安全管控1大数据平台和云资源池

1、大数据平台安全管控和云资源池安全管控 北京永信至诚科技有限公司目 录大数据平台安全管控云资源池安全管控 安全的挑战在于看 见安全管控效 益管理与技术复杂化战略规划5顶层规划模块化设计大数据平台安全管控平台构架自主研发，面向新一代云数据中心架构，软件定义的 IT 资源交付与管理平台。面向严肃企业，提供稳定可靠、集成统一、弹性伸缩、智能高效并自主可控的云基础架构及服务。平台构架路由器索引集群ElasticSearchnet4net3net2Hadoop集群Hbase文档服务数据挖掘数据库集群MySQL存储业务程序集群Zookeeper业务程序集群Web服务器集群数据交互公网IP公网IP公网IP路由

2、器net5境外集群net1内网DNS服务器集群缓存服务器集群公网IP一区云二区云GRE隧道访问内域网别名访问内域网别名访问内域网别名访问防火墙防火墙问题点10责任加大风险倍增问题集中随着数据集中及大数据的发展，数据价值越来越高数据成为黑客、不法人员的重点攻击对象和盈利手段由泄漏等问题带来社会责任越来越大。大数据汇聚了公司全部有价数据，数据保密风险在总部聚焦并迅速放大,量变积累成质变大数据平台将成为企业经营决策的核心支撑，完整性，可用性风险突出Hadoop，云计算等技术出现，引入里新的安全风险数据安全已经成为企业风险控制和安全管理的核心内容。数据安全成为推进安全工作的最重要抓手。HADOOP自身

3、的安全性问题没有“静态数据”加密。目前HDFS上的静态数据没有加密。那些对Hadoop集群中的数据加密有严格安全要求的组织，被迫使用第三方工具实现HDFS硬盘层面的加密，或安全性经过加强的Hadoop版本（比如今年早些时候英特尔发布的版本）。以 Kerberos为中心的方式Hadoop依靠 Kerberos做认证。对于采用了其他方式的组织而言，这意味着他们要单独搭建一套认证系统。有限的授权能力尽管Hadoop能基于用户及群组许可和访问控制列表（ACL）进行授权，但对于有些组织来说这样是不够的。很多组织基于XACML和基于属性的访问控制使用灵活动态的访问控制策略。尽管肯定可以用Accumulo执

4、行这些层面的授权过滤器，但Hadoop的授权凭证作用是有限的。安全模型和配置的复杂性。 Hadoop的认证有几个相关的数据流，用于应用程序和Hadoop服务的Kerberos RPC认证，用于web控制台的HTTP SPNEGO认证，以及使用代理令牌、块令牌、作业令牌。对于网络加密，也必须配置三种加密机制，用于SASL机制的保护质量，用于web控制台的SSL，HDFS数据传输加密。所有这些设置都要分别进行配置，并且很容易出错。数据安全技术框架安全技术数据安全综合监控审计数据风险综合评估数据安全综合展现数据安全指标采集接口终端数据安全网络数据安全主机数据安全应用数据安全身份管理平台终端防病毒系统

5、数据安全日志采集终端数据泄漏监控终端数据泄漏阻断终端数据加密终端准入控制用户管理 身份认证 权限管理 操作审计网络防御系统网络数据泄漏监控网络数据泄漏阻断网络传输加密上网行为管控系统运行采集处理使用规划建设系统变更系统退服主机防攻击系统主机系统审计主机数据泄漏防护存储数据泄漏防护主机数据加密Hadoop锁定加固数据库操作审计应用变更审计批量下载审计批量下载阻断态势感知我们理解的态势感知 全面、快速、准确的感知过去、现在、未来的安全威胁云资源池安全管控云计算的体系架构16资源动态容量规划技术；虚拟资源的动态分配技术；虚拟资源的动态分配策略与机制；服务器虚拟化整合技术；云计算资源池技术；云存储资源

6、池技术；网络资源池技术；基础资源共享资源动态分配统一的SLA规划；服务目录与服务清单；服务计费管理；监控，运维管理流程与操作流程的标准化和规范化；监、管、控系统的集成与自动化；SLA管理与自动化的集成，实现面向服务的自动化管理；管理自动化服务提供数据安全；网络安全；基础架构安全；访问安全；数据合法性审计应用合法性审计云计算安全管理物理安全主机安全及管理应用安全IaaSPaaSHypervisor安全事件管理终端安全虚拟化管理平台安全身份管理安全管理运维审计信息防泄漏数据安全数据加密合规管理数据可用性内容安全虚拟化安全虚机间网络通信安全安全域划分及网络防护网络安全SaaSSecurity framework new part-people 安全规范安全运行安全技术政策和标准制定相应监管机制人员意识、技术能力要求安全意识技能提升检验与选拔泛终端安全网络安