技(jì )术资料

随着信息化程度不断加深，云计算、大数据、人工(gōng)智能(néng)兴起并快速发展，IT信息系统复杂度与开放度也与日俱增，进一步使得集群的管理(lǐ)愈发复杂，对其安(ān)全性要求也越来越高。

“安(ān)全保障”作(zuò)為(wèi)前沿技(jì )术发展的基础，受到前所未有(yǒu)的重视，如何保障集群安(ān)全成了奥工(gōng)小(xiǎo)分(fēn)队集群管理(lǐ)工(gōng)作(zuò)的重中(zhōng)之重，本期就来和大家聊一聊超算集群安(ān)全保护的小(xiǎo)技(jì )巧。

超算集群的安(ān)全體(tǐ)系包括传统意义上的网络安(ān)全技(jì )术（防火墙等）外围安(ān)全；用(yòng)户数据加密（存储机密/传输加密）及数据脱敏的数据安(ān)全；用(yòng)户授权访问的访问安(ān)全等等……总的来说就是“计算环境安(ān)全”。

计算环境安(ān)全的基础是“服務(wù)器”，集群的服務(wù)器涉及到大量数据，包括运行数据、信息数据、程序、文(wén)档和存储数据等等，作(zuò)為(wèi)集群重要的组成部分(fēn)往往会受到各种内部与外部的威胁。外部安(ān)全包括网络安(ān)全如DDOS攻击、挂马……潜入服務(wù)器删除并窃取信息，造成服務(wù)器极度危险；内部威胁则是服務(wù)器本身的系统漏洞、系统权限、网络端口管理(lǐ)等基础条件的安(ān)全问题。

只有(yǒu)全方位的兼顾内外双重威胁，保证安(ān)全的基础条件，严防外来的恶意侵害，集群服務(wù)器的安(ān)全才能(néng)得以真正的保障。接下来，就通过奥工(gōng)小(xiǎo)分(fēn)队常用(yòng)的一款行為(wèi)管理(lǐ)审计系统（堡垒机系统）来聊一聊如何保证集群安(ān)全吧。

“堡垒机”这个词相信很(hěn)多(duō)集群工(gōng)作(zuò)者都不陌生，在奥工(gōng)小(xiǎo)分(fēn)队的某些特定客户集群方案设计中(zhōng)，我们都会将堡垒机写入规划方案中(zhōng)，用(yòng)来保障网络和数据不受侵害，為(wèi)平台提供全方位网络安(ān)全保障。

堡垒机，即在一个特定的网络环境下，為(wèi)了保障网络和数据不受来自外部和内部用(yòng)户的入侵和破坏，而运用(yòng)各种技(jì )术手段监控和记录运维人员对网络内的服務(wù)器、网络设备、安(ān)全设备、数据库等设备的操作(zuò)行為(wèi)，以便集中(zhōng)报警、及时处理(lǐ)及审计定责。

市面上堡垒机的品牌很(hěn)多(duō)，也都有(yǒu)其不同的优势，但是堡垒机的核心功能(néng)则是奥工(gōng)小(xiǎo)分(fēn)队最為(wèi)注重的：

◆ 登录功能(néng)

支持一系列授权账号进行密码的自动化周期更改。简化密码管理(lǐ)，实现便捷安(ān)全登录目标设备。

◆ 账号管理(lǐ)

支持统一账户管理(lǐ)策略。

实现对所有(yǒu)账号集中(zhōng)管理(lǐ)，全生命周期监控。

◆ 身份认证

提供统一的认证接口，支持多(duō)种身份认证方式。

安(ān)全的认证模式，提高了认证的安(ān)全性和可(kě)靠性。

◆ 资源授权

提供基于用(yòng)户、目标设备、时间、协议类型IP、行為(wèi)等要素实现细粒度的操作(zuò)授权，最大限度保护用(yòng)户资源的安(ān)全。

◆ 访问控制

支持对不同用(yòng)户进行不同策略的制定，严防非法、越权访问事件的发生。

◆ 操作(zuò)审计

对字符串、图形、文(wén)件传输、数据库等全程操作(zuò)行為(wèi)审计。

多(duō)种方式实时监控人员各种操作(zuò)，对违规行為(wèi)进行事中(zhōng)控制。

奥工(gōng)小(xiǎo)分(fēn)队服務(wù)的某客户大型集群，在一期建设完成后集群业務(wù)和用(yòng)户数迅速增長(cháng)。為(wèi)了保障数据安(ān)全，杜绝信息安(ān)全事件和停机宕机事件，确保平台的可(kě)靠性，奥工(gōng)小(xiǎo)分(fēn)队在二期建设中(zhōng)选择了“部署堡垒机”这种方式来保护他(tā)们的集群。

堡垒机的核心思路是将“人”和“目标设备”分(fēn)离开，基于身份的识别与授权，建立全过程的完整审计，那么在集群使用(yòng)中(zhōng)，不同“人”的感受又(yòu)是如何呢(ne)？

除了堡垒机，奥工(gōng)自研融合计算服務(wù)门户OGSP也常常被搭配使用(yòng)，以实现1+1＞2的效果。关注我们，了解更多(duō)超算集群相关小(xiǎo)技(jì )巧，咱们下期见！

—END—