定義和特征,云計算對新一代數(shù)據(jù)中心的影響,新一代數(shù)據(jù)中心的演進思路,新一代數(shù)據(jù)中心安全威脅分析,新一代數(shù)據(jù)中心安全對策,,數(shù)據(jù)中心安全防護 針對新數(shù)據(jù)中心的安全防護需求,構建縱深的安全防御體系,保護數(shù)據(jù)中心及用戶信息應用安全,,,,安全對策,,安全設施能力提升 采用基于云計算技術及理念,“池化”安全資源,提升安全能力和服務效能,滿足全程全網(wǎng)的安全防護需求,,結合新一代數(shù)據(jù)中心業(yè)務應用特點,充分利用云計算技術及理念,滿足彈性、動態(tài)、全程全網(wǎng)的安全防御需求,新數(shù)據(jù)中心的安全對策,新數(shù)據(jù)中心的安全防護思路,安全防護思路 結合新一代數(shù)據(jù)中心的業(yè)務應用特點及平臺架構層的特性,在采取傳統(tǒng)安全防護基礎上,進一步集成數(shù)據(jù)加密、VPN、身份認證、安全存儲、虛擬化安全、安全防御設施和資源云化等綜合安全技術手段,構建面向應用的縱深安全防御體系,,,,,,,,基礎設施安全,用戶數(shù)據(jù)安全,保障數(shù)據(jù)中心基礎設施的穩(wěn)定性及服務連續(xù)性,保護用戶信息的可用性、保密性和完整性,運營管理安全,提高運營管理安全,完善安全審計及溯源機制,底層架構安全,保障虛擬化、分布式計算等平臺架構層系統(tǒng)架構安全,數(shù)據(jù)中心安全,新數(shù)據(jù)中心安全對策--虛擬化安全,,,服務器虛擬化安全 虛擬機管理器安全:服務最小化原則、內核模塊完整性、補丁管理機制等 虛擬機安全:虛擬機安全隔離、訪問控制、惡意虛擬機防護(防地址欺騙、VM端口掃描等)、虛擬機資源限制等 網(wǎng)絡虛擬化安全 虛擬交換機:采用VLAN劃分虛擬機組、對端口限速,禁止混雜模式進行網(wǎng)絡嗅探等 虛擬防火墻:設置安全訪問控制策略,建立邏輯安全邊界 存儲安全:支持存儲空間的負載均衡、冗余保護等 高可用性要求:支持虛擬機的HA(冷備)、FT(熱備)、備份恢復等,實現(xiàn)故障虛擬機的重新啟用或快速切換,保障高可用性 容災備份:提供虛擬機層級的異地容災服務 虛擬化安全管理:支持宿主機資源監(jiān)控、虛擬機資源監(jiān)控、安全遷移及回退機制、負載均衡、資源預留等,,虛擬化 安全,通過完善、規(guī)范服務器虛擬化安全、網(wǎng)絡虛擬化安全、存儲安全、高可用性要求以及虛擬化安全管理相關配置要求,提高虛擬化應用安全性,新數(shù)據(jù)中心安全對策--基礎設施安全,,,基礎網(wǎng)絡安全 安全域劃分:部署防火墻,劃分安全域,實施安全邊界防護 異常流量監(jiān)測與攻擊防范:進行流量實施監(jiān)控,部署DDoS攻擊防御系統(tǒng)或使用相關攻擊防護服務 承載網(wǎng)絡應支持設備級、鏈路級的冗余備份 主機及管理終端安全 主機/終端系統(tǒng)安全加固:補丁管理、安全配置 安全防護:控制蠕蟲/病毒/木馬在云計算平臺內傳播,非法入侵監(jiān)測 安全基礎設施資源池化 采用安全云技術提升安全基礎設施服務效能,構建安全服務資源池 應急響應 建立完善的應急響應機制,提高對異常情況和突發(fā)事件的應急響應能力,,基礎設施 安全,建立數(shù)據(jù)中心基礎網(wǎng)絡、主機等基礎設施的縱深安全防御機制,提高數(shù)據(jù)中心基礎設施的安全性、健壯性,保障服務提供連續(xù)性和穩(wěn)定性,新數(shù)據(jù)中心安全對策--數(shù)據(jù)安全,,,數(shù)據(jù)隔離:通過虛擬化層安全機制實現(xiàn)虛擬機間存儲訪問隔離 數(shù)據(jù)訪問控制:設置虛擬環(huán)境下的邏輯邊界安全訪問控制策略,實現(xiàn)虛擬機、虛擬機組間的數(shù)據(jù)訪問控制 數(shù)據(jù)存儲安全:為用戶可選提供加密存儲服務;虛擬機服務則建議用戶對重要的數(shù)據(jù)信息在上傳、存儲前進行加密處理 數(shù)據(jù)傳輸安全 應采用SSH、SSL等方式保障維護管理信息的安全 應支持采用數(shù)據(jù)加密、VPN等技術保障用戶數(shù)據(jù)信息的網(wǎng)絡傳輸安全 剩余信息保護:存儲資源重分配之前進行完整的數(shù)據(jù)擦除;數(shù)據(jù)刪除后,對應的存儲區(qū)進行完整的數(shù)據(jù)擦除或標識為只寫 數(shù)據(jù)備份與恢復:支持文件級完整和增量備份;映像級恢復和單個文件的恢復,,數(shù)據(jù) 安全,通過采用數(shù)據(jù)隔離、訪問控制、加密傳輸、安全存儲、剩余信息保護等技術手段,保護數(shù)據(jù)中心用戶信息的可用性、私隱性和完整性,新數(shù)據(jù)中心安全對策--運營管理安全,,,4A安全(帳號、認證、授權、審計) 用戶管理:對用戶帳號進行集中維護管理,為集中訪問控制、集中授權、集中審計提供可靠的原始數(shù)據(jù) 訪問認證:應建立統(tǒng)一、集中的認證和授權系統(tǒng),以提高訪問認證的安全性 安全審計:建立安全審計系統(tǒng),進行統(tǒng)一、完整的審計分析,通過對操作、維護等各類日志的安全審計,提高對違規(guī)溯源的事后審查能力 運營安全 制定安全運營策略及安全維護規(guī)章要求 制定數(shù)據(jù)中心運營維護SLA指標要求 制定數(shù)據(jù)中心安全事件應急響應機制及流程,包括安全事件的等級劃分、處理流程、事件上報等規(guī)范要求,,運營管理 安全,制定安全運營策略及安全維護規(guī)章制度,并從用戶管理、認證、授權、安全審計等多個層面規(guī)范服務安全運營要求,安全云技術應用--提升數(shù)據(jù)中心安全設施服務效能,利用“云端”的海量計算能力 依托龐大服務器/設備集群組成的“中心架構”云計算系統(tǒng),實現(xiàn)超大規(guī)模的計算和存儲能力,全面提升安全系統(tǒng)的服務效能,,中心云,,利用海量終端的分布式處理能力 由分布在互聯(lián)網(wǎng)各處的海量終端采集安全事件,進行本地處理后,并上傳到云安全云中心系統(tǒng)進行協(xié)同分析,,分布式終端,,,“云化” 技術路線,實現(xiàn)全網(wǎng)安全服務能力資源的“池化”,通過云計算應用理念、資源同步調度等技術應用,實現(xiàn)全網(wǎng)安全資源的池化,形成統(tǒng)一的安全服務資源池 通過開放接口等方式,實現(xiàn)與外部安全資源池的共享和復用,形成更大規(guī)模的資源池化效應,,異常流量 監(jiān)測系統(tǒng),蜜罐 系統(tǒng),攻擊溯源 系統(tǒng),DDoS攻擊 防護系統(tǒng),內容安全 監(jiān)控系統(tǒng),終端管理 系統(tǒng),垃圾郵件 處理系統(tǒng),…,安全基礎設施資源“池化”,,第三方安全 資源池,安全服務資源池,能力租用,防病毒引擎平臺,SensorBase,數(shù)據(jù)中心1,數(shù)據(jù)中心N,數(shù)據(jù)中心2,…,安全資源池化可全面滿足新一代數(shù)據(jù)中心安全需求,安全服務資源池在理論上可提供任意規(guī)模的安全服務性能 實現(xiàn)安全系統(tǒng)的能力和效能提升,滿足高性能、大容量、集約化新一代數(shù)據(jù)中心的安全防護需求 實現(xiàn)全網(wǎng)安全服務資源的統(tǒng)計復用和動態(tài)共享 可同時為多個數(shù)據(jù)中心提供安全服務,提高全網(wǎng)安全資源的利用效率 為分布在多個數(shù)據(jù)中心的同一客戶,提供全程全網(wǎng)的按需安全服務,31,謝 謝 !,- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 計算 新一代 數(shù)據(jù)中心 影響 分析 建設 思路 中國電信
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
鏈接地址:http://kudomayuko.com/p-144878.html