云安全的解决方案篇1
【关键词】云终端安全漏洞策略
云终端采用“集中终端,分布显示”的架构,通过虚拟化技术,将所有桌面终端机合为一体,在服务器端进行集中处理,桌面终端设备仅负责输入输出与界面显示,不参与任何终端和应用,具有高效、可靠,安全的特点。构建集中式云终端资源中心是集约化、一体化的信息系统建设需要,也是将来发展的必然趋势。云终端模式通过将数据统一存储在云终端服务器中,加强对核心数据的集中管控,比传统分布在大量终端上的数据更安全。由于数据的集中,使得安全运维、安全评估、安全审计等行为更加简单易行,云终端系统还具有较高的可用性,系统容错率,冗余及灾备恢复。但云终端在带来方便快捷的同时也带来一系列新的安全问题。
1云终端的特点
在共享的工作模式下,所有的软件均安装、运行在服务器上,只是将运行的结果送往云终端显示,云终端只负责显示及输入,不运行软件。云终端机基本上无须维护和升级,一切软硬件升级和维护都只须在服务器端进行。
2云终端跟传统终端的区别
2.1传统pC终端
2.1.1安全漏洞问题层出不穷
杀毒软件安装不同,各自独立,整体维护困难。极易造成一个点感染病毒,直至传染全网。系统违规外联,存在很大安全漏洞。
2.1.2安全边界问题难以防护
桌面pC硬件绑定。终端分散,数据随便拷贝,U盘等丢失。硬盘损坏造成数据丢失。
2.1.3数据泄密问题难以防范
重要数据无管控,极易出现泄密。离职员工、外来运维人员泄密以及一些无意识泄密、有意识泄密。
2.2云终端
2.2.1统一防护,有效降低漏洞风险
杀毒软件、安全防范统一、后台统一维护、外设严格管控、权限分明、病毒感染可快速隔离、快速虚拟机重新分配、可控制外联行为。
2.2.2安全边界划分相对比较清晰,桌面与数据分离
桌面与操作系统、数据等硬件环境分离、终端分散但数据集中、系统统一运行维护运行硬件抗损坏性高、自备份、可恢复数据强。
2.2.3防范数据泄密相对较强
重要数据均集中管理,有效减少外流及泄密。
3云终端面临的一些安全隐患
包括应用配置不当,平台构建漏洞,可用性、完整性差,平台漏洞,软件漏洞,编程环境的漏洞,堆栈溢出的漏洞,web服务器的承受能力不强,非法获取高权限,协议及部署缺陷,云数据中的非安全访问许可,数据安全问题,垃圾邮件与病毒,操作系统以及浏览器的安全漏洞以及人员管理以及制度管理的缺陷等等。
4云终端的安全解决方案
相比于传统的数据中心,云端数据更注重安全的访问,数据安全核心密钥管理;云端存储的文件和数据的安全性及终端网络基础架构的安全。
4.1划分安全域以及分别网络隔离
安全域是由一组具有同样安全保护需求、并且相互信任的系统所构建成的逻辑区域,在同一安全域中的系统配备有相同的安全策略,通过安全域的划分把一个大规模复杂系统的安全问题,化分为许多更小区域的安全问题,实现大规模复杂的信息系统安全保护的逐层防护。安全域划分以保障云终端业务安全出发,把网络系统划分为不同安全区域,并进行纵深防护。对于云终端平台的安全防护,要根据云平台安全防护技术实现架构,选择和部署相应的,合理有效的安全防护措施,恰当的策略,实现多层次、纵深一体的防御体系,有效保证云平台资源及服务的安全。同时还可根据网络所承载的数据种类及功能,进行单独组网。以实现网络划区域的隔离防护。
4.2安全防护
云终端系统也具有传统it系统的一些特点,针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。
4.2.1虚拟化安全
拟化安全涉及虚拟化组件及其管理的安全,包括虚拟化交换机、虚拟主机、虚拟化操作系统、虚拟存储及虚拟化安全管理等。
4.2.2网络安全
网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、web应用防护、Vpn接入、安全审计等内容。
4.2.3防火墙及边界防护
安全域需要隔离,并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有VLan、网络设备aCL、防火墙、ipS设备等。
5结束语
目前没有一种技术能够完全彻底解决云终端安全问题,但可以通过技术组合、管理等方面的手段去优化从而降低问题产生概率。云终端系统作为一种新的办公系统已经逐步被企业所接受,必将改变信息化的构建和管理方式。
参考文献
[1]邓华国,王刚,鲍娌娜.云终端资源中心的桌面资源优化研究[J].中国新通信,2015.
[2]何永远.桌面云终端系统在电力行业中的典型应用[J].电力信息通信技术,2014.
作者简介
梁雨(1990-),男,四川省乐山市人。大学本科学历。现供职于国网四川雅安电力(集团)股份有限公司。研究方向为信息系统运维检。
云安全的解决方案篇2
一、华为“云、管、端”,助力教育信息化
云:华为为教育客户提供存储、服务器、数据中心、桌面云等全系列it产品。云操作系统(Fusionsphere)拥有自主知识产权,性价比业界最佳,能够实现端到端软硬件垂直优化,兼容多家虚拟化引擎和硬件,从而满足解决教育资源集中建设、总校与分校之间it资源共享需求;融合一体机(FusionCube)实现了计算存储真正融合,内置高性能内部交换网络,完美支撑高性能科研计算、云存储、多媒体教室、数字图书馆应用;云桌面(Fusionaccess)是端到端优化整合的桌面云,具有端到端系统化的安全设计、丰富的接入认证方式,低带宽,高网络容忍度,音视频优化,GpU直通的卓越体验,是校园办公协同、计算机上机室、电子评卷、多媒体教学等的最佳选择。
分布式数据中心(DC2)不仅可以大大提高it资源的利用效率,还可实现数据中心之间的资源共享和统一管理、数据中心之间的容灾和备份。微型数据中心(microDC)将网络、计算、存储、安全、语音通信、远程管理集成在标准机柜中,实现3小时安装、1天上线敏捷部署,满足中小学、院系的it信息化建设需求。
管:华为致力于面向教育客户提供全场景的网络承载及安全解决方案,包括光传输、骨干路由器、企业出口路由器、防火墙、流量整形、行为监管、多业务网关、园区及数据中心交换机、无线wLan、Xpon接入等产品。在CeRnet骨干网、区域教育云网络、校园网精细化运营、无线校园、职教及普教校园网等多个场景均有成熟的解决方案及实际应用。
端:华为面向移动学习提供系列化mediapad、面向校园安全的高清视频监控摄像头、面向协同办公提供的高清视频会议终端及客户端软件平台。基于需求深度定制的平板电脑课取代课桌上的书本和学生肩上的书包,成为电子书包,助力智慧课堂的各类教学应用。高清摄像头的全高清全智能保障校园安全。而高清的视频会议终端使得远程教学成为可能,促进区域教育公平化,使得偏远地区的孩子也能享用优质老师的面对面辅导。
二、华为智慧教育解决方案,助力教育信息化
顺应第四波教育信息化建设浪潮的发展趋势,以“网筑数字校园,云播智慧教育”为核心理念,华为凭借在教育行业多年的深耕、对校园客户需求的深入理解,在整合“云、管、端”iCt产品基础之上,推出“智慧教育云”、“智慧校园”、“智慧云课堂”、“移动书包”四层次的智慧教育iCt解决方案。
智慧教育云解决方案:以华为服务器、存储、网络、云操作系统、数据中心为基础,集成业界领先的教育软件供应商,构建一个整体的、可部署的教育云数据中心、教育云网络解决方案,实现了教育资源共享,让更高效的教育管理服务成为可能。
智慧校园解决方案:以万兆校园骨干网络为核心,提供有线无线一体化校园覆盖、泛在无线宽带、校园精细化运营、校园网络泛在安全、ipv4/ipv6平滑演进、校园网络可视化管理中心、校园安全视频监控、校园网络及能耗节能管理、教育e卡通、校园办公协同、视频会议等解决方案,可满足校园学习、科研、办公、生活、管理、节能、服务方面的需求。
智慧云课堂解决方案:教室作为教学的重要场所,在第四波教育信息化大潮中,正在从多媒体化向智能化升级,颠倒课堂教学模式日益普及。华为为此设计了pi3教学活动模型及SmaRt教室信息化模型,并在此模型基础上推出以云计算为核心架构,以物联网使教室智能化,以专为智能教室设计的“四合一“教室云边界(CCe),资源下沉、提升教学体验的校园云边界(SCe),简化运维管理的智能管控中心(CoC),预集成教学应用平台的云课堂中心(CCC)为核心设备的智慧云课堂解决方案,满足网络课堂、远程课堂、颠倒课堂、网络教室、移动学习等教学应用场景需求,助力教学模式变革。
移动书包解决方案:提供从学习终端(电子书包)、到网络安全接入策略、终端设备管理,到电子教本内容平台的端到端解决方案,以实现教学内容实时共享,教师有效监控课堂,即问即答的互动式教学;通过增加学习的趣味性,调动学生的积极性,提高学生的学习效率、自学能力。
三、开放协作,共筑未来智慧教育生态
云安全的解决方案篇3
关键词:数字图书馆;信息数据;安全;存储
中图分类号:tp311文献标识码:a文章编号:1009-3044(2012)14-3226-02
数字图书馆是未来图书馆发展的方向,也是一个国家和地区文化科技的知识宝库,随着数字图书馆建设的不断加快,全方位信息服务水平的不断深入,信息数据资源不断增多,馆藏信息数据的安全保护也提升到了一个新的高度。
信息数据安全保护有两层方面的含义:一是数据自身的安全保护,主要是指采用现代加密算法对数据进行主动保护,如数据保密、数据完整性、双向身份认证等。二是数据存储的安全保护,主要是采用现代先进的信息存储手段对数据进行主动保护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。数据自身的保护是一种被动的防护,必须基于可靠的加密算法与安全体系来进行,而数据存储的防护是一种主动的防护措施,是将数据本身或者其中的部分以及全部内容在某一点的状态以特定的格式保存下来,以防数据源出现丢失或毁灭等其他各种原因不可用时,可及时准确的将数据备份内容进行恢复的技术。
1数据安全保护技术的现状
在说明现状之前,请看二个真实的例子:
1)2007年5月,蓝色巨人iBm遭遇了一起令人尴尬的数据丢失事件,一批存有iBm员工和客户账户信息等敏感信息的数据备份技术磁带在运送到纽约西切斯特郡过程中意外丢失后又神秘消失了,由于其中只有一部分磁带对信息进行了加密处理,因此剩余磁带中的信息都面临随时泄露的风险,这就迫使iBm不得不在当地报纸刊登广告,希望有人能归还这些磁带。
2)2008年初,瑞典公共图书馆Stockholm的一台电脑上发现了一个带有军方机密信息的U盘,其中包括improvisedexplosiveDe?vices(简称ieD,一种可在安全距离有效地引爆起获的简易爆炸装置)和阿富汗国内地雷分布等数据信息。随后该U盘被人交给了瑞典国内发行量最大的晚报《aftonbladet》,并由后者移交给了相关政府机构。
这两起案例虽不涉及图书馆行业,但其中的危害还是让我们认识到单纯的数据存储保护不能够完全的保证系统数据源的安全,即时已经备份了的数据也会面临安全性问题。数据存储保护的最终目的就是快速、准确的将信息恢复至某一时刻的状态,犹如时光机器,可以将信息的历史状态完全记录并进行回放,无疑是一剂可以随时服用的“后悔药”。但是,一旦这剂“后悔药”别人也能服用甚至被销毁,那么数据存储保护技术还能保护你的数据吗?
结合数字图书馆来说,馆藏信息数据主要分为三类:一类是馆内信息,包括历史沿革、馆藏图书机读目录等。二类是自建信息,包括科研信息收集库、馆内读者个人信息、资源服务跟踪信息等。三类是购买信息,包括各种电子资源等。就目前所知的的解决方案,大体可以分为物理保护与逻辑保护两种形式:1)物理保护主要确保存储备份的介质在储存与运输时时的完整性与可靠性。2)逻辑保护主要指备份数据不会被解密,不会被非法的、非授权的访问读取。数据备份技术加密是也解决方法的另一种途径,但在执行数据备份技术任务时会对客户端的性能造成影响,通常在30%~50%之间,因此后台加密技术只有在多核CpU普及后才获得了长足的发展。
2图书馆信息数据保护之道:备份、容灾走向融合
在云平台、智能共享愈演愈烈之时,未来图书馆信息数据将怎样发展?诸多解决方案供应商均了对未来发展趋势的预测,除了云平台、虚拟化以及大数据等热门词汇毫无悬念地位居其中之外,数据容灾首次得到专门"对待",预测的结果表现出了现有数据备份方式将会改变,简单化保护管理将成为未来数据灾难备份技术的重要发展趋势。
我们认为,未来的所有产业都将基于信息技术,产业的核心动力在于信息技术的发展,产业随着信息技术的量变或质变而变化。结合到图书馆行业,笔者认为未来的图书馆更多的是数字图书馆,实体的纸质图书馆将仅限于城市内综合馆的一部分,信息化的数据资源将是图书馆内容的主体,数据信息将越来越重要,相应地,对灾难备份方案的要求和重视程度也越来越高。如果因为灾备方案的缺失,硬件故障致使整个系统宕机,长时间无法恢复,所有图书信息服务业务被迫停止,急需查找的资料或书籍而连不上本地区数字图书馆,进而影响到决策或某项商业活动,所造成的危害根本无法用数字去衡量。
但由于成本方面和技术普及需要时间等客观因素,目前采用的备份方案或只能够备份数据,或只能够备份系统,更有的是仅仅只针对某些应用程序的备份,灾难来临需要数据恢复时又需要备份方案中配套的专门恢复软件,当需要多个备份方案同时进行时就造成了相关资源和经费的浪费并增加了数据管理的复杂性。2012年2月1日,根据acronis2012年全球灾难复原指数(DisasterRe?coveryindex,DRi)显示,全球仍有32%的中小企业采用3种或3种以上的备份、容灾解决方案。无独有偶,笔者在与图书馆同行交流当中了解到甚至有同时使用4、5种备份、容灾解决方案的。
众所周知,数据备份的目的是为了恢复,而最关键的步骤也是恢复。然而这么多种的灾难备份解决方案,却没有增加数字图书馆在遭遇数据灾难时恢复的信心。由于要从多种不同的备份环境中恢复需要的数据非常繁琐,图书馆行业甚至是所有相关产业都迫切希望能够拥有一种能够在各种物理平台、各种数据库、多种虚拟以及云端平台环境中使用的“通用恢复平台”。
面对这种需求,有的数据灾难恢复方案商已经开始有所研究,主要方法是在“通用恢复平台”上集成多种备份恢复技术,已优良的用户界面和傻瓜式的操作来以降低管理的复杂性。如一些方案商提出了灾难备份恢复一体融合的理念,戴尔在它推出的以“流动数据架构”为核心的智能数据管理解决方案实际上就是“存储备份容灾一体化”的雏形:“流动数据架构”通过以“适合的地点、适合的时间、适合的成本、适合的数据”,为客户优化存储基础架构,更智能的数据管理策略提供有力的帮助。戴尔认为现有的数据存储有五大问题:1)存储架构缺乏灵活性,扩展成本居高不下。2)存储架构效率低下,存储性能和容量浪费惊人。3)数据保护成本昂贵。4)维护和管理成本等隐性成本偏高。5)信息监管成本越来越大。针对这些问题,当然主要的是存储上的问题戴尔提出了通过流动数据来帮助用户实现高效it和降低存储成本。在“流动数据构架”中,通过使用内容感知的重复数据删除技术,帮助用户实现存储数据的压缩,在存储空间不变的情况下,最大化的利用存储容量。而虚拟存储技术则是一个在虚拟环境下的高效存储技术,能够使用户的存储效率最大化。利用自动分层技术则能帮助用户实现数据的自动化存储问题,它能自动分辨出高使用率数据和低使用率数据,实现高低数据之间的自动流动,让信息数据可在主存储、备份及容灾系统之间自动流传。
当然在这方面有所成就的不止戴尔一家,包括国际厂商的惠普、emC,国内厂商的浪擎、清华等都加强了在存储和灾难备份方面的一体化整合,包括服务器、网络以及存储的灾备一体化融合解决方案层出不穷,简单化管理、智能化、自动化必然是数据信息保护行业的大势所趋。
然而,就目前国内中小数字图书馆经费和技术条件的实际情况,对那些服务对象为综合大馆的以硬件为基础的一体化灾难备份恢复解决方案只能“望洋兴叹”。在这种情况下,部分方案提供商以其敏锐视角开始为这部分用户提供了单纯利用软件来对数据信息进行备份的方案,以能够确保服务中断后可最大限度的快速恢复,例如Simpana软件,它是CommVault一体化信息管理(Sin?gularinformationmanagement)软件套件的品牌名称,它提供了数据保护、归档、复制、资源管理和搜索模块,并利用统一的一套源代码无缝的结合在一起,能共享相同的服务功能。再如爱数的云落地战略,它的核心就是云计算平台,它直观的展示了“一个中心,多个基本点”的思想。平台战略以tx3系统中心为中心,多业务应用节点为基本点,战略的核心是tx3云平台,目前的业务应用节点包括爱数备份软件、爱数备份存储柜、爱数anyShare等应用产品。总的来看,这些方案提供商就是围绕着云平台在进行软件活动,提供“软件即服务”的功能,用户可根据自己的实际需求灵活添加功能模块,这就是云计算中的“按需付费”。
3数字图书馆云时代需要更高级的业务连续性与数据保护
云计算是什么?这个答案众说纷纭,我的理解是云计算实际就是资源服务,是一种把在单独各个机房的各种资源整合到一起,并能通过互联网提供给更多的人使用的一种新技术,这个资源包括服务器的运算资源、存储空间资源、软件资源和数据信息资源。使用的人不需要知道服务器在哪里、空间在哪里、软件安装在哪里、数据信息存储在哪里,在任何地点、任何时间只要有互联网就能够使用,用专业的话就是提供:更低的成本,更快速的交付,更多样性的服务,它不是特定的技术,而是一种服务理念,是通过按需弹性扩展和用户自助服务实现it服务的便捷性和自动化。
因为云计算有着这么多的优异特点,很多企业都构建了自己的“私有云”,而数字图书馆行业也逐步开始在构建自身的“私有云”,因此如何在云时代实现数据的备份和恢复,在各种“私有云”之间实现异地容灾,都是新一代数字图书馆构建时要考虑的重要问题。
目前,较为有效的云环境数据安全解决方案还不多,调研报告显示,云计算以及云端的数据安全发展大致分为三个阶段:首先是准备阶段,该阶段主要进行的是新技术的储备和新概念的推广,相关解决方案和商业运行模式尚在接触、摸索中,用户对云的认知度较低,大多持观望态度;其次是起步阶段,该阶段内一些较成熟的案例逐渐显露,用户对云的了解和认可程度也在不断提高,逐渐有新的方案提供商介入进来,根据自身的理解,涌现出大量的多种各样的解决方案;第三是成熟阶段,云的相关产业链和行业生态链基本成型,各提供商解决方案开始趋于成熟稳定,用户通过云计算取得良好的效果,并成为信息系统不可或缺的组成部分。而现在我们认为刚刚进入准备阶段,各种解决方案尚在摸索,不过其中不乏其佼佼者,比如国内信息安全厂商椒图科技近日就在北京召开了JHSe安全云解决方案会,首次向外界公布了椒图科技在云计算方面的安全理念,并着眼于云计算基础架构平台建设提出了体系化的安全云解决方案,再如总部在北京的全球信息安全解决方案的领先供应商Safenet也了一个应用在云计算网络应用模式上的数据安全方案,通过该方案,组织机构可确保“云”模式下敏感数据的安全。还有飞康CDp的持续数据保护方案,该方案针对“云”模式下的数据提出了以数据持续保护、系统快速恢复、备份和容灾一体的解决方案。这些方案都对数据信息的灾备有一套自己的做法,其飞康CDp的连续保护技术最具特色,主要特点是:
1)在整个数据的生命周期过程中都能提供强有力的保护,它不仅仅是保护数据,还保护数据环境和系统;
2)该技术在使用过程中对云环境的基础架构没有影响,对已有的系统架构也没哟改变的要求;
3)提供了一套全面灾难防护手段,能够防范各类逻辑方面和物理方面的灾难,确保能够实现本地云环境的全面恢复;
4)具有开放式架构的特点,能够兼容大多的云存储设备;
5)在数据恢复时,具有可以人工选择数据恢复某一个项目的技术;
6)在云端环境下,主机可以做到全天连续备份;
7)具有多种复制策略(连续复制模式、压缩模式、基于时间增量模式、基于数据增量模式等策略可以单独使用也可以组合使用);
8)轻易实现从私有云、公有云环境的本地持续数据保护及不同地域间的云平台环境的的云飘移。
总的来说,在当今不断变化的“云”环境下,只有经过验证的解决方案才能够提供精细、持续的安全保护控制,用户希望能够充分利用“云”的优势,而不必以牺牲安全为代价,云的普及离不开数据安全,保证系统与数据安全势必任重道远。
4数字图书馆的数据保护任重道远
数字图书馆的数据安全包含的内容很多,该文仅仅是从存储角度来论述一个数字图书馆数据信息的保护方式,其他的如网络攻击方面,有人员管理方面等没有进行论述,这些也是数据保护的一个重要内容。总的来说如何进行数据保护不仅仅是图书馆工作者所思考的问题,也是it行业共同关注的问题。因此数字图书馆数据保护建设要统一考虑,长远规划,保证技术的先进性和可扩展性,在技术上要适应新的网络动态变化,建立适应的安全保障体系,同时要加强安全管理,增强馆员的安全意识,这样才能保证数字图书馆顺利发展。
参考文献:
[1]刘正伟.海量数据持续数据保护技术研究及实现[J].计算机研究与发展,2012(S1).
[2]中小企业数据备份、容灾走向融合[i].微电脑世界,2012(3).
[3]梁晓欢.数据库安全、虚拟化和云计算——现代it领域数据保护所面临的三大关键技术挑战[J].电脑与电信,2011(4).
[4]马骁宇.企业数据保护和存储安全解决方案[J].科协论坛:下半月,2011(8).
[5]宋爱林.高校图书馆公共机房数据保护综合方案研究[J].图书馆界,2010(1).
[6]田全红.浅析新一代数据保护策略在云计算时代的应用[J].甘肃科技,2011(17).
云安全的解决方案篇4
随着整机柜服务器的悄然兴起,“刀片将死”的言都说大树底下好乘凉,在公有云领域,microsoftazure应该算得上是一棵大树,而企业用户在享受“阴凉”的同时,难免会遭遇蚊虫叮咬或电闪雷鸣,这就如同企业用户在现实中必须慎重对待云安全问题一样。
先走了一步
从客户到合作伙伴,从云安全解决方案的创新到渠道建设的增强,梭子鱼网络很明显地加强了对云安全市场的投入。梭子鱼网络的这种变化既是客户需求驱动的,也是梭子鱼网络自身业务拓展的必然选择。中国云计算市场方兴未艾,而将所有业务与云紧密联系的梭子鱼网络能够成为中国云安全市场上的弄潮儿吗?
梭子鱼网络的业务围绕着安全和存储展开。不管客户的应用环境是物理的、虚拟化的,还是云化的,梭子鱼网络都可以提供全面的支持。大约三年前,中国的云计算市场还处于宣传教育的阶段,尤其是公有云。但在过去一年中,我们能很明显地感觉到,云计算应用正在中国加速落地。用户通常的习惯是,先选择一个云平台,然后再逐步考虑网络安全、数据保护这些问题,并不断在云平台上添加这些功能。现实中越来越多的用户对云安全产生了迫切的需求,并已经开始使用云平台。正是因为这样,越来越多的用户会向梭子鱼网络这样提供安全和存储增值服务的厂商寻求解决方案和服务。
从虚拟化到云计算,从企业私有云到公有云,用户的安全需求在变化,云安全的应用处于持续演进中。从梭子鱼网络的实践来看,现阶段针对虚拟化环境、私有云的安全保护需求更加旺盛,梭子鱼网络在这些领域的成功案例也比较多。同时,梭子鱼网络也看到客户的业务在不断成长,从传统it架构到云架构的转变需要时间。针对公有云环境的安全保护项目已经开始落地,未来这种项目会越来越多,而公有云安全市场的发展速度也会越来越快。
云安全的需求很明显地摆在那里,但能否将需求转化为商机,那还要看梭子鱼网络自身的实力,以及捕捉商机的能力。梭子鱼网络做好准备了吗?
发力云计算之前,梭子鱼网络其实做了很长时间的准备。2013年,梭子鱼网络在纽交所上市的时候,名片背面已经清楚地印上了“云融合”这几个字,它明确地表明了公司的定位。而且早在2008年,梭子鱼网络已经开始提供公有云的安全解决方案和服务。目前,梭子鱼网络在全球拥有7个数据中心。
在众多的安全厂商中,为什么梭子鱼网络能够成为首批通过microsoftazure认证的安全解决方案供应商?除了因为梭子鱼网络具有很强的技术创新能力以外,还因为其战略具有前瞻性,提早在云计算方面进行布局,取得了先发优势。现在,对梭子鱼网络的一个考验是,如何将这种优势转化为胜势,从而奠定其在云融合市场的领导地位。
现在,梭子鱼网络对云融合市场的重视程度非常高。梭子鱼网络从起步时就明智地选择了云计算这个细分领域,并且做了许多开创性的工作,比如推出web应用防火墙云端解决方案,以及致力于实现云基础上的安全与存储的融合等。梭子鱼网络并不具备那些传统it巨头的知名度和规模,但是,梭子鱼网络的业务和产品定位清晰,抢占了云市场先机,并且建立了符合云业务发展的营销架构,制定了积极的策略,这才让梭子鱼网络凭借云融合安全与存储脱颖而出。
在公有云方面,除了与microsoftazure合作以外,梭子鱼网络与awS也结成了重要合作伙伴关系。同时,梭子鱼网络还与中国本地的公有云服务商积极联络。作为一家独立的第三方安全和存储供应商,梭子鱼网络将顺应市场发展趋势,积极支持主流的公有云平台。
云安全的示范效应
云计算早已从概念炒作阶段过渡到加速落地阶段,但时至今日,问起上云的最大障碍这个问题,安全仍然是用户心中最大的困惑。
如果你也想趁早搭上云计算这趟快车,如果安全也是你心头挥之不去的阴影,不妨看看梭子鱼网络是怎样帮助用户实现云平台应用安全的,也许对你来说是一种有益的参考和借鉴。
在云平台应用中有效实现高等级安全防护,同时兼容现有环境,保护原有投资,对很多用户而言是一个严峻的挑战。梭子鱼网络能够提供与公有云平台有良好集成且经过严格验证的安全解决方案,其核心是一个专门针对外部应用做防护的应用层的防火墙,可以抵御各种攻击,确保客户云应用的安全。这是一种典型的云安全应用场景。
梭子鱼网络web应用防火墙云端解决方案可以提供持续的保护,抵御各种不断变化的威胁,同时其超细粒度的身份验证和接入管理功能,也满足了用户对安全级别的最高要求。另外,梭子鱼网络web应用防火墙云端解决方案还具有超强的兼容性和可扩展的安全性,可以满足站点云应用和数据安全保护的需求,同时提供直观的满足合规要求的运维报告。
梭子鱼网络web应用防火墙云端解决方案是全球首款通过microsoftazure认证的web应用防火墙,而梭子鱼网络本身也是首批通过microsoftazure认证的安全解决方案供应商。梭子鱼网络与microsoftazure的紧密合作成了梭子鱼网络在云安全方面的一个重要突破口和成功样板,在业内具有良好的示范效应。
梭子鱼网络的云安全服务主要有两种典型的应用场景:第一种方式,用户采购梭子鱼网络的云安全产品,相当于部署了一个虚拟机,梭子鱼网络的云安全产品与microsoftazure、托管的microsoftCloudplatform、windowsServerHyper-V预置私有云等在后端已经做好了集成,用户直接安装、配置和使用即可;第二种方式在全球范围内应用比较普遍,就是SaaS模式的云安全服务,用户可以直接从microsoftazuremarketplace中获取,部署时间可以缩短50%~80%。
梭子鱼网络microsoftazure集成解决方案主要包括web应用防火墙、下一代防火墙、邮件安全网关和邮件归档。梭子鱼网络的定位是云融合安全与存储解决方案提供商,云是前提,安全与存储的融合是解决用户问题的手段和方式。另外,针对像office365这样的云应用,除了提供网络和应用安全的保障以外,梭子鱼还可以提供包括分类垃圾邮件、归档和备份在内的三合一服务,这在业界是独有的。
不是巨头是专家
虽然与欧美相比,中国的云安全市场发展略有滞后,即使是与亚太地区的澳大利亚、日本等国相比,中国客户的云安全意识和实践也有待加强。但中国也有自己的独特优势,比如客户基数大,而且在互联网化、移动化等很多方面都是超前的,或处于全球领先地位。相信中国客户在突破了对云计算认知的瓶颈,越过怀疑、观望和“吃螃蟹”的那个阶段之后,在云计算方面的成长会更快。
传统的安全是基于pC的,拥有严格的内外网划分,形成了一套固定的边界防御模式。但是随着云计算、移动化的兴起,安全的边界已经十分模糊。从某种意义上说,云安全对于传统安全思维来说是一种颠覆。
云安全的解决方案篇5
对仓储管理系统中基于云的关注和采用的确比其在运输管理系统(tmS)、供应链可视化解决方案、全球贸易管理和其他领域中的应用慢得多。这一进程速度大约与演进也很慢的基于云的供应链设计持同样水平。
造成这一现象的影响因素有很多。首先,wmS不像很多其他种类的供应链软件能够简单地“理清”实施过程。有很多软件和设备必须本地安装,如无线射频装置、条码打印机、自动化物料搬运机、仓储控制系统(wCS)等。一个tmS的使用者除了一台能够连接网络的个人计算机以外,再无需任何其他东西就可以使用基于云的运输管理系统。然而wmS要与各种各样的本地子系统连接,在一定程度上云部署的效益就会有点模糊,至少用户有可能会这么想。
以上就导致了众多障碍中的第二个:响应时间。射频或语音设备、物料搬运设备等通常需要次秒级的反应来保证运作效能。基于云的wmS的网上交货过程中就存在一些问题,由于和局部的部署方案相冲突使得交货过程太慢或者多变。
最后,类似于tmS,最初的基于云的wmS解决方案很简单,并没有适用于大型复杂的配送中心需求的功能。因此,基于云的解决方案仅被一些小型简单的配送中心或者仓库采用。早先基于云的wmS的一个典型的目标客户是一家叫作Smartturn的公司。这家公司将基于云的wmS用于小型配送中心或者“非受控制的”库存点。(Smartturn后来被Redprairie兼并,最近与JDa软件合并,更名为JDa)
然而,随着wmS市场对基于云的解决方案的青睐情况正开始发生着变化。是什么导致了这样的变化呢?首先,大部分人更为熟知的wmS解决方案现在也在提供基于云的解决方案,即使他们仍旧喜欢传统的基于假设的解决方案。
第二,新一代的wmS供应商从一开始就创建了基于云的解决方案,如Snapfulfill和LogFire。这些供应商已经上市,并为复杂的大型配送中心提供强大完善的云方案。accellos也已经开始提供基于云的wmS了。
这种解决方案的转变并不是意味着云方案无论何时都适用于每个公司。以下就是在评估一个云wmS解决方案时必须考虑的重点因素。
你真正想实现的是什么?
一个公司对云wmS潜在兴趣是重点关注一个不同的定价模式(认购价格对前期许可认证成本),一个不同的部署模式,两个都是或者还是其他?令人惊讶的是,有很多企业在开始关注云wmS时并没有很好地弄清以上问题的答案。
一个企业清晰地知道自己想要实现的目标是最要紧的。我们可以注意到这样一个现象,比如大部分已经建立wmS的公司宁愿先为软件许可认证交付订金,也不愿为购买支付首笔费用(虽然他们必须考虑得到认证通过答复的困难性)。相反地,即使采购前需要支付传统许可证的费用,大部分wmS提供商也会为客户采购软件。
部署的外部环境是什么?
和以上重点相联系的是:部署的计划或基础真的需要一个新的wmS系统来连接到小型设施,如目前还没有真正的wmS支撑的制造业仓库?或者那是个对传统的、更复杂的配送中心或者新的设施采用不同方式的计划吗?这些问题的答案就缩小了wmS候选池范围――大型的“第一代”wmS解决方案很可能无法适应较小型的设施,针对小型设施的更基础的云wmS解决方案也不会满足很多大型配送中心的需求。
Softeon,一家既进行传统部署wmS解决方案又提供先进的云版本的wmS供应商,针对这个问题采取了一个有意思的措施。他们在与其核心的wmS完全相同的平台与数据模型基础上释放了一些云产品。公司一开始提供功能较强却有限制的云产品,但随着时间推移,公司能够简单地添加他们需要的其他功能模块,自始至终地不断形成完善的wmS。这项措施使得无数据迁移问题的解决或费用的降低成为可能。
出现在小型设施的部署方面的另一个问题是公司最初及以后能够获得的信息技术支持的水平。如果信息支撑很有限,公司将鼓励简单易懂且好安装的系统,因为管理人员大部分都是独立操作。
云计算下的绩效和响应
时间将会怎样?
先进wmS的目标设施间具有什么类型的连通性?贫乏的,极好的还是介于两者之间的某个程度?一个没有真正自动化物料搬运和少量无线射频或音频设备的设施单元很可能不存在云wmS解决方案中的响应时间问题。那些拥有大量先进系统的设施单元需要更加注意。这应该是很明显的,然而很多公司目前已经将wmS物理性地安置在远离配送中心的公司数据中心来使用这个系统。另外,如此高的响应速度是因为有专门为特定的配送中心提供连接云wmS的t1线路。这样的高速运行的花费对比10年前来说是非常昂贵的。在那样的情境下,在云计算状态下的响应速度很可能快于处在企业防火墙某位置的一个系统。
当然,一些云计算供应商也在配送中心里安装些中间件来响应本地一些次秒级的需求。
你需要定制化服务吗?
尽管偶尔是否定的,随着时间推移,大部分的wmS解决方案进入复杂的配送中心仍然需要一定层次的定制化服务,即使这样,定制化服务的水平远低于十年之前。
在“多客户共享”的虚拟主机模式下运作的云wmS解决方案并不支持定制。这种虚拟主机模式由一些在单个服务器或服务器群上运行的软件版本的客户负责。“盒子以外的”并附加上应随着时间而增强的功能是否能够充分满足你的需求?这必须经过彻底的评估。
什么是服务水平保证?
当一个wmS价格下跌,那通常意味着产品,因此也是收益,但不一定能达不到标准。这种现象往往使Ceo和CFo并不高兴。而且不像传统部署的wmS,公司自身能够采取一点措施来支持和运行云wmS。
因此,准备采用云wmS的企业需要审查好供应商提供的服务水平保证,确保供应商真正交付与之前保证的是一致的产品。有些供应商也会为服务水平保证、备份计划等提供不同的服务,当然价格就不尽相同了。
数据资料有多安全?
虽然市场上还没有出现任何主要提供基于云的供应链管理软件的出租供应商,但这会具有一定风险。wmS系统通常包含着大量的数据,这些数据从商业角度来看是十分敏感的,比如客户名称、订单数量,甚至销售价格或更多其他信息。虽然当今时代并没有一个wmS供应商完全免除于出租形式,毋庸置疑,一些供应商将提供比其他产品特点和架构更安全的系统。当有需求时,要寻求专家的帮助来分类解决一些安全相关的问题。
完全拥有的真正
总成本是多少?
双方通常就在这一点宣告胜利。这个问题不可能在没有确认个人交易细节的情况下得到妥善安置。这些细节即指采购价格是多少,许可认证花费多少,维持费用多少,实施费用多少等等。
云安全的解决方案篇6
企业正在进入个人计算的新时代,云将增强个人电脑的作用并成为整合连接设备网络的粘合剂。云也将成为同步点以及我们数字生活的中心。当个人云用于工作中时,在第三方基础设施里储存敏感的企业信息,这就会带来数据泄露的风险、保密信息的丢失和未经授权的访问。企业应该以拥抱消费化的名义无节制地使用个人云服务,还是应该冒着“守旧派”的压力而阻碍其使用?
越来越多的员工在路上或在工作中远程访问他们的家用电脑或外部硬盘驱动器,这实际上是一个个人云的私有云变种,服务包括远程桌面、文件共享、在家里远程访问网络接入存储(naS),甚至通过Slingbox轻松访问新闻频道。
将这些加起来,不精通技术的用户也能轻松拥有10个重叠的云服务作为其个人云的一部分。乘以用户的数量和他们的多样化设备,不难想象,与企业数据/服务相邻着几十个甚至更多潜在的云服务。企业需要了解这些服务的影响和意义,最急迫的情况是it的响应和机制已经被BYoD所打破,一直以来企业it人员为员工的设备提供配置和交付的任务,而现在员工可以在属于自己的设备上对数据和应用程序进行处理。企业不得不对现有的it管理和监控机制重新作出调整,同时要制定出新的it策略,让企业it重新回到平衡的轨道上。个人云正在走近我们,企业如果不能在“新标准”建立以前就作出响应,则it部门对局势的控制就会变得困难。
消费化赢家
这些服务的使用在那些善用解决方案以提高其生产力的精通技术的员工中普遍存在。虽然用户可能宣称显著提高生产力,对于企业来说,仍然存在一些需要管理的真正风险。
阻止使用这些服务的规定和技术措施有可能导致明显的员工挫折感。然而,从企业安全的角度来说,完全、无限制的访问没有意义。
个人云是在工作场所消费化的一个典型案例,最终用户一直要求允许使用自己的移动设备和自己的电脑(包括macs)。而个人云要求使用自己的应用程序,需求针对软件和服务。如果员工的需求导致了企业接受员工使用自有设备,那么同样的需求也适用于个人云。显然,对企业it部门来说,这将导致管理复杂性的激增。
Gartner认为消费化将永远是赢家。产业正在转型,个人云是一个重要的里程碑,同样也是对正在兴起的新企业态势的再考验。值得注意的是,尚未出现企业和个人数据可以安全共处的消费化企业。正如企业已经与移动设备共处,个人云也应该被允许,但绝不会以牺牲企业安全等问题作为代价。
管理个人云,企业需要首先确保管理设备的多样性。企业将永远无法在碎片化移动平台的移动目标上管理众多个人云服务。
一旦设备的多样性得到控制,客户应识别一些顶级的个人云服务(例如电子邮件、书签、媒体、文件同步和屏幕共享等)并了解员工正在使用的市场上最流行的服务。企业可以仅在平台类设备而非应用类设备上支持这些服务,或者只在有业务需求时同时在两类设备上支持这些服务。
此外,还有众多潜在的云服务需要评估。由于windowsphone和BBX的持续演进,附加设备也呈现出更多的多样性。对it部门来说,跟踪每个新服务的任务都不容易。云计算的兴起和公共云提供商,如亚马逊web服务(awS)的普及,意味着现在任何人都可以在互联网上很容易地拥有一个后端。你需要的只是一张信用卡和短短几分钟的时间。包括新兴市场在内的全球移动数据的繁荣增加了个人云需求的增长。不像几年前在设备的本地数据库里存储数据并与个人电脑同步,数据现在可以很容易地实现在云中存储,因此可以立即在所有其他设备上访问数据。由于前端进入的障碍已经被扫除,因此Gartner预测,个人云服务将呈爆炸性增长。企业将需要跟上新的个人云服务发展的步伐并在管理列表中增加新的类别。这些新的技术也应像以前的技术,如p2p文件共享、im和Skype那样得到重视并快速处理,Gartner预计企业这次的处理速度会非常快速。
确保企业数据孤立
对于每一个个人云服务类别和可管理的多样性设备层,企业应进行风险评估以找出薄弱环节。这些漏洞应优先考虑直接管理个人云最严重的漏洞(以可能性乘以严重性)。
在许多企业环境中,FSS有可能是被带进直接的企业管理里的一个更高优先级的个人云服务,员工可以从多种设备上访问这些服务。而这将引发数据泄漏的问题,因为黑客可以很容易从非企业控制的计算机系统里访问到敏感的企业数据。云服务提供商的后端服务器也在企业it控制之外,因为这些系统安全保障水平是未知的,敏感的企业数据可能会面临更多的风险。
所以第三方个人云软件的使用意味着安全漏洞,员工设备上未经授权的远程访问也会对企业带来危险。
当直接管理FSS时,企业it部门可以部署其解决方案并使用政策和mDm拉黑所有第三方解决方案。首选的解决方案可能是内置企业安全的优秀云供应商,如的egnyte,Filesanywhere、mozy、oxygenCloud、SafeSync或SugarSync。它也可能是包括互补性安全解决方案的一个内部可管理、集成的解决方案。例如,利用Dropbox使用加密解决方案(如BoxCryptor/encfs)以确保文件存储的安全。
另一种解决方案趋势是将消费者主导的个人云服务与企业产品相整合。例如,由于客户的需求,包括airwatch等几个mDm厂商已经宣布,将可选择的FSS添加到其产品之上。许多airwatch的客户可能会使用内置解决方案代替像Dropbox的解决方案。
在BYoD环境中,对于应用层员工自有的移动设备来说,上述两种方法可能会被认为太冒进,企业也可以选择另外一个替代的解决方案。
云安全的解决方案篇7
可见,让传统的数据中心接纳云网络概念并不容易。但是在年初,锐捷刚刚推出云产品的时候,就宣布其产品已实现商用,还成功为阿里巴巴等典型的云计算企业构建了云化的数据中心。以如此之快的速度让云产品落地市场,锐捷到底用了什么方法?带着这个疑问,记者来到了锐捷2011年的渠道大会,以期寻找到答案。
完整的云图
“锐捷们”,是记者对锐捷渠道商的一贯称呼。在锐捷今年的渠道大会上,记者发现锐捷们对云的兴趣开始越来越浓。可见,去年还对云概念懵懵懂懂的渠道商,如今也渐渐嗅出了云计算技术发展可能给他们带来的机遇。
网络市场并不是从今年才开始热衷于云计算的,目前很多厂商都推出了相应的产品或是了相应的网络架构。各种新技术、新产品一股脑儿涌入市场,不免令人一头雾水。但奇怪的是,到场的锐捷们几乎在一天半的时间里,就完全理解了锐捷的云网络。
锐捷对云的描述没有从某个产品或技术开始,而是展示了一幅云网络的“全景图”。这是一套完整的解决方案,包含了数据中心安全运维管理系统、数据中心安全智能系列、数据中心核心交换系列、数据中心接入交换系列四大类别的面向云计算需求的全线数据中心产品。锐捷的云更像是一种一站式的服务,通过锐捷的产品或方案,用户数据中心向云转换过程中所遇到的问题,都能在锐捷找到相应的解决方法。用锐捷副总裁刘弘瑜的话来说,锐捷要做的是一个适合未来商业模型的“无阻塞”的云计算网络,只有全系列的产品才能使客户对云计算策略的部署在数据中心落地时真实可靠。
今年年初,记者在采访云快线的时候了解到,在云计算数据中心运营的过程中,网络带来的复杂性问题越来越严重。他们认为云中的网络将不再仅是数据中心里的基础设施,它的作用应该更像是神经系统。网络应该在提供强大的数据通信能力的同时,也能实现智能扩张及智能管理,以及处理安全问题的能力。从这一点来看,用户对云网络产品的需求将和对传统网络产品的需求大不相同,单一的产品或是只能解决局部问题的方案将逐渐失去价值。可见,一站式的方案将会更贴近未来数据中心用户的实际需求。从另一个角度来看,全面的产品线也更便于渠道完成部署,大幅缩短锐捷云产品进入市场的周期。
应“变”能力
在刘弘瑜看来,云计算的本质就是“按需可扩展”,它要求数据中心的服务器能做到灵活地一变多和多变一,这样的能力目前主要依靠虚拟化技术来实现,但要达到相应的效果,网络产品应“变”的能力才是关键。比如当虚拟化需要由一变多时,网络如何即时反应?虚拟化由多变一,设备性能是否能满足成倍增长的要求?各种虚拟化环境,安全如何保障?业务如何管理?
从网络层面解决这些问题,交换机的应“变”能力至关重要。在锐捷的多款云网产品中,都可以看到这类应“变”技术。如RG-S12000CloudComputing系列采用了VSU虚拟化技术,可将多台高端设备虚拟化为一台逻辑设备,能有效实现虚拟机迁移过程中网络不中断。而其支持802.1Qbg的特性,也能够解决传统虚拟机交互性能低下的问题。对VRF虚拟化的支持,更便于满足数据中心网络一变多的需求,以及多业务安全隔离的需要。
tRiLL协议目前被业界认为是有效简化网络设计,提高网络可扩展性和弹性的基础,也是构建大型虚拟化云计算网络的根基。在锐捷的RG-S12000云计算交换机产品系列中,记者也看到了其对tRiLL协议透明交换技术的全面支持。同时,伴随着数据中心融合网络的趋势,锐捷的RG-S12000系列还为服务器提供了FCoe(FibreChanneloverethernet)接入和以太网接入服务,解决了数据中心在网络过渡过程中整合异构的Lan和San网络的需要。
锐捷一直遵循着一个很有名的战略思想,那就是利基战略:利基一词来源于法语nichi,它所表达的是一种在攀爬的过程中抓住缝隙努力向上的精神。在锐捷,它不仅是做事业的思路,也是做产品的思路:通过无限贴近客户需求,寻求差异化的方案,以求得生存发展的空间。对于云,锐捷所强调的网络应“变”能力独树一帜,但这正是当前数据中心向云计算环境进化的根本需求,或许这也是让锐捷的云能够快速走入商用的原因之一。
把合作伙伴引入云生态链
“云计算时代的来临被称为第三次it浪潮。它将带来工作方式和商业模式的根本性改变,可以说,云计算已越来越成为经济发展与科技发展过程中的一种必然选择,尽管它才刚刚开始。这将是一个以万亿元计的市场。”在刘弘瑜眼中,云是一个巨大的市场,它对锐捷和锐捷的合作伙伴而言都是巨大的机会。但在这样的机会面前,合作将变得比任何时候更加重要。因为大量新的尖端技术的落地与云计算相关整体解决方案的形成、部署、维护,都需要生态链中各环节的密切配合才能将机会变为现实。
除了提品和相应的解决方案外,锐捷还提供了一个被其称为基于“开放共享的云服务”理念的it运维管理解决方案。据刘弘瑜介绍,it运维管理是一个快速增长的市场,这几年的平均市场容量增长达30%,已经是一个50亿元规模的市场。在云安全管理领域,锐捷从2007年开始研究、2009年正式推出产品和服务,至今已成为这个领域的主要方案提供商,而锐捷拓展这个市场采用的就是基于“开放共享的云服务”的理念。
云安全的解决方案篇8
云时代的安全新挑战
在这个信息大爆炸的时代,企业内部的信息量急剧增长。两年的时间,足以让一个企业所管理的信息量增加数倍。同时,企业的it架构也越来越复杂。在企业的网络环境中,各类移动工具、移动设备被越来越多的员工使用,虚拟化和云服务也在不断扩展。
虚拟化和云计算的根本目标是实现安全性,即在可控、可管理的系统中,通过可信的基础架构,将恰当的信息提供给恰当的人。然而,跟之前的it变革相比,如今信息、身份和基础架构这三个信息安全的核心变量,已经发生了巨大的变化。如果不恰当地应对,可能导致可控性和可见性方面的挑战。
在云计算时代,赛门铁克一方面在帮助企业搭建他们自己的云系统,一方面也在帮助企业保护云系统的安全。随着云系统和虚拟化技术的不断应用,企业网络对安全管理的需求也在加强,尤其是信息的不断迁移,使得安全问题愈加重要。
在日本东京举办的“赛门铁克企业安全媒体见面会”上,赛门铁克企业安全集团高级副总裁FrancisdeSouza告诉记者,对于赛门铁克来说,安全的核心在于三点:安全产品需要能够应对当今不断增长的安全威胁,安全产品需要具有卓越的性能,持续为用户提供更多具有价值的安全产品。
记者了解到,现在亚马逊、Google、eBuy等大型国际公司都在使用赛门铁克的安全产品保护其云系统。FrancisdeSouza说:“安全永远没有绝对的安全,在云环境里需要加强身份管理、信息管理,保证信息在移动环境、虚拟环境、云环境里的安全性。赛门铁克期待在今后的几年里,云产品能够占到总收入的15%。”
赛门铁克全球安全响应中心运营部高级总监KevinHogan表示:“赛门铁克正在越来越多地关注云计算安全问题,赛门铁克全球安全响应中心除了继续为传统用户提供安全响应服务外,同时也在为云系统里的客户提供安全响应。现在,赛门铁克全球安全响应中心在通过基于信誉分析的方法,跟踪检测某些严重恶性软件攻击可能带来的影响,并迅速反映给客户相关的数据与信息,提前进行安全防范布置。在中国成都的安全响应中心则会将分析数据推送到云端系统。”
移动安全威胁新变化
早在2000年的时候,赛门铁克就已经发现了手机存在安全威胁的问题。2004年,针对使用S60平台手机的手机病毒Cabir被发现,Cabir主要通过手机的蓝牙功能在手机之间进行传播。随后,越来越多针对这类手机的僵尸软件开始出现,其破坏性体现在改变手机界面壁纸,破坏手机各类功能,使得用户无法正常操作手机等方面。但这类病毒并没有掀起过大风浪,所以手机安全领域看似依旧平静。
现在,移动终端品牌众多,移动设备平台也出现了多样化的发展趋势,而每个移动设备平台的操作系统都不尽相同,很难进行整体管理。企业的机密数据容易被存储在移动终端里,企业难以针对繁多的移动终端进行统一安全管理,阻止移动终端接入企业平台,并防止企业数据驻留在不安全的移动终端中。所以,企业比过去更急需统一安全架构,通过单一接口对繁多的移动终端进行管理。而且,当新的移动终端出现时,企业如何在成本可控的前提下,将新移动终端纳入现有安全管理体系也是需要考虑的问题。
赛门铁克亚太及日本地区端点安全销售总监UnmeshDeshmukh表示,移动安全并不仅仅停留在企业内部,因为一个完整的移动生态系统是由三部分组成的,分别是:移动设备、提供移动服务的运营商以及数据中心。由于这三者的安全特征各有不同,所以需要有分别针对这三方面问题的移动安全解决方案。
比如,对于移动设备,需要密码控制,并对丢失设备上的数据进行删除,加密移动设备及其上所接收的邮件等。而对运营商而言,他们需要保证移动网络的顺畅,需要保证各类移动应用的安全性。此外,移动运营商还需要防范通过手机进行的各类欺诈。对于企业而言,则需要对繁多的移动终端进行管理。对数据中心来说,最重要的则是身份认证问题。
繁多的安全解决方案会把安全问题变得更复杂,统一简洁的安全解决方案才是好的办法。赛门铁克分别针对运营商、移动设备、企业和数据中心提供了不同的移动终端安全解决方案,而且各个解决方案之间可以互为关联,形成整体上的统一安全管理。此外,赛门铁克还会根据移动安全的变化加入新的防范方法,比如双元素认证、加密、集成身份验证系统等。
虚拟化环境的端点安全
2010年,攻击者发动了超过2.86亿个不同的恶意软件攻击,平均每天每秒钟都有超过九种新型威胁产生。恶意软件的攻击范围及复杂性均在增加,主要因为大量易于利用的攻击工具包的出现。这些工具包促使黑客持续生成新变异的恶意软件,每个变异体针对不同目标进行攻击。这样一来,传统的发现及识别方式便会束手无策。《赛门铁克攻击工具包及恶意网站报告》显示,至少有61%的威胁活动来自于利用工具包的攻击。
云安全的解决方案篇9
关键词:云桌面云计算虚拟化民航离港系统
中图分类号:tp316文献标识码:a文章编号:1674-098X(2016)09(a)-0006-02
中国民航市场是全球最具有活力的市场,年均增长率在10%以上,2015年,全民航运输机场完成旅客吞吐量为9.15亿人次,预计十三五期末旅客吞吐量为14亿人次。
当前,离港系统是机场的核心应用系统。随着旅客量的上升,航站楼面积的大幅增加,离港系统的投入和维护成本也急速上升,而云桌面技术的发展和成熟,能为此提供一个绿色节约的解决方案,该文对这个方案将详细阐述。
1机场离港系统部署面临的挑战
目前中大型机场航站楼规模都比较大,核心的离港系统均采用原有传统pC客户端的部署方式,虽然此类pC提供了价格、性能与功能的高性能组合,但是,在不少使用案例中,传统pC客户端并不是理想的解决方案,缺点包括如下几方面。
难以管理:面对广泛分布的pC硬件,用户日益要求能在任何地方访问其桌面环境,因此集中式pC管理极难实现。此外,众所周知,由于pC硬件种类繁多,用户修改桌面环境的需求各有不同,因此pC桌面标准化也是一个难题。
维护成本较高:pC管理工作包括部署软件、更新和修补程序等,由于这些工作需要对多种pC配置的部署进行测试和验证,因而会耗费大量的人力。同时,由于标准化程度不高,支持人员经常需要亲临现场解决问题,这就进一步增加了支持成本。
难以保护数据的安全:确保pC上的数据能成功备份并能在pC出现故障或文件丢失时恢复,是一个巨大的挑战。即使数据能成功备份,pC失窃的风险也威胁着重要数据的安全。
2机场云桌面一体化解决方案
使用云桌面技术来构建基于服务器的桌面解决方案,不仅可以良好地完成值机、登机等离港业务工作,还能解决pC桌面面临的各种难题,同时还可以优化可用性、可管理性、总体拥有成本和灵活性。借助云桌面虚拟化,在使用云桌面软件虚拟化的服务器上运行的虚拟机中,可以构建完整的桌面环境-操作系统、应用程序和配置。管理员可使用集中管理环境中的所有虚拟机。最终用户可使用虚拟桌面客户端软件或weB,从现有pC访问其桌面环境。
云桌面将操作系统、应用程序和用户数据封装到相互隔离的层次,以改善桌面管理,并为用户提供各自桌面的个性化视图。
云桌面技术在机场核心业务中应用,能够帮助客户使用云桌面虚拟化的桌面解决方案,在完成值机功能和登机功能的同时,还能实现以下几个目标。
提高资源利用率:由于一台服务器可以运行多个桌面环境,因此客户能够有效集中硬件资源。同时,该解决方案十分灵活,您可以轻松地重新使用计算资源,并以动态形式将其分配给桌面环境。
改善管理和控制:通过集中管理套件,可以集中管理数据中心的所有桌面,即时为新用户、部门或办公室调配桌面。从中央映像创建即时克隆并创建动态桌面池,以便快速调配和更新。
提高数据保护能力:管理员只需遵循目前在数据中心使用的备份过程,即可确保可靠的桌面备份。虚拟机的硬件独立性极大地简化了桌面恢复工作。另外,由于所有数据均驻留在数据中心,因此保护数据安全的工作也得到了简化。
可靠的业务连续性和灾难恢复:云桌面能够将桌面备份和恢复作为数据中心内的业务流程实现自动化。
降低碳排放量和能源成本:瘦客户端设备的功耗通常只相当于传统pC的1/10,通过将云桌面与瘦客户端设备结合使用,可以降低能源成本,并将碳排放量降低80%之多。
3某中型机场设计案例
3.1需求概述
基于行业it建设标准的需求评估,以当前华南地区某中型机场航站楼离港业务需求的云桌面架构,拟建设实现150个用户云桌面为例。
该机场当前有登机口35个,值机柜台115个。运维人员每天需要对这150个离港业务点进行巡检。从运维人员所在的值班机房出发,从第一个登机口巡检到达最远的登机口,约有5km,轮训一圈也需要1h左右;从第一个值机柜台巡检到达最远的值机柜台,约有8km,轮训一圈大概1.5h。由此可见,日常巡检花费在路上的时间都已经不少。
3.2方案概述
在前文所述的背景下,通过对应用现状及需求的分析,本着降低成本、减轻维护工作的原则,进行方案设计;结合云终端技术,提供“云桌面+云终端+终端管理系统”综合性的云桌面一体化解决方案。
3.3总体物理架构
根据机场离港业务终端的需求,终端虚拟化系统采用集中部署的方式。云终端服务器部署在核心业务机房内,云桌面可以支持150个客户端甚至更多。
方案采用了云桌面虚拟桌面解决方案和应用功能。
整个平台在机场离港作业区内采用服务器集群提供虚拟桌面终端,为多个同时在线访问终端的用户提供高可用。
在内网,云桌面服务器可以支持150甚至更多个客户端虚拟化桌面,保证这些用户能够完整的访问并使用与离港业务相关的值机、登机应用。
内网部署服务器用于客户端及用户管理。
后台采用San存储,为整合系统提供统一的存储空间。
3.4方案核心功能模块简介
该方案通过将传统桌面pC虚拟化后托管在数据中心并在桌面部署节能环保、小巧的云终端来简化桌面设备管理,从而实现离港各项业务的开展,方案主要包含以下部分:
3.4.1云桌面平台
云桌面平台是一体化企业级虚拟化平台,它融合了企业级的服务器和桌面虚拟化的功能和优势,用户仅需要使用价格低廉的云终端或精简pC就可以连接到数据中心中的windows或Linux桌面,甚至是服务器桌面,并获得类似本地pC的使用体验。
3.4.2云离港管理系统
云离港管理系统,它能全面实现对各种平台下云终端设备、服务器设备的集中自动化管理,同时还可以监控当前离港业务运行的基础信息。系统可实现资源池按需分配、镜像连接、系统配置、远程管理等功能。云离港管理系统是针对机场离港相关业务所设计的一套云终端设备管理的系统解决方案,它为it管理人员提供易用的组织管理、终端控制和终端的oS镜像及运行状态监控等功能。
4结语
通过对比分析,可以看到云桌面技术虽已广泛应用,但在较为专业的领域如民航核心领域、机场业务领域中还鲜有应用,还需要根据实际需求,按需定制。该方案就是结合实际,为民航核心系统的部署提供了一种全新的、绿色环保的、可行的解决方案。
参考文献
云安全的解决方案篇10
【关键词】云计算;虚拟化;VLan;openflow;安全隔离
1引言
随着现在云计算市场竞争的激烈程度加剧以及用户对云计算环境安全要求的提高,越来越多的集成商和云服务提供商开始注重基于其云计算环境的集成方案提供安全应用的接入接口,并以此作为其竞标云计算集成方案的亮点之一。在云计算环境中实现网络安全所要解决的一个重要技术问题就是对网络安全域的逻辑划分以及基于划分的网络安全域进行不同域间的隔离。用户所使用不同的云平台、采用不同集成商的方案、选用不同厂家的网络设备,都将会使得云环境中的安全域及虚拟机间的隔离方案有所不同。本文将针对在不同层面实现云计算安全隔离的方案进行分析,对比各类技术方案的优劣以及其对不同云计算环境安全需求的适应性,为云计算使用者对云安全解决方案的选择提供参考。
2控制网络流的途径
这里我们所说的隔离,并不是让属于不同安全域间的虚拟机完全无法相互访问和通信,而是让被划分在不同的安全域边界内的虚拟机间的通信必须经过相应的网络安全设备的检测和过滤,在网络安全设备确认数据包安全后,跨安全域间的通信才能够进行。这就对网络安全提出了一个新的问题,即如何控制网络流使之经过实现部署在云计算环境中的虚拟或物理的安全设备。这个问题我们可以从三个更具体的方面来分析。
第一,用户的安全需求是什么。传统网络环境下,用户通常关心的是出入一个物理网络边界的流量的网络安全问题,这个边界是物理存在的,比如连接接入交换机和汇聚交换机的一根网线。当外网的机器需要访问内网机器时,是无法绕过这个边界直接访问,因此在传统物理环境下,用户的需求通常是对这个物理存在的边界上流量的安全监控。在云计算环境中,整个网络和其上所有虚拟机都存在于一个大二层的网络环境中,为了实现逻辑上的隔离,通常使用划分VLan(或VXLan)的方式来隔离具有不同安全需求的虚拟机,这时就出现了对虚拟机安全隔离的三种不同的安全需求:其一是只监控外网到云计算环境内部的通信;其二是只监控不同VLan间的虚拟机间的通信(包含第一种需求);其三是需要监控任意两台虚拟机间的通信(包含前两种需求)。
第二,网络安全域的边界如何划分。为了从网络层面保证虚拟机间的有效隔离,网络安全域的划分需要消除与VLan间的多对一关系,即不能存在多个不同的网络安全域划分在同一个VLan下的情况,这样在这些不同网络安全域间的虚拟机间的通信将可以通过虚拟交换机直接交换机而不被转发到物理网络上,使得安全监控产品的部署受到很大的局限性。
第三,安全设备的部署方式是什么。从安全设备的部署方式上,我们可以将其分为两类:一类是透明部署在二层网络环境中;另一类是以网关形式部署在三层网络环境中。通常透明部署的方式更多的被应用在实际的生产环境中,因为透明部署将不需要修改用户已有的业务网络的配置。而将安全设以网关方式部署在三层网络环境中的好处是,可以利用路由规则使得需要被监控的网络流量经过安全设备。
综合考虑以上三点,我们可以得出一个较为合理且应用较广的云计算环境中的安全需求定义和规划模型,即以VLan划分需要隔离的业务网络,安全域的划分需要消除安全域与VLan间的多对一关系,通过监控VLan或安全域边界上的网络流量实现安全监控和隔离,安全设备通常工作在二层网络模式下,以透明方式进行部署。那么回到最初的问题,即在这样的安全需求和规划模型下,如何控制网络流,使之能够在出入VLan或安全域边界时经过部署在云环境中的安全设备。
3网络流控制方法
云计算是一个庞大而复杂的系统,这就使得我们可以在多个位置上寻找到合适的网络流控制方法来解决安全隔离问题。我们需要先了解云计算的技术架构,才能够更好地选择适合的安全隔离方案。在云计算环境中,它的软件系统的核心显然是虚拟化平台,而硬件环境的支持主要是实现虚拟化的硬件服务器和支撑整个云计算环境的网络。安全作为云计算环境中的另外一个重要的组成部件,想要顺利的集成进云计算这个系统中,无法避免将面临三种技术选择:与虚拟化平台整合、与网络环境整合或完全解耦合的独立存在。从云计算和虚拟化的整体技术架构进行剖析,可以在五个不同的层面通过对网络流的控制实现虚拟机间的安全隔离。如图1所示,这五个不同的层面分别是虚拟机网络驱动层、虚拟交换机层、虚拟机监控器网络驱动层、二层物理网络层、三层物理网络层。其中虚拟机网络驱动层和虚拟机监控器网络驱动层需要系统提供api级的支持,其他三层则需要交换机和网络协议级的支持实现。
4安全隔离方案
我们逐层分析在不同层面实现安全隔离时的实现原理和部署方式,以及此类安全隔离方案的优缺点。
方案一:在虚拟机网卡驱动层实现安全隔离的方案,如图2所示,利用安装在虚拟机内的网络驱动层程序截获进出该虚拟机的网络流,实现将需要被监控的流量牵引至部署在云环境内的虚拟或物理安全设备上,由安全设备完成检测和过滤后,送回程序,再送至虚拟机的业务程序中。该方案的优势是能够实现任意虚拟机间的通信隔离和监控,并且完全与虚拟化环境解耦合,不依赖于任何虚拟化平台,可跨平台部署,比较适合安全公司在用户已经完成云计算环境的建设后,追加相应的安全功能。但该方案也存在明显的缺陷,即需要在每台虚拟机上安装,管理复杂,且有可能影响业务虚拟机的稳定性,并且对整个虚拟化环境的计算和网络资源消耗也较高。
方案二:在虚拟交换机层实现安全隔离的方案,如图3所示,虚拟交换机通常是工作在二层模式下,无法进行对其内部交换的流量的任意控制和牵引,但若虚拟交换机开启了openflow协议的支持,则可以实现基于openflow流表对其内部流量的控制,通常需要将被监控的流量都牵引至部署在同一台物理机上的安全虚拟机中进行检测和过滤。
该方案的优势仍然是支持任意两台虚拟机间的安全隔离,相对于方案一,在虚拟交换机层面实现的网络流控制功能具有更好的性能和健壮性,且Vmware平台的5.5以上基于nSX的虚拟网络实现和openvSwitch都直接支持openflow模式。该方案需要安全管理平台或安全设备的管理中心与虚拟交换机的控制中心相耦合,但安全设备自身与虚拟化平台并没有耦合性,因此能够支持安全设备直接虚拟化后的部署。该方案所存在的问题是需要在虚拟交换机上打开openflow协议支持,这将使得网络管理和配置和传统模式大相径庭,目前还不被所有用户接受,并且在安全虚拟机中执行安全隔离任务也会消耗较高的虚拟化系统资源。该方案属于跟虚拟网络层耦合的方案,因为在虚拟化环境中,虚拟交换机通常为可替换的组件,但网络流量的牵引需要通过调用虚拟交换机的配置接口修改openflow规则来实现,因此虚拟交换机能否提供此类接口将影响方案实施的可行性。
方案三:在虚拟机监控器网络驱动层实现安全隔离的方案,图4给出了Vmware平台上的VmSafenetapi的实现原理图,进入虚拟机监控器的网络流在进入虚拟交换机前,将被虚拟机监控器所提供的VmSafenetapi导入到安全虚拟机中,安全虚拟机使用特殊的驱动来获取由Vmm快通道驱动模块提供的数据包,而安全功能的实现则需要基于安全接口封装层来实现,该层封装了通过特殊驱动层获取数据包的操作,相当于对安全业务实现层提供了相应的库函数。
由于底层驱动级别的特殊api的支持,因此该方案最大的优势是可提供零拷贝的数据包截获,从而获得更高的监控性能,并且能够和虚拟化平台较好的整合而不会影响虚拟化平台的稳定性。但同时由于对虚拟机监控器底层api的依赖,使得该方案与虚拟化平台紧密耦合,因此通常不具有跨平台性,并且通常需要全新的开发相应的支持虚拟机监控器api的安全功能,而无法直接使用从硬件安全设备移植代码。在安全业务实现层面,该方案必须把所有安全功能都集中在一台虚拟机内实现,使得该虚拟机比较容易成为安全产品性能的瓶颈。
方案四:在二层接入物理交换机层实现安全隔离方案,在基于maC地址学习的物理交换机上是无法实现安全隔离功能的,因此必须让二层接入物理交换机层支持openflow协议,通过关闭maC地址学习功能,开启openflow来实现在物理接入层上对需要隔离的流量的牵引。
这里存在两种不同的实现思路,其一是使用全SDn网络,即虚拟交换机和二层接入物理交换机都要开启openflow协议支持,这样完全控制任意两台虚拟机间的通信路径,但是这就使得安全隔离方案在网络流的转发路径控制时要同时跟虚拟化平台中的虚拟交换机和物理交换机的管理中心进行交互和整合。由于在实际项目中,不能保证虚拟化平台的提供商和网络提供商是同一厂商,且不能保证他们在网络建设方案上就安全隔离方案的选择和使用达成一致,甚至会出现需要虚拟化平台提供商、网络提供商和安全提供商三方共同构建安全解决方案的情况,因此基于虚拟网络和物理网络全SDn实现安全隔离的方式较难实施。
第二种思路是在虚拟网络层通过VLan对虚拟机进行隔离,在物理接入交换机上开启openflow协议。相对于全SDn网络的模式,只在物理网络开启openflow在管理上相对简单和高效,但该方案无法对在同一台物理机上属于同一VLan内的不同虚拟机进行有效的隔离,并且在二层环境下,缺乏有效的流量汇聚能力,若完全通过接入交换机把属于同一安全域边界的流量向一个物理端口进行汇聚,会因为虚拟机的物理位置的分布而造成接入交换机网络带宽的极大占用。
方案五:在三层汇聚物理交换机层实现安全隔离方案,由于虚拟交换机和接入交换机都工作在二层模式下,因此所有跨VLan的网络流量都将上行至三层汇聚物理交换机进行交换,即三层汇聚交换机是整个网络中所有跨VLan流量的汇聚点,而这种特性与虚拟化平台无关,因此当用户的安全需求满足前文所给出的安全需求定义和规划模型时,都可以应用该方案实现对安全域边界流量的网络安全隔离。该方案的最大优势是充分解耦合了安全隔离方案的实施与虚拟化环境的关系,仅需要在三层汇聚层与网络环境相整合,能够充分利用硬件安全设备的性能和功能优势,完全不占用虚拟化环境的资源,稳定性和性能都超过前面的各种方案。在三层网络环境中,静态路由或openflow都是可以控制网络流量通过串行安全设备的方式,为了满足之前给出的安全设备工作在二层透明模式的需求,利用openflow实现流量牵引是更好的解决方案。
图5给出了在启明星辰泰合云安全管理平台管理下的云安全隔离方案,在方案中,该方案要求在物理网络环境中开启openflow协议支持,云安全管理平台基于用户在其上所定义的安全域划分规则,通过网络环境中SDn控制器提供的api修改服务链(ServiceChain),使得跨安全域边界的网络流被牵引至安全资源池,如图中所示,VLan100和VLan200被划分在了安全域1,VLan300在安全域2。那么当VLan100和VLan200内的任意虚拟机间进行通信时,我们认为属于同一安全域内的通信,可不隔离,而当VLan100或VLan200内的虚拟机和VLan300内的虚拟机通信时,这部分流量将被通过安全管理平台下发给SDn控制器的服务链修改策略进行修改,使得这部分流量被牵引到串行安全资源池中,并在安全资源池中基于流量的业务特性进行进一步的细分,使得相应的业务流量通过对应的安全设备(如http流量通过waF设备)。该方案存在两个方面的局限,其一是需要物理网络环境支持openflow,其二是无法隔离粒度在虚拟机级别的通信。
5结束语
综上所述,在云计算环境中,网络安全隔离方案的实施过程中,需要考虑到包括虚拟化、网络和安全等不同供应商合作问题,虚拟化平台api支持问题,用户对网络配置方式的接受问题(如是否使用SDn模式),网络平台网络流管控接口支持问题,安全隔离控制粒度问题(如虚拟机级别还是网络安全域边界级别的控制),安全隔离方案性能、功能和稳定性问题等。
特别是由于云环境建设和安全建设的不同期,往往造成安全厂商后介入,而只能采用与云平台和网络环境都完全解耦的解决方案,而对于云平台和网络环境的建设方,往往或不承担安全建设的任务或希望整合打包更多自有安全产品而并未开放足够的可用安全管理调用的管理控制接口,这些都使得云安全特别是云安全隔离解决方案的实施困难重重。我们也期待更多的云服务商和网络服务商更加重视对云计算环境安全的支持,为安全提供更多标准的管控接口,使得安全解决方案能够很好的被整合进整个云环境中。
参考文献
[1]鲁松.计算机虚拟化技术及应用[m].北京:机械工业出版社,2008.3.
[2]胡嘉玺.虚拟智慧VmwareVsphere运维实录[m].北京:清华大学出版社,2011.2.
[3]王春海.虚拟化技术与动手实验[m].机械工业出版社,2008.3.
[4]张东.大话存储-网络存储系统原理精解与最佳实践[m].清华大学出版社,2008.11.
[5]李明.网络虚拟化技术在云计算数据中心的应用[J].2012.2.
[6]孟静.云计算[J].中国信息化,2008.
[7]林立宇,陈云海,张敏.云计算技术及运营可行性分析[J].通信热点,2008.
[8]姜国华,李晓林,季英珍.基于Soa的框架模型研究[J].电脑与信息技术,2007.
[9]宋坤,周智海.面向服务的软件体系结构[J].海洋技术,2007.
[10]曹会敏,林碧英.Soa服务设计原则的研究[J].中国电力教育,2007.
[11]斯桃枝.局域网技术与局域网组建[m].北京:人民邮电出版社,2009-4.
[12][美]RichardDeal.CCna学习指南――CiscoCertifiednetworkassociate(exam640-802)(中文版).北京:人民邮电出版社,2009-4.
[13]杨威,贾祥福,杨陟卓.局域网组建、管理与维护[m].北京:人民邮电出版社,2009-2.
[14]张晖,杨云.计算机网络实训教程[m].北京:人民邮电出版社,2008-11.
[15]张基温.计算机网络技术(第2版)[m].北京:高等教育出版社,2008-9.
[16]吴献文.计算机网络安全基础与技能训练[m].西安电子科技大学出版社,2008.
[17]期刊论文.云计算环境下openFlow网络研究与实验探索[J].实验室研究与探索,2013,32(12).
[18]学位论文.SDn在电力通信网中的适应性研究[D].2014.
[19]期刊论文.openFlow网络中虚拟网络分片的动态迁移[J].网络安全技术与应用,2013(9).
[20]期刊论文.一种支持细粒度并行的SDn虚拟化编程框架[J].软件学报,2014(10).
[21]谭钦红.无线局域网安全与认证的研究和公用wLan的应用[D].重庆大学,2014年.
[22]汤鹏杰.wLan拒绝服务供给分析与研究[J].计算机安全,2008.08.
[23]崔鑫,吕昌泰著.计算机网络实验指导[m].清华大学出版社,2007.
[24]谢希仁著.计算机网络[m].北京:电子工业出版社,2008.
[25]徐昭铭.基于高度整合型设备的网络安全方案[a].广东省通信学会2006年度学术论文集[C],2007年.
[26]thomas,Jenny.market-orientedCloudComputing:Vision,Hype,andRealityforDeliveringitServicesasComputingUtilities[C].10thieeeinternationalConferenceonperformanceComputingandCommunications,2008,9:25~27.
[27]Lijunmei,Chan,w.K.,tse,t.H.ataleofclouds:paradigmcomparisonsandsomethoughtsonresearchissues[C].2008ieeeasia-pacificServicesComputingConference(apSCC2008),2008.
[28]Youseff,L.,Butrico,m.,DaSilva,D.towardaUnifiedontologyofCloudComputing[c].2008GridComputingenvironmentsworkshop,2008:10.