◆陳萱華

基于云計算的數(shù)據(jù)中心安全建設(shè)淺析

◆陳萱華

（武警海警學院電子技術(shù)系 浙江 315000）

數(shù)據(jù)中心建設(shè)的安全直接關(guān)系到業(yè)務(wù)運行的連續(xù)性，本文通過分析數(shù)據(jù)中心建設(shè)中存在的安全問題，從技術(shù)角度提出了一種數(shù)據(jù)中心安全的建設(shè)思路，從分區(qū)規(guī)劃和分層部署、安全交換平臺和網(wǎng)絡(luò)隔離等方面進行闡述，為云計算數(shù)據(jù)中心建設(shè)提供安全支持。

云計算數(shù)據(jù)中心；虛擬化技術(shù)；安全交換

隨著人工智能和大數(shù)據(jù)的飛速發(fā)展，個人和企業(yè)的數(shù)據(jù)越來越多地放在云端，云端可以自建也可以托管，托管有其便利性、不需專人維護等優(yōu)點，但也存在信息泄露、強依賴性等隱患。特別是對于數(shù)據(jù)中心建設(shè)已有一定積累、擁有一支穩(wěn)定的運維隊伍、或是對數(shù)據(jù)保密性有一定要求的機構(gòu)，充分利用已有的設(shè)施，采用云計算技術(shù)擴展和補充數(shù)據(jù)中心仍然不失為一種好的選擇。處于大數(shù)據(jù)時代的今天，數(shù)據(jù)中心的重要性愈發(fā)凸顯，數(shù)據(jù)中心建設(shè)的安全性直接關(guān)系到機構(gòu)業(yè)務(wù)運行的連續(xù)性。

1 數(shù)據(jù)中心存在的安全隱患

傳統(tǒng)數(shù)據(jù)中心采用頭痛醫(yī)頭、腳痛醫(yī)腳的做法不斷擴充應(yīng)用系統(tǒng)和數(shù)據(jù)，使應(yīng)用系統(tǒng)產(chǎn)生大量漏洞，一旦出現(xiàn)安全問題又難以快速完成資源配置和有效部署，主要原因有四。一是系統(tǒng)異構(gòu)，數(shù)據(jù)交換不暢。由于缺乏頂層設(shè)計，各業(yè)務(wù)系統(tǒng)獨享服務(wù)器資源，設(shè)備投入大，但非高峰的大部分時間內(nèi)，設(shè)備基本處于空閑狀態(tài)，資源沒有得到充分利用，虛擬機的部署規(guī)模受到限制，造成網(wǎng)絡(luò)隔離能力受限，一旦爆發(fā)網(wǎng)絡(luò)病毒，容易出現(xiàn)全網(wǎng)癱瘓。二是能耗高。不斷增加的設(shè)備造成中心機房擁擠不堪，能耗成本更是居高不下，供電系統(tǒng)設(shè)計沒法及時調(diào)整，虛擬機遷移受限，設(shè)備安全隱患難以避免。三是管理成本高，運維壓力大[1]。機房設(shè)備越來越多，運維復雜度不斷增加；數(shù)據(jù)訪問量大增，管理工作量和難度也大幅提升，管理人員的操作失誤概率大增。四是機構(gòu)重視內(nèi)外數(shù)據(jù)流量和云上邊界的安全防護，忽視了從內(nèi)部發(fā)起的、更隱蔽的攻擊。這四個方面的問題都給數(shù)據(jù)中心帶來了極大的安全隱患。

2 基于云計算的數(shù)據(jù)中心安全建設(shè)

基于云計算的數(shù)據(jù)中心安全要進行頂層設(shè)計，考慮用戶實際需求、云計算的特性和云計算生命周期的安全機制[2]確定系統(tǒng)的整體部署。它包括軟硬件的配置和各類人員的安全操作，涉及許多不斷發(fā)展的技術(shù)。這里主要從分區(qū)規(guī)劃和分層管理、安全交換平臺和網(wǎng)絡(luò)隔離三方面進行介紹。

2.1 分區(qū)規(guī)劃、分層部署[3-4]

（1）分區(qū)規(guī)劃

分區(qū)規(guī)劃，就是通過細分，面向不同的需求實現(xiàn)安全保護。由于網(wǎng)絡(luò)中的業(yè)務(wù)單元在功能、重要性、用戶對象、訪問量、受攻擊程度等方面存在差異，因此，制定安全策略的依據(jù)主要在業(yè)務(wù)需求、數(shù)據(jù)流、應(yīng)用的邏輯功能、業(yè)務(wù)系統(tǒng)安全等級等方面，在構(gòu)建數(shù)據(jù)中心時將網(wǎng)絡(luò)劃分為不同區(qū)域，便于實現(xiàn)差異性維護管理，提高運維效率，實現(xiàn)安全隔離和訪問控制。

一般情況下，可以劃分為以下區(qū)域：外聯(lián)區(qū)、業(yè)務(wù)區(qū)、服務(wù)器區(qū)、核心匯聚區(qū)、終端接入?yún)^(qū)、數(shù)據(jù)存儲區(qū)、容災備份區(qū)、數(shù)據(jù)中心統(tǒng)一運維區(qū)?？梢愿鶕?jù)不同的機構(gòu)、不同的業(yè)務(wù)模式，分區(qū)可以適當增刪或合并。設(shè)計數(shù)據(jù)中心安全方案整體規(guī)劃，不同的分區(qū)承擔不同的職責，針對不同區(qū)域制定不同的方案，共同實現(xiàn)數(shù)據(jù)中心的整體安全防護體系。

（2）分層部署

數(shù)據(jù)中心是機構(gòu)網(wǎng)絡(luò)的核心匯聚區(qū)，前面劃分的區(qū)域邊界處的安全直接對數(shù)據(jù)中心產(chǎn)生安全威脅，邊界處的威脅主要有軟硬件漏洞攻擊、網(wǎng)絡(luò)病毒、木馬植入、黑客入侵、信息泄露等，較有效的抵御方法是在有效分區(qū)基礎(chǔ)上分層部署。依據(jù)整體安全防護部署要求，在不同的區(qū)域邊界處進行相應(yīng)的安全需求部署，綜合應(yīng)用異構(gòu)多重防火墻、VPN、入侵檢測以及負載均衡等技術(shù)，共同實現(xiàn)網(wǎng)絡(luò)安全融合。

2.2 構(gòu)建安全的交換平臺

（1）數(shù)據(jù)交換平臺

由于傳統(tǒng)數(shù)據(jù)中心里部署的業(yè)務(wù)系統(tǒng)大都分批分散建設(shè)，相互之間的技術(shù)架構(gòu)和開發(fā)平臺差異較大，數(shù)據(jù)異構(gòu)，處理方式各異，形成各應(yīng)用系統(tǒng)相對獨立的“孤島”，造成數(shù)據(jù)的不一致性。隨著業(yè)務(wù)系統(tǒng)的增加和邊界接入網(wǎng)絡(luò)的擴大，內(nèi)外網(wǎng)數(shù)據(jù)面臨著各種攻擊，出現(xiàn)諸多風險，同時也面臨運管維護等安全管理問題。

數(shù)據(jù)交換平臺通過數(shù)據(jù)的抽取、集中、加載、轉(zhuǎn)換、展現(xiàn)，可以將分散建設(shè)的業(yè)務(wù)系統(tǒng)進行整合，構(gòu)造統(tǒng)一的數(shù)據(jù)處理和交換平臺，保證分布異構(gòu)系統(tǒng)之間互聯(lián)互通[5]。具體可以采用以下方式：構(gòu)建統(tǒng)一身份認證平臺，統(tǒng)一標識體系，對不同業(yè)務(wù)系統(tǒng)登錄數(shù)據(jù)進行采集、轉(zhuǎn)換，建立云環(huán)境下的跨域單點登錄系統(tǒng)[6]、真實源地址驗證的安全可信網(wǎng)絡(luò)，統(tǒng)一登錄、身份認證、解決跨系統(tǒng)信息交換的身份識別問題，并通過角色和權(quán)限的關(guān)聯(lián)實現(xiàn)數(shù)據(jù)共享融合和安全交互。

（2）設(shè)備間的統(tǒng)一交換

傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)不一，可能還存在多個獨立運行的網(wǎng)絡(luò)，加之設(shè)備的功能獨立性，連接、配置處理需要大量的線纜，使得數(shù)據(jù)中心的綜合布線量大、復雜，造成高能耗、高運維成本、高安全隱患。在設(shè)計時，應(yīng)從兼容性和擴展性方面考慮網(wǎng)絡(luò)安全融合方案，配置多協(xié)議的網(wǎng)絡(luò)交換機、將獨立設(shè)備組網(wǎng)簡化為網(wǎng)絡(luò)安全的集成業(yè)務(wù)，大大簡化設(shè)計和優(yōu)化管理，通過多種機制來保證數(shù)據(jù)傳輸?shù)母咝Ш涂煽?，真正實現(xiàn)數(shù)據(jù)中心數(shù)據(jù)的統(tǒng)一交換。

2.3 網(wǎng)絡(luò)隔離

虛擬化技術(shù)是云計算數(shù)據(jù)中心的關(guān)鍵技術(shù)。它實現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示，提高了資源利用率，方便了大規(guī)模部署。但這種服務(wù)模式打破了傳統(tǒng)網(wǎng)絡(luò)邊界的劃分方式，被隱藏的底層訪問細節(jié)、用戶與底層物理環(huán)境細節(jié)脫離的虛擬化結(jié)構(gòu)，造成訪問控制復雜，安全邊界模糊，角色權(quán)限關(guān)系復雜，對使用者的身份、權(quán)限的鑒別、控制與審計變得更加困難，給傳統(tǒng)的安全邊界帶來了巨大的安全風險[7]。

在虛擬化網(wǎng)絡(luò)中需要更細粒度的隔離，做到每一個虛擬機和外部網(wǎng)絡(luò)或內(nèi)部其他虛擬機之間通信的精細監(jiān)控，可以借助VPN為遠程用戶訪問提供有效的數(shù)據(jù)隔離，而VLAN也是云計算中常用的措施，用于實現(xiàn)安全域的網(wǎng)絡(luò)隔離。

虛擬化環(huán)境中按照業(yè)務(wù)功能、用戶權(quán)限、內(nèi)外網(wǎng)南北東西數(shù)據(jù)流量、安全防護等級等不同數(shù)據(jù)需要隔離，可以結(jié)合前面介紹的分區(qū)分層配置虛擬防火墻，按照業(yè)務(wù)將防火墻劃分成多個安全域。比如在服務(wù)器區(qū)域通過旁路部署將需要進行安全檢測的流量引導到防火墻上進行處理，再根據(jù)應(yīng)用的隔離互訪要求，實現(xiàn)域間安全控制。在虛擬管理器內(nèi)部，通過相同物理網(wǎng)絡(luò)通信引起數(shù)據(jù)的匯合，由此造成的安全隱患，可以采用不同交換機實現(xiàn)隔離。同時應(yīng)保證不同交換機之間嚴格避免通過虛擬機或者其他措施進行橋接。

VPN則將單位地處不同位置的設(shè)備實現(xiàn)安全通信，它在公共網(wǎng)絡(luò)中通過防火墻構(gòu)建一個安全穩(wěn)定的專用虛擬邏輯網(wǎng)絡(luò)，支持單位移動用戶的遠程訪問，結(jié)合用戶身份認證與訪問控制技術(shù)，采用角色和權(quán)限關(guān)聯(lián)，對用戶和權(quán)限進行分類和隔離，為用戶提供有效的數(shù)據(jù)隔離。

安全域的網(wǎng)絡(luò)隔離常用的措施是VLAN隔離。VLAN隔離在云計算中也被大量采用，可以結(jié)合虛擬防火墻、虛擬交換機實現(xiàn)虛擬交換隔離[8]。防火墻和交換機可以采用靜、動態(tài)路由相結(jié)合的方式，為不同區(qū)域提供細粒度的安全策略和針對性的物理隔離，主動監(jiān)控網(wǎng)絡(luò)行為，阻斷各類攻擊性的網(wǎng)絡(luò)異常流量。同時將多臺交換機虛擬成一臺交換機，簡化網(wǎng)絡(luò)拓撲結(jié)構(gòu)，減少故障結(jié)點，有利于展開更具有針對性的安全保護部署。反之，也可以將一臺安全設(shè)備虛擬成多臺安全設(shè)備，分配給不同應(yīng)用系統(tǒng)使用，進行自主化管理，策略按需設(shè)置，實現(xiàn)應(yīng)用系統(tǒng)之間的安全隔離。

3 結(jié)束語

數(shù)據(jù)中心安全的建設(shè)伴隨著應(yīng)用和技術(shù)的發(fā)展而發(fā)展，它是一個綜合化的整體系統(tǒng)，需要兼顧已有的設(shè)施，全局的統(tǒng)籌部署，各組件的協(xié)同工作，多種技術(shù)的統(tǒng)合應(yīng)用。本文分析了其中的安全隱患，從技術(shù)角度，包括分區(qū)規(guī)劃和分層部署、安全交換平臺和網(wǎng)絡(luò)隔離三個方面，提出了一些建設(shè)思路。在安全問題上，除了要密切關(guān)注技術(shù)發(fā)展外，更重要的是需要主動積極應(yīng)對，加強管理，密切關(guān)注數(shù)據(jù)生命周期的用戶行為，切實打造高效安全的數(shù)據(jù)中心。

[1]王瑛杰.安全可靠的大二層數(shù)據(jù)中心設(shè)計[J].內(nèi)江師范學院學報，2017.

[2]陳萱華，林淑玲.基于生命周期的云計算安全機制探討[J].公安海警學院學報，2015.

[3]毛睿，車永茂，謝世春.蘇北人民醫(yī)院信息安全等級保護之數(shù)據(jù)中心安全規(guī)劃設(shè)計[J].電腦知識與技術(shù)，2017.

[4]劉曉軍.云環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全部署[J].中國管理信息化，2016.

[5]溫斌，周艽，陳懷楚，等.安全可信的醫(yī)院數(shù)據(jù)交換平臺的設(shè)計與實現(xiàn)[J].中國數(shù)字醫(yī)學，2015.

[6]陳萱華，林淑玲，楊玲.云環(huán)境下跨域單點登錄解決方案[J].現(xiàn)代電子技術(shù)，2015.

[7]嚴文濤，王瑋，蘇琦，等.云計算數(shù)據(jù)中心虛擬化安全技術(shù)研究與分析[J].電子技術(shù)應(yīng)用，2016

[8]朱雙華．基于虛擬化的大規(guī)模試驗環(huán)境構(gòu)建技術(shù)研究[D]．南京：東南大學，2015.