周魯?王鵬

摘要：隨著虛擬化軟件技術(shù)的發(fā)展，云數(shù)據(jù)的敏捷性、可擴(kuò)展性和高效性等優(yōu)勢(shì)逐漸凸顯。但云數(shù)據(jù)對(duì)安全服務(wù)也提出了更高的要求。物理網(wǎng)絡(luò)的安全無(wú)法直接應(yīng)用于虛擬數(shù)據(jù)中心，因此需要建立分布式的虛擬數(shù)據(jù)中心網(wǎng)絡(luò)安全架構(gòu)。本文將從云數(shù)據(jù)中心的安全服務(wù)需求出發(fā)，分析云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)的架構(gòu)思路，并探討系統(tǒng)架構(gòu)可提供的服務(wù)。

關(guān)鍵詞：云數(shù)據(jù)中心；網(wǎng)絡(luò)安全；服務(wù)架構(gòu)；虛擬化安全設(shè)備

計(jì)算機(jī)虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化等技術(shù)將數(shù)據(jù)中心的資源抽象化，而管理平臺(tái)則提供相應(yīng)的資源管理、服務(wù)管理、運(yùn)營(yíng)管理等功能。云數(shù)據(jù)中心通過(guò)這些技術(shù)和管理手段，實(shí)現(xiàn)了用戶為中心的自動(dòng)化計(jì)算，并提供具有增強(qiáng)敏捷性和高效性的服務(wù)。然而，在傳統(tǒng)的物理網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)轉(zhuǎn)移到虛擬化的數(shù)據(jù)中心的過(guò)程中，用戶常常對(duì)安全性和可靠性存在較大的質(zhì)疑。傳統(tǒng)的物理網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)使用的設(shè)備與現(xiàn)代化的發(fā)展存在較大的差異，難以為虛擬化數(shù)據(jù)中心提供高質(zhì)量的安全服務(wù)。因此，在進(jìn)行虛擬化過(guò)程時(shí)，應(yīng)該嚴(yán)格遵循數(shù)據(jù)中心虛擬化的思路，將虛擬化技術(shù)與其他相關(guān)技術(shù)有效地結(jié)合起來(lái)，以為數(shù)據(jù)中心提供更全面的服務(wù)。

一、云數(shù)據(jù)中心的安全服務(wù)需求

云數(shù)據(jù)中心具備彈性大、敏銳性強(qiáng)、高效運(yùn)行的優(yōu)勢(shì)，也正是其具備的這些得天獨(dú)厚的優(yōu)勢(shì)，使大眾對(duì)網(wǎng)絡(luò)安全服務(wù)的質(zhì)量要求逐漸提高。然而，云數(shù)據(jù)中心的安全管理是一項(xiàng)相對(duì)復(fù)雜的工作，而分散和分布式的管理方式往往難以達(dá)到理想的效果。因此，應(yīng)該將安全管理統(tǒng)一到一個(gè)集中的管理平臺(tái)上，并從以下幾個(gè)方面著手。

（一）特性需求

第一，敏捷性。安全服務(wù)在云數(shù)據(jù)中心中的部署必須具備靈活性，以確保安全措施能夠全面覆蓋數(shù)據(jù)中心的各項(xiàng)業(yè)務(wù)。在安全保障體系的建設(shè)過(guò)程中，需要將所有業(yè)務(wù)納入考慮范圍，以確保整個(gè)數(shù)據(jù)中心得到全面的保護(hù)。此外，安全服務(wù)必須加強(qiáng)自身的建設(shè)，以保證其在數(shù)據(jù)中心中的有效運(yùn)行。它應(yīng)該設(shè)計(jì)得不會(huì)對(duì)數(shù)據(jù)中心的正常運(yùn)轉(zhuǎn)產(chǎn)生影響，且絕對(duì)禁止對(duì)數(shù)據(jù)中心造成任何不利的影響。在設(shè)計(jì)和實(shí)施安全服務(wù)時(shí)，敏捷性是至關(guān)重要的要素之一。它使安全團(tuán)隊(duì)能夠快速應(yīng)對(duì)和適應(yīng)不斷變化的安全威脅，及時(shí)采取相應(yīng)的措施，確保數(shù)據(jù)中心的安全性。因此，高度重視敏捷性對(duì)于建立強(qiáng)大的安全保障體系至關(guān)重要。

第二，彈性大。安全服務(wù)應(yīng)該具備動(dòng)態(tài)調(diào)整的能力，以滿足不斷變化的業(yè)務(wù)需求。動(dòng)態(tài)調(diào)整意味著安全服務(wù)有能力根據(jù)業(yè)務(wù)變化進(jìn)行相應(yīng)調(diào)整，以確保業(yè)務(wù)的正常開展和安全保障。在動(dòng)態(tài)調(diào)整的過(guò)程中，安全服務(wù)需要超越管理員的限制，根據(jù)提供的具體服務(wù)來(lái)靈活開展業(yè)務(wù)。這意味著安全服務(wù)不能僅僅依賴于管理員的手動(dòng)干預(yù)，而是應(yīng)該具備自動(dòng)化和智能化的能力，能夠根據(jù)業(yè)務(wù)需求自主調(diào)整和應(yīng)對(duì)安全威脅。通過(guò)充分保證業(yè)務(wù)開展的針對(duì)性，安全服務(wù)能夠更好地滿足不同業(yè)務(wù)的安全需求，并提供高效可靠的安全保障[1]。

第三，高效性。安全服務(wù)作為基礎(chǔ)性的服務(wù)應(yīng)該部署在數(shù)據(jù)中心，并為所有用戶業(yè)務(wù)共享。通過(guò)在數(shù)據(jù)中心中集中部署安全服務(wù)，可以實(shí)現(xiàn)高效統(tǒng)一的管理，確保所有用戶的業(yè)務(wù)都能得到相應(yīng)的安全保護(hù)。

（二）具體需求

第一，業(yè)務(wù)跟隨。業(yè)務(wù)跟隨是指網(wǎng)絡(luò)安全服務(wù)能夠隨著用戶虛擬機(jī)的遷移而無(wú)縫遷移，以實(shí)現(xiàn)對(duì)用戶全方位、全過(guò)程的跟隨保護(hù)，確保業(yè)務(wù)的連貫性和安全性。在虛擬化環(huán)境中，安全服務(wù)持續(xù)監(jiān)控用戶的網(wǎng)絡(luò)行為，并在用戶虛擬機(jī)遷移時(shí)快速響應(yīng)，為用戶的網(wǎng)絡(luò)行為提供保護(hù)。這種方式可以使用戶在虛擬機(jī)切換時(shí)仍然受到安全服務(wù)的保護(hù)，同時(shí)降低因遷移所帶來(lái)的業(yè)務(wù)中斷和安全漏洞的風(fēng)險(xiǎn)。通過(guò)業(yè)務(wù)跟隨，網(wǎng)絡(luò)安全服務(wù)能夠緊密跟隨用戶需求，確保其業(yè)務(wù)的穩(wěn)定進(jìn)行。

第二，服務(wù)拓展。安全防范與其他種類的數(shù)據(jù)中心業(yè)務(wù)存在較大差別。安全服務(wù)需要在不斷拓展中對(duì)現(xiàn)有的業(yè)務(wù)進(jìn)行更新和延伸，以適應(yīng)不斷變化的安全威脅與攻擊方式[2]。相比于其他業(yè)務(wù)，安全服務(wù)需要更具敏捷性和靈活性，能夠及時(shí)識(shí)別新型威脅并采取相應(yīng)防御措施。

第三，支持多類型數(shù)據(jù)中心。確保安全服務(wù)能夠適應(yīng)多樣化的數(shù)據(jù)中心環(huán)境非常重要。安全服務(wù)應(yīng)該是獨(dú)立于管理平臺(tái)的，這意味著它不依賴于特定的管理平臺(tái)或Hypervisor技術(shù)。這樣可以確保安全服務(wù)能夠在不同平臺(tái)上進(jìn)行部署，并在必要時(shí)靈活地放棄或切換Hypervisor技術(shù)。

二、云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)思路

（一）云數(shù)據(jù)中心總體架構(gòu)

物理基礎(chǔ)架構(gòu)是支撐數(shù)據(jù)中心對(duì)外運(yùn)行的基礎(chǔ)硬件設(shè)備，包括計(jì)算資源、網(wǎng)絡(luò)資源和存儲(chǔ)資源等。這些資源由虛擬化的資源管理平臺(tái)進(jìn)行統(tǒng)一管理，通過(guò)資源池化和合理分配，實(shí)現(xiàn)對(duì)上層業(yè)務(wù)的彈性拓展。云數(shù)據(jù)中心相較于傳統(tǒng)的數(shù)據(jù)中心解決方案具有明顯的優(yōu)勢(shì)。首先，云數(shù)據(jù)中心可以提供差異化的云計(jì)算業(yè)務(wù)，主要包括云主機(jī)和相關(guān)的增值服務(wù)。云主機(jī)可以根據(jù)用戶需求靈活配置，提供彈性資源，滿足不同業(yè)務(wù)的需求。同時(shí)，增值業(yè)務(wù)如云存儲(chǔ)、云數(shù)據(jù)庫(kù)等進(jìn)一步拓展了云計(jì)算的功能。此外，云數(shù)據(jù)中心采用資源池化的管理模式，能夠更加高效地利用硬件資源。資源池化可以將各種資源整合在一起，并根據(jù)需求進(jìn)行有效分配，避免資源的浪費(fèi)和低效使用。這種靈活的資源分配模式使得云數(shù)據(jù)中心具備了彈性拓展的能力，能夠根據(jù)業(yè)務(wù)需求快速增加或減少資源，提高了系統(tǒng)的可伸縮性和適應(yīng)性。

（二）網(wǎng)絡(luò)總體架構(gòu)設(shè)計(jì)

數(shù)據(jù)中心通常具有網(wǎng)絡(luò)分層和功能分區(qū)的特征。根據(jù)不同層次和功能，可以將其劃分為核心層和接入層，并按照外聯(lián)區(qū)、網(wǎng)絡(luò)服務(wù)區(qū)和業(yè)務(wù)服務(wù)區(qū)等進(jìn)行功能劃分。為了更好地支持云計(jì)算在數(shù)據(jù)中心的運(yùn)行和管理，網(wǎng)絡(luò)架構(gòu)通常會(huì)劃分為管理、存儲(chǔ)和業(yè)務(wù)三個(gè)不同的網(wǎng)絡(luò)平面。網(wǎng)絡(luò)分層設(shè)計(jì)旨在提供強(qiáng)大的性能、高度可靠性和較低的延遲，以支持?jǐn)?shù)據(jù)中心的融合和虛擬化技術(shù)的應(yīng)用。核心層采用扁平化的網(wǎng)絡(luò)架構(gòu)管理，并使用CSS虛擬集群技術(shù)，將多個(gè)虛擬機(jī)合成一臺(tái)設(shè)備，并通過(guò)設(shè)備的背板實(shí)現(xiàn)共享和交換功能。而接入層則采用堆疊技術(shù)，將多個(gè)交換機(jī)虛擬化成一臺(tái)設(shè)備，以提高交換能力[3]。另一方面，網(wǎng)絡(luò)平面設(shè)計(jì)旨在更好地支持云計(jì)算平臺(tái)。內(nèi)部的網(wǎng)絡(luò)平面劃分為業(yè)務(wù)、管理和存儲(chǔ)三個(gè)不同的層面，用于承載用戶端的數(shù)據(jù)流量以及數(shù)據(jù)中心內(nèi)部虛擬機(jī)之間的流量。

（三）網(wǎng)絡(luò)核心層的設(shè)計(jì)

在網(wǎng)絡(luò)核心層的設(shè)計(jì)中，常采用配置兩臺(tái)核心交換機(jī)的方式。這兩臺(tái)核心交換機(jī)設(shè)備通過(guò)虛擬化合并成一臺(tái)交換機(jī)設(shè)備，具備超大的容量，用于處理數(shù)據(jù)中心的核心流量。這種設(shè)計(jì)方案可以提高網(wǎng)絡(luò)的可靠性和冗余性，確保網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。在接入層的交換機(jī)設(shè)計(jì)上，常采用堆疊技術(shù)，將兩臺(tái)交換機(jī)虛擬堆疊成一臺(tái)設(shè)備。通過(guò)堆疊，可以實(shí)現(xiàn)設(shè)備背板的共享，并最大限度地提高交換機(jī)的運(yùn)行能力和性能。對(duì)于核心交換機(jī)和接入交換機(jī)之間的連接，通常采用鏈路連接的方式。這種連接方式確保了網(wǎng)絡(luò)運(yùn)行的安全性和可靠性，實(shí)現(xiàn)了高速且穩(wěn)定的數(shù)據(jù)傳輸。采用扁平化的架構(gòu)方式能夠有效降低網(wǎng)絡(luò)的復(fù)雜程度，從而提高網(wǎng)絡(luò)性能和管理效率。這種設(shè)計(jì)策略簡(jiǎn)化了網(wǎng)絡(luò)拓?fù)?，減少了傳輸路徑，提高了數(shù)據(jù)中心的可擴(kuò)展性和性能[4]。

（四）網(wǎng)絡(luò)功能區(qū)的設(shè)計(jì)

外聯(lián)區(qū)是云數(shù)據(jù)中心面向互聯(lián)網(wǎng)的門戶，用于連接多家互聯(lián)網(wǎng)運(yùn)營(yíng)商，提供數(shù)據(jù)中心對(duì)外的高速網(wǎng)絡(luò)出口。由于涉及與外部互聯(lián)網(wǎng)的通信，外聯(lián)區(qū)的網(wǎng)絡(luò)架構(gòu)對(duì)安全性和可靠性要求較高。其主要的服務(wù)包括互聯(lián)網(wǎng)接入、移動(dòng)包公用戶、出口防火墻。另外，網(wǎng)絡(luò)服務(wù)區(qū)是數(shù)據(jù)中心的關(guān)鍵區(qū)域，需要部署防火墻、負(fù)載均衡器、VPN網(wǎng)關(guān)等設(shè)備，以提供穩(wěn)定可靠的防火墻和接入服務(wù)。

三、數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)

（一）現(xiàn)有網(wǎng)絡(luò)安全服務(wù)的實(shí)現(xiàn)

虛擬化網(wǎng)絡(luò)安全設(shè)備的確具有一些優(yōu)勢(shì)，能夠滿足數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)的多樣化需求，具有敏捷性和彈性等優(yōu)點(diǎn)，因此在數(shù)據(jù)中心中扮演著重要的角色。然而，虛擬化網(wǎng)絡(luò)安全設(shè)備也存在一定的局限性。其中，一個(gè)主要的局限性是在業(yè)務(wù)跟隨方面的不足。虛擬化安全設(shè)備通常部署在虛擬網(wǎng)絡(luò)邊界，并且其服務(wù)范圍相對(duì)較小，支持的服務(wù)種類也相對(duì)有限。對(duì)于一些具有動(dòng)態(tài)發(fā)展特征的用戶來(lái)說(shuō)，這可能導(dǎo)致資源配置不足的問(wèn)題。尤其是當(dāng)用戶需要遷移位置時(shí)，之前使用的安全設(shè)備無(wú)法簡(jiǎn)單地轉(zhuǎn)移到新設(shè)備上，這可能導(dǎo)致原有安全設(shè)備所提供的服務(wù)和虛擬機(jī)中的信息轉(zhuǎn)移困難，甚至可能引發(fā)業(yè)務(wù)中斷。此外，虛擬安全設(shè)備本身的封閉性和缺乏轉(zhuǎn)移、拓展功能也是其最大的缺陷。由于其封閉性，虛擬安全設(shè)備無(wú)法方便地進(jìn)行轉(zhuǎn)移和拓展，這限制了其在動(dòng)態(tài)環(huán)境中的靈活應(yīng)用。這可能會(huì)對(duì)數(shù)據(jù)中心的可伸縮性和可擴(kuò)展性造成一定的影響。

（二）分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)

安全服務(wù)設(shè)計(jì)的內(nèi)容可以分為三部分，即控制平面和數(shù)據(jù)平面分離、實(shí)施虛擬化的架構(gòu)、提供具有自適應(yīng)能力的服務(wù)。首先，控制平面和數(shù)據(jù)平面分離是安全服務(wù)設(shè)計(jì)的重要組成部分?？刂破矫尕?fù)責(zé)安全策略的制定和控制，數(shù)據(jù)平面則負(fù)責(zé)實(shí)際的數(shù)據(jù)處理和轉(zhuǎn)發(fā)。通過(guò)將控制平面與數(shù)據(jù)平面分離，可以實(shí)現(xiàn)更靈活的安全策略管理和數(shù)據(jù)處理能力。其次，實(shí)施虛擬化的架構(gòu)也是安全服務(wù)設(shè)計(jì)的關(guān)鍵。數(shù)據(jù)中心的基本架構(gòu)包括數(shù)據(jù)中心管理平臺(tái)、Hypervisor（虛擬化軟件）以及虛擬網(wǎng)絡(luò)。在使用軟件定義網(wǎng)絡(luò)（SDN）時(shí)，控制器也成為數(shù)據(jù)中心管理的重要組成部分。用戶虛擬機(jī)運(yùn)行在Hypervisor之上，并連接到虛擬網(wǎng)絡(luò)。為了實(shí)現(xiàn)有效的網(wǎng)絡(luò)安全服務(wù)，必須在數(shù)據(jù)中心部署安全服務(wù)的控制平面、服務(wù)平面和引流平面?？刂破矫婧蛿?shù)據(jù)中心管理平臺(tái)可以進(jìn)行信息的交互和共享，并提供配置服務(wù)平臺(tái)的功能。安全服務(wù)的功能分散在各個(gè)物理機(jī)上，模塊之間通過(guò)通信實(shí)現(xiàn)協(xié)同工作。最后，安全服務(wù)設(shè)計(jì)需要提供具有自適應(yīng)能力的服務(wù)。由于數(shù)據(jù)中心環(huán)境的復(fù)雜性和動(dòng)態(tài)變化性，安全服務(wù)需要具備自適應(yīng)能力，能夠根據(jù)實(shí)際情況進(jìn)行安全策略的調(diào)整和優(yōu)化。這可以通過(guò)監(jiān)控和分析網(wǎng)絡(luò)流量、實(shí)時(shí)威脅情報(bào)和自動(dòng)化響應(yīng)等手段來(lái)實(shí)現(xiàn)[6]。

四、系統(tǒng)架構(gòu)可提供的服務(wù)

（一）流量可視化

網(wǎng)絡(luò)中用戶虛擬機(jī)的流量相關(guān)數(shù)據(jù)可以有效反映在安全服務(wù)的虛擬機(jī)上，從而實(shí)現(xiàn)對(duì)虛擬機(jī)上流量的控制。通過(guò)控制平面，管理員可以了解流量的具體情況，并采用分布式的安全虛擬架構(gòu)。這種架構(gòu)方式有兩個(gè)優(yōu)勢(shì)。首先，分布式安全虛擬架構(gòu)可以對(duì)數(shù)據(jù)進(jìn)行細(xì)粒度的控制，確保流量的精細(xì)保護(hù)。通過(guò)網(wǎng)絡(luò)安全模塊，可以檢測(cè)虛擬機(jī)上任意一個(gè)端口上的用戶流量。流量監(jiān)控系統(tǒng)能夠全面反映和監(jiān)測(cè)虛擬環(huán)境中的所有業(yè)務(wù)數(shù)據(jù)，實(shí)現(xiàn)對(duì)流量的詳細(xì)監(jiān)控。其次，分布式安全虛擬架構(gòu)具有全局統(tǒng)一性。通過(guò)控制平面，可以監(jiān)測(cè)到每個(gè)虛擬機(jī)模塊的局部流量，實(shí)現(xiàn)數(shù)據(jù)中心安全的全局控制。這為數(shù)據(jù)中心的可靠運(yùn)行提供了支持，并為管理員的安全維護(hù)提供了有效的數(shù)據(jù)支持。

（二）微隔離功能

微隔離功能可以在虛擬網(wǎng)絡(luò)中對(duì)特定用戶實(shí)現(xiàn)針對(duì)性的安全監(jiān)測(cè)。當(dāng)安全管理員在同一個(gè)虛擬網(wǎng)絡(luò)中的任何虛擬機(jī)上發(fā)現(xiàn)攻擊時(shí)，可以立即采用微隔離技術(shù)將受到攻擊的部分進(jìn)行隔離，并對(duì)其進(jìn)行安全監(jiān)測(cè)，有效遏制對(duì)內(nèi)部的深入攻擊。這種隔離方式避免了對(duì)整個(gè)虛擬網(wǎng)絡(luò)的隔離，降低了控制成本，提高了檢測(cè)效率，從而實(shí)現(xiàn)了安全控制的目標(biāo)。分布式的網(wǎng)絡(luò)安全架構(gòu)能夠?qū)μ摂M網(wǎng)絡(luò)中的任何用戶虛擬機(jī)實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)，對(duì)任意一個(gè)端口都可以實(shí)現(xiàn)微隔離控制，確保虛擬網(wǎng)絡(luò)的安全控制達(dá)到標(biāo)準(zhǔn)要求。微隔離控制的粒度可以從虛擬機(jī)端口擴(kuò)散到所有用戶虛擬機(jī)，通過(guò)充分發(fā)揮控制平面的安全控制策略功能，可以實(shí)現(xiàn)對(duì)任意端口的網(wǎng)絡(luò)用戶行為監(jiān)測(cè)，也可以針對(duì)個(gè)別用戶的業(yè)務(wù)行為進(jìn)行安全配置，有效提升整個(gè)虛擬網(wǎng)絡(luò)的安全性[7]。

（三）業(yè)務(wù)遷移

在數(shù)據(jù)安全控制中，可以利用安全控制平面對(duì)虛擬網(wǎng)絡(luò)中的任何事件進(jìn)行遷移，實(shí)現(xiàn)安全定位和針對(duì)性的遷移操作。通過(guò)遷移，可以將虛擬機(jī)的安全狀態(tài)轉(zhuǎn)移至其他目標(biāo)，以實(shí)現(xiàn)安全狀態(tài)的轉(zhuǎn)移和保護(hù)。在完成虛擬機(jī)遷移后，安全狀態(tài)也會(huì)相應(yīng)完成遷移，而用戶的虛擬機(jī)業(yè)務(wù)不會(huì)中斷，保障其正常運(yùn)行。

（四）全網(wǎng)行為分析

全網(wǎng)行為分析是將各個(gè)模塊監(jiān)測(cè)到的流量數(shù)據(jù)、業(yè)務(wù)相關(guān)數(shù)據(jù)以及攻擊事件出現(xiàn)頻次等進(jìn)行匯總和分析的過(guò)程。通過(guò)將數(shù)據(jù)匯集到一個(gè)控制點(diǎn)，可以對(duì)特定虛擬機(jī)進(jìn)行有效的數(shù)據(jù)分析。這可以是對(duì)單個(gè)虛擬機(jī)的分析，也可以是對(duì)整個(gè)集群的分析，甚至可以進(jìn)行對(duì)某一端口、網(wǎng)絡(luò)或用戶行為的全面分析。過(guò)全網(wǎng)行為分析，站在數(shù)據(jù)中心的全面、系統(tǒng)的角度，可以對(duì)虛擬網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行有效的分析。這種分析可以識(shí)別潛在的安全威脅，包括異常流量、異常訪問(wèn)、攻擊行為等，并采取相應(yīng)的安全措施進(jìn)行防御和保護(hù)。全網(wǎng)行為分析能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為模式，并及時(shí)響應(yīng)和處理，以確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

五、云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用實(shí)例

（一）VMware數(shù)據(jù)中心

在VMware數(shù)據(jù)中心的網(wǎng)絡(luò)安全服務(wù)架構(gòu)中，實(shí)現(xiàn)了Vcenter和安全服務(wù)控制平面之間的統(tǒng)一協(xié)調(diào)管理，同時(shí)涵蓋了Vcenter、安全服務(wù)控制平面、服務(wù)器集群等組件。這些組件共同構(gòu)成了整個(gè)架構(gòu)的應(yīng)用范疇。網(wǎng)絡(luò)安全服務(wù)架構(gòu)支持ESXi Hypervisor，并以虛擬交換機(jī)引流為基礎(chǔ)，提供從第二層到第七層的安全服務(wù)。

（二）OpenStack數(shù)據(jù)中心

對(duì)于該架構(gòu)，主要的構(gòu)成包括安全服務(wù)控制平面、安全服務(wù)平面和OpenStack。其中，OpenStack具有捕捉和獲取用戶網(wǎng)絡(luò)信息的功能，并能夠進(jìn)行科學(xué)有效的管理。在實(shí)際應(yīng)用中，通過(guò)利用OpenSwitch實(shí)現(xiàn)引流動(dòng)作，可以有效地實(shí)現(xiàn)多租戶場(chǎng)景的支持和在線部署。

（三）自主開發(fā)云平臺(tái)

自主開發(fā)云平臺(tái)包括管理平臺(tái)、安全服務(wù)控制平臺(tái)、SDN控制器、物理服務(wù)器集群和安全服務(wù)平面等組件。這些部分通過(guò)API的支持相互協(xié)作，進(jìn)行用戶信息的收集、整理、分析和管理，并監(jiān)督整個(gè)過(guò)程。在這個(gè)架構(gòu)中，通過(guò)API的支持，各組件可以協(xié)同工作，實(shí)現(xiàn)對(duì)用戶信息和平臺(tái)運(yùn)行狀態(tài)的全面監(jiān)督和管理。收集的信息可以進(jìn)行分析，及時(shí)發(fā)現(xiàn)潛在的安全威脅或異常行為。此外，利用控制器的功能，可以實(shí)現(xiàn)鏡像引流的目標(biāo)，把攻擊流量引導(dǎo)到安全設(shè)施進(jìn)行分析和隔離，從而降低安全風(fēng)險(xiǎn)。當(dāng)虛擬機(jī)的攻擊行為被檢測(cè)到時(shí)，平臺(tái)能夠迅速采取隔離措施，以提高平臺(tái)運(yùn)行的安全可靠性。

六、結(jié)束語(yǔ)

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展與成熟，云計(jì)算為廣大用戶帶來(lái)了極大的便利。然而，網(wǎng)絡(luò)信息安全問(wèn)題一直備受關(guān)注。正是基于這一點(diǎn)，云數(shù)據(jù)中心網(wǎng)絡(luò)安全具有很大的推廣潛力，并逐漸成為網(wǎng)絡(luò)信息安全管理的重要途徑。它不僅能夠加強(qiáng)對(duì)網(wǎng)絡(luò)信息的安全保護(hù)，還能推動(dòng)信息的動(dòng)態(tài)遷移，促進(jìn)我國(guó)云數(shù)據(jù)相關(guān)技術(shù)的蓬勃發(fā)展。

作者單位：周魯 王鵬 數(shù)字絲路新疆產(chǎn)業(yè)投資集團(tuán)有限公司

參? 考? 文? 獻(xiàn)

[1]張曄，尚進(jìn)，蔣東毅.云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)的研究與實(shí)踐[J].信息網(wǎng)絡(luò)安全， 2016（9）：98-103.

[2]蔣飄蓬，于德海，王紅麗. 基于云計(jì)算的數(shù)據(jù)中心服務(wù)架構(gòu)研究與實(shí)踐[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)版， 2017，13（8）：96-97.

[3]許鵬，張桂玉，馬季春，等.云化時(shí)代運(yùn)營(yíng)商數(shù)據(jù)中心業(yè)務(wù)及網(wǎng)絡(luò)演進(jìn)研究[J].郵電設(shè)計(jì)技術(shù)， 2021（6）：52-58.

[4]方祥毅，張永嘉.大數(shù)據(jù)背景下軟件定義安全的服務(wù)架構(gòu)研究與分析[J].數(shù)碼世界， 2018（11）：108-109.

[5]陳鵬州.對(duì)云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2018（8）：64，74.

[6]冼學(xué)輝，熊偉.基于超融合技術(shù)的高校數(shù)據(jù)中心設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)教育信息化， 2020（15）：80-82.

[7]耿延軍，王俊，周紅亮.云數(shù)據(jù)中心網(wǎng)絡(luò)縱深防御研究[J].信息安全與通信保密， 2019（7）：22-29.