原创《面向医疗大数据处理的私有云安全架构》:该文是关于云安全论文范文,为你的论文写作提供相关论文资料参考。
摘 要:云计算将大量的计算、存储资源进行整合,将资源按需分配,也代表着信息技术领域向规模化、集中化和专业化道路发展的趋势.伴随着医疗行业数据呈现爆炸式增长,传统的医疗信息化方式已经不能满足医疗卫生服务的需求,云计算+大数据的诊疗方式成为近几年的研究热点,借助云计算资源无限拓展的特性,医院可以以更低的成本享受到更高的医疗IT服务.但是在提高资源使用率和节省成本的同时,在患者信息、个人资产安全与患者隐私保护中存在着极大的挑战,安全成为云计算+大数据中最为重要和迫切需要解决的问题.为了解决云环境在使用过程中的机密、完整和可追溯性,提出基于openstack私有云安全框架的最佳实践,从日志审计、入侵检测、应用防护、身份认证以及数据安全等方面整合安全架构,采用分布式部署来实现云计算环境对安全的需求.
关键词:医疗大数据;openstack;云计算;云安全架构;分布式
1云计算安全遇到的挑战
1.1与传统网络的差异化比较
在云计算环境中,一般采用分布式以及软件定义网络(SDN)技术来构架数据中心,而在云安全实现的过程中采用软件定义安全的方式实现云安全架构.而在传统网络中,安全的检测、响应和防护依然采用单机硬件安全设备以及人工安全运维,无法实现统一安全管理,更无法实现自动灵活的安全系统部署,无法解决云计算平台中安全框架实现的痛点.
为解决云计算安全平台的每个方面的安全问题,电信行业提出了计算机安全框架.从物理层、网络层、主机层、应用层以及数据安全几个层面分别对云计算平台的安全做了详细的阐述:数据安全:数据隔离、数据备份恢复、镜像文件保护、机密数据保护、参与数据处理:应用安全:会话管理、应用身份识别、应用安全漏洞和入侵防护;主机安全:OS安全(数据隔离、主机访问控制、主机安全漏洞、主机安全审计),VMM安全(vMM安全漏洞、VMM访问控制、VMM身份鉴别);网络安全:虚拟安全域(虚拟防火墙、虚拟安全划分)、(网格结构、网络访问控制、网络入侵保护、网络安全审计);物理安全:物理访问控制、机房位置、防火、雷电、静电等.
为满足云计算对安全的需求,需要提出切实可行的安全实施和部署方案,以解决云安全中最难解决的检测、审计、应用防护以及AAA认证.
2云计算安全的问题
通常概念中安全产品和网络产品的部署模式一样,通过接入网络拓扑的核心交换机或者透明串联在网络的出口位置来实现对流量的统一管理,但在云计算平台中,无法将安全设备直接并行或者穿行部署在医疗机构VPC中.除此以外在云计算环境中实现安全框架时需要解决如下问题:1)可伸缩性;2)海量数据(日志、流量);3)安全审计和检测;4)统一身份认证;5)数据安全.
3基于openstack的医疗云计算安全架構
3.1分布式日志审计
分布式日志审计系统主要解决海量医疗大数据并发造成的性能瓶颈,能弹性扩展医疗机构对日志审计系统的需求,并完成统一的日志分析和处理.日志内容包括系统日志和web应用访问日志等,准确定位分类日志中的攻击行为.为安全和运维工作人员提供加固应用和事后追溯的有效依据.在分析过程中产生的大量日志,医疗云计算提供安全存储服务器,已保证数据不会被未授权用户访问,造成用户隐私数据的泄露.
在医疗云计算中日志审计一直都是一个巨大的挑战,在面对海量日志的情况下,实现日志分类、分离和存储的过程中会面临非常对的问题.在实现分布式日志审计系统分为采集层、汇聚层、计算层、数据存储层以及数据可视化.整体设计如图1所示.
对于日志类型繁杂和多应用多医疗机构的环境中,采用如下步骤实现日志的采集和分类,采用syslog实现对海量日志的分布式收集,并将日志传输至flume-ng层完成日志的统一分发.在flume采集系统完成数据采集之后将日志汇聚至kafka层对日志流实现队列化,实现日志数据的平稳传输,并通过分布式实时计算集群storm来对日志做处理,定位存在sql注入、跨站脚本(SSS)、目录遍历、暴力登陆等攻击行为的日志,并对结果进行统计、存储、预警以及可视化.
而syslog的应用配置和部署则通过RESTful API交互,实现对配置文件的下载,并开启服务.为保证数据的完整性和机密性使用SSL/TLS协议进行加密,医疗机构agent通过VR(虚拟路由器)转发至日志审计系统,通过访问控制实现可信路径.
3.2分布式入侵检测
在网络安全的概念中,入侵检测往往包括网络层入侵检测(NIDS)、主机层入侵检测(HIDS)以及物理层入侵检测等,本文只讨论NIDS和HIDS在云计算环境中的分布式部署.传统设备中部署IDS需要在交换机中实现流量的镜像,如果是多个用户或者多个需要分隔的子网则需要多条策略实现不多端口的流量镜像.而在医疗云中采用软件定义安全,将控制平面上移,自动下发安全策略,借助SDN技术可以方便地实现流量调度,通过SDN控制器向Open vSwitch等网络设备下发FLOW_MOD指令并下发流表,对匹配策略的流量进行控制,实现将流量镜像至vIDS,如图2所示.
私有云中HIDS的实现则需要通过部署agent实现对云主机全方位细粒度的监控,对主机用户的可疑行为、系统文件完整性及基线安全等进行识别、记录和预警.而agent的部署通过编译镜像文件将agent绑定在镜像中,在申请资源的开始部署agent在客户端中,如图3所示.
3.3分布式应用防火墙
采用反向*的方式实现分布式应用防火墙的部署,有两种方式实现反向*vWAF的部署:
第一种:通过SDN控制器下发FLOW_MOD指令,在虚拟网关上将Web服务器的HTFP流量定向至交换机端口,部署vWAF的入口为此端口.由于正常的HTYP流量目的IP为Web应用服务器地址,而此时反向*实现的vWAF不会处理该流量.而需要通过重定向目的地址,将流量重新定向至vWAF,可采用iptables实现流量转发,如图4所示.
云安全论文参考资料:
结论:面向医疗大数据处理的私有云安全架构为关于云安全方面的论文题目、论文提纲、云安全论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文。
