【摘要】：隨著云計(jì)算、大數(shù)據(jù)、社交、移動(dòng)等熱點(diǎn)的影響,全球服務(wù)器市場(chǎng)也因此呈現(xiàn)出持續(xù)增長(zhǎng)的態(tài)勢(shì)。隨著服務(wù)器數(shù)量上升,數(shù)據(jù)篡改、數(shù)據(jù)泄露等行為造成的損失越來(lái)越嚴(yán)重,數(shù)據(jù)安全特別是運(yùn)維數(shù)據(jù)的安全也越來(lái)越被重視。而隨著IT技術(shù)發(fā)展,在今日從實(shí)體機(jī)到虛擬機(jī),從操作系統(tǒng)到應(yīng)用程序都存在操作安全的問(wèn)題。傳統(tǒng)的安全防護(hù)手段如防火墻、入侵檢測(cè)系統(tǒng)已經(jīng)不能滿足日益嚴(yán)重的運(yùn)維安全需要,這就需要尋找更好的方法來(lái)滿足企業(yè)中成百上千臺(tái)設(shè)備的日常操作要求,堡壘機(jī)的概念就在這個(gè)時(shí)候被提出來(lái)了。對(duì)于堡壘機(jī)的研究自它誕生之日起就得到了各大企業(yè)的廣泛關(guān)注。以英、美公司為首的國(guó)家制定了一套IT(Information Technology)信息科技和產(chǎn)業(yè)服務(wù)管理最佳實(shí)踐指南,采用 ITIL(Information Technology Infrastructure Library)信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)方法論配合相應(yīng)的運(yùn)維管理軟件支撐在國(guó)外取得了良好的效果。國(guó)內(nèi)對(duì)堡壘機(jī)研究也已經(jīng)形成了一套完整的解決方案,其中包括有綠盟、齊治、云盾等,雖然安全性已經(jīng)得到了提高,但還是難以完全融入企業(yè)的正常工作流程中。除了自身開發(fā)的系統(tǒng)如阿里云等虛擬系統(tǒng)以外,多數(shù)堡壘機(jī)在使用前都需要進(jìn)行復(fù)雜的配置和將用戶服務(wù)器信息及賬戶密碼導(dǎo)入到系統(tǒng)中,還有堡壘機(jī)與企業(yè)自身工作流結(jié)合也不是一件容易達(dá)成的事情。本論文先明確了堡壘機(jī)的核心功能是運(yùn)維與審計(jì)。概述了運(yùn)維、審計(jì)功能的作用,說(shuō)明其功能是通過(guò)協(xié)議全程監(jiān)控的形式對(duì)字符協(xié)議、圖形協(xié)議、文件傳輸協(xié)議等進(jìn)行訪問(wèn)控制與行為審計(jì),將賬戶、認(rèn)證、授權(quán)、審計(jì)結(jié)合起來(lái),提升運(yùn)維安全水平。接下來(lái)按照用戶的新需求,在堡壘機(jī)基礎(chǔ)上實(shí)現(xiàn)了 ITSM(IT Service Management)IT服務(wù)管理與運(yùn)維流程相互調(diào)用和數(shù)據(jù)進(jìn)行導(dǎo)入導(dǎo)出的相關(guān)功能,實(shí)現(xiàn)了 ITSM到運(yùn)維監(jiān)控與審計(jì)系統(tǒng)的平滑過(guò)度,并結(jié)合相關(guān)政策逐步實(shí)現(xiàn)與CMDB(Configuration Management Database)配置管理數(shù)據(jù)庫(kù)功能的結(jié)合。采用 Kubernetes框架在各節(jié)點(diǎn)進(jìn)行虛擬化管理,使用FiConn結(jié)構(gòu)進(jìn)行結(jié)構(gòu)化部署,使用布隆過(guò)濾器進(jìn)行多設(shè)備之間的運(yùn)維權(quán)限劃分,可以說(shuō)是整理出了一條適合本系統(tǒng)的部署方式。在流程管理中將問(wèn)題分成事物流程、身份與訪問(wèn)管理流程兩大類。其中事物流程劃分為事件管理、問(wèn)題管理、變更管理、發(fā)布管理、知識(shí)管理。身份與訪問(wèn)管理流程在使用動(dòng)態(tài)令牌進(jìn)行統(tǒng)一身份認(rèn)證的基礎(chǔ)上,將人員的實(shí)際信息與系統(tǒng)賬號(hào)進(jìn)行綁定,進(jìn)行賬號(hào)申請(qǐng)、離職申請(qǐng)、緊急事件處理以及相關(guān)資產(chǎn)管理的設(shè)計(jì)。在分級(jí)部署過(guò)程中,將功能細(xì)分為數(shù)據(jù)中心、管理平臺(tái)、節(jié)點(diǎn)機(jī),并針對(duì)其各自功能分別進(jìn)行了詳細(xì)的描述。特別針對(duì)其共用的數(shù)據(jù)庫(kù)交換結(jié)構(gòu)進(jìn)行詳細(xì)的說(shuō)明,從角色、運(yùn)維、審計(jì)回放、負(fù)載均衡的方面去劃分并進(jìn)行設(shè)計(jì)。
【圖文】：

因阿里建議使用其全虛擬化技術(shù)使得不論是服務(wù)器還是堡壘機(jī)的安全性均有保逡逑障，實(shí)現(xiàn)了容器虛擬化與硬件虛擬化的結(jié)合，提高了整體運(yùn)維流程中數(shù)據(jù)的安全性和逡逑穩(wěn)定性。在實(shí)際的運(yùn)用環(huán)境中運(yùn)行原理如下圖１．１顯示。逡逑：？逡逑：ＥＣＳ邐ＲＤＳ邐ＥＣＳ邐邐．．邋．！邐ＣＡ認(rèn)ｉｉｌ邋服務(wù)器逡逑丨◎邐◎邐◎邐５邋——＆逡逑邐．．．．．邐邐邐邐邐邐邋￣＾逡逑；◎邐◎邐◎邐◎邐＾邐栜~栧義希濉蟈巍巍蟈巍蟈危忮危瑁義鮮葜行膩撾福ｅ義希牛茫渝危遙模渝危叮茫渝危澹掊澹謾度現(xiàn)し衿麇義希澧酃⒁誨義隙義希骸蟈澹儒巍跋擔(dān)厘義希誨五五五澹哄義希濉蟈巍蟈巍蜆危眨咤義賢跡保痹貧茉誦型煎義希保逞繡襯諶蒎義鮮菰宋踩侍飩改昀醇壕晌聳蒞踩煊虻囊桓黿溝悖�，随着相关茧H蹂義系姆⒄梗⒚揮幸恢址椒ɑ蛘叻槳改苡讕瞇緣慕餼鑫侍�。而本论坞y芯康腦宋肷蠹棋義舷低呈鞘蒞踩煊虻囊桓鲅芯糠較頡ｅ義希跺義

本文編號(hào)：2593345