李太平

【摘要】? ? 由于傳統(tǒng)的安全措施均是基于固定的位置或是靜態(tài)的網(wǎng)絡(luò)而無(wú)法應(yīng)對(duì)好虛擬化帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題，故使得云數(shù)據(jù)中心亦始終面臨著較高的安全威脅?；谠朴?jì)算的特點(diǎn)與思想，所以采用SDN與NFV等技術(shù)來(lái)為運(yùn)輸局中心的安全防護(hù)供支撐，不僅能有效促進(jìn)網(wǎng)絡(luò)安全服務(wù)全程自動(dòng)化交付的順利實(shí)現(xiàn)，而且還能夠保證云數(shù)據(jù)中心安全，切實(shí)維護(hù)云數(shù)據(jù)中心的穩(wěn)定發(fā)展。

【關(guān)鍵詞】? ? 云數(shù)據(jù)中心? ? 安全防護(hù)? ? 解決方案

所謂的云計(jì)算數(shù)據(jù)中心，即一種以云計(jì)算的架構(gòu)、存儲(chǔ)及網(wǎng)絡(luò)資源整合為基礎(chǔ)，并在各類(lèi)TI設(shè)備的支撐下而具有較高模塊化和自動(dòng)化程度的新型數(shù)據(jù)中心。因此，為切實(shí)促進(jìn)云計(jì)算數(shù)據(jù)中心的普及運(yùn)用，關(guān)鍵仍是要對(duì)虛擬安全域隔離、虛擬機(jī)安全防護(hù)等安全方面的問(wèn)題給予高度重視。

一、云數(shù)據(jù)中心安全防護(hù)面臨的挑戰(zhàn)

由于云數(shù)據(jù)中心的網(wǎng)絡(luò)虛擬化會(huì)導(dǎo)致網(wǎng)絡(luò)邊界呈現(xiàn)出動(dòng)態(tài)化的特征，這便需要制定并部署網(wǎng)絡(luò)安全系統(tǒng)方能抵御網(wǎng)絡(luò)中的各種安全問(wèn)題。一是虛擬安全與的隔離和虛擬機(jī)本身的防護(hù)問(wèn)題。由于虛擬技術(shù)的加入使得原本的網(wǎng)絡(luò)層次中多了一層虛擬交換層，而鑒于該網(wǎng)絡(luò)層次是在云數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化后方才出現(xiàn)，所以這個(gè)層次的出現(xiàn)反而讓網(wǎng)絡(luò)管理便捷具有了模糊化的特征，加之原本的網(wǎng)絡(luò)系統(tǒng)又難以感知到的新的虛擬服務(wù)器，故也使得數(shù)據(jù)中心在實(shí)際運(yùn)行過(guò)程中將面臨租戶(hù)的虛擬域安全阻隔問(wèn)題。二是當(dāng)前的云數(shù)據(jù)計(jì)算中心上難以實(shí)現(xiàn)的對(duì)眾多復(fù)雜資源的集中化管理。由于云數(shù)據(jù)中心在處理數(shù)據(jù)流時(shí)會(huì)盡力多重監(jiān)測(cè)，但因此項(xiàng)工作的開(kāi)展過(guò)程目前仍是基于傳統(tǒng)的監(jiān)測(cè)手段，這便使得數(shù)據(jù)處理過(guò)程無(wú)法對(duì)不同類(lèi)型的功能及設(shè)備予以簡(jiǎn)化和堆疊，這便為云數(shù)據(jù)中心實(shí)現(xiàn)資源的集中管理帶來(lái)了極大的困難。

二、云數(shù)據(jù)中心安全防護(hù)方案設(shè)計(jì)

2.1云數(shù)據(jù)中心安全防護(hù)系統(tǒng)功能架構(gòu)

由于云數(shù)據(jù)中心網(wǎng)絡(luò)的安全虛擬化是在虛擬化整合的基礎(chǔ)上進(jìn)行，故其安全虛擬化的具體過(guò)程除了要將部署的專(zhuān)用設(shè)備全部遷移到通用服務(wù)器外，尚需根據(jù)不同的業(yè)務(wù)特征來(lái)為其匹配是以的安全策略，如此方能在實(shí)現(xiàn)安全虛擬化后，讓各種也業(yè)務(wù)特征相匹配的安全策略亦隨之發(fā)生動(dòng)態(tài)遷移，繼而掃清因數(shù)據(jù)中心服務(wù)器虛擬化而造成的安全策略部署問(wèn)題。就云數(shù)據(jù)中心系統(tǒng)而言，其主要由4層服務(wù)層組成，分別為云服務(wù)層、控制層、數(shù)據(jù)轉(zhuǎn)發(fā)層以及安全資源層。其中，云服務(wù)層主要功能在于向用戶(hù)提供安全的網(wǎng)絡(luò)資源服務(wù)。而控制層則主要負(fù)責(zé)控制各大網(wǎng)路鏈、流標(biāo)以及資源彈性的管理;數(shù)據(jù)轉(zhuǎn)發(fā)層主要負(fù)責(zé)的內(nèi)容包括收集、轉(zhuǎn)發(fā)并處理業(yè)務(wù)流表。至于安全服務(wù)資源層，因其主要組成部分為承載了安全服務(wù)虛擬機(jī)的通用服務(wù)器，故其所具有的功能亦主要包含了防火墻、入侵檢測(cè)以及過(guò)濾垃圾郵件等。

2.2云數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)系統(tǒng)部署

數(shù)據(jù)中心的網(wǎng)絡(luò)出口也便是虛擬化安全防護(hù)池的部署地，至于實(shí)際的管理則是基于云管理平臺(tái)中加入的SDN控制器。當(dāng)前，安全防護(hù)池也在虛擬化技術(shù)的促進(jìn)下而突破了原本的性能瓶頸，并得到了與云數(shù)據(jù)中心需求最佳匹配的效果。云數(shù)據(jù)中心的安全防護(hù)池還能充分利用池內(nèi)防火墻來(lái)滿(mǎn)足政府及金融行業(yè)租戶(hù)的具體需求，且在防火墻虛擬機(jī)的保護(hù)作用下，還不會(huì)對(duì)其他租戶(hù)的業(yè)務(wù)流量產(chǎn)生任何影響。由于安全防護(hù)池在云數(shù)據(jù)中心出口處的部署主要是以旁路的形式為主，故該部署不僅具有較高的靈活性，且能實(shí)時(shí)根據(jù)業(yè)務(wù)狀況來(lái)進(jìn)行分流，如此變更最大先帝減少數(shù)據(jù)對(duì)核心網(wǎng)絡(luò)的影響。至于安全防護(hù)池的旁路部署則主要遵循著如下技術(shù)原理：流量牽引：安全防護(hù)池在牽引目標(biāo)流數(shù)據(jù)時(shí)會(huì)基于SND控制器下發(fā)的流表來(lái)合理跳動(dòng)云數(shù)據(jù)中心及邊界的各項(xiàng)網(wǎng)絡(luò)設(shè)備。流量檢測(cè)或過(guò)濾：在安全防護(hù)池需要牽引目標(biāo)流量時(shí)，SDN控制器會(huì)發(fā)出相應(yīng)的指令并對(duì)目標(biāo)IP的流量予以檢測(cè)和過(guò)濾操作。流量回注：SDN控制器會(huì)將監(jiān)測(cè)合格的合法流量重新注回網(wǎng)絡(luò)，并確保流量順利達(dá)到目的地而不會(huì)對(duì)其形成任何阻礙。

2.3云數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)系統(tǒng)運(yùn)營(yíng)流程

就Web對(duì)安全防護(hù)池的資源調(diào)度而言，首先需要云數(shù)據(jù)中心租戶(hù)提出具體需求，而云數(shù)據(jù)中心管理員在接收到租戶(hù)需求后會(huì)根據(jù)其要求來(lái)設(shè)置相應(yīng)的安全策略。后在數(shù)據(jù)中心控制器的調(diào)度下，將為申請(qǐng)需求的租戶(hù)提供相應(yīng)的IP地址。與此同時(shí)，基于控制器本社便掌握了云數(shù)據(jù)中心的組裝狀況，故尋找連接交換機(jī)的過(guò)程亦十分輕松。止嘔，在控制器引流策略的牽引下，將能在更新接入交換機(jī)的轉(zhuǎn)發(fā)流表同時(shí)將相關(guān)流量轉(zhuǎn)移到安全的防護(hù)池內(nèi)，之后便借助防護(hù)池內(nèi)各項(xiàng)安全防護(hù)設(shè)備來(lái)對(duì)Web流量進(jìn)行過(guò)濾。最終，用戶(hù)將從虛擬機(jī)中接收到經(jīng)過(guò)過(guò)濾的Web流量，并可借由指令來(lái)予以控制。經(jīng)過(guò)上述一系列流程，將最大限度確保租戶(hù)的流量數(shù)據(jù)安全。

總之，基于云計(jì)算與虛擬化技術(shù)的快速發(fā)展，雖是讓云數(shù)據(jù)中心亦有了明顯進(jìn)步，但安全仍是困擾云數(shù)據(jù)中心發(fā)展的主要問(wèn)題。因此，為切實(shí)維護(hù)云數(shù)據(jù)中心的穩(wěn)定發(fā)展，則研究人員仍需加大對(duì)云數(shù)據(jù)中心安全防護(hù)系統(tǒng)架構(gòu)、物理部署、運(yùn)營(yíng)流程以及安全服務(wù)監(jiān)控等諸多方面工作安全防護(hù)方案的研究，以此方能賦予云數(shù)據(jù)中心更好的擴(kuò)展性，繼而為云數(shù)據(jù)中心的穩(wěn)定發(fā)展提供保障。

參? 考? 文? 獻(xiàn)

[1] 張小梅，馬錚，朱安南.云數(shù)據(jù)中心安全防護(hù)解決方案[J].郵電設(shè)計(jì)技術(shù)， 2016（1）：50-54.

[2] 毛正雄.云數(shù)據(jù)中心安全防護(hù)挑戰(zhàn)與解決方案研究[J].中國(guó)新通信，2017（8）：78-79.