徐佳曦

（上海郵電設計咨詢研究院有限公司，上海 200000）

近年來，隨著網(wǎng)絡安全和云計算迅猛發(fā)展，我國的云安全領域市場呈現(xiàn)出迅猛的增長態(tài)勢。相關資料表明，近三年，我國云安全市場的提升速度在40%以上，其中2021年，云安全在市場中創(chuàng)造出了接近118億元的份額。到了2022年，云安全的整體份額達到了173億元以上，增長近50%。云安全市場規(guī)模之所以擴大這么快，離不開相關政策的扶持[1]。網(wǎng)絡安全領域前進的基礎動力就是政策合規(guī)，伴隨國際局勢的風云變幻，網(wǎng)絡安全成為國家安全戰(zhàn)略的一部分，各國分別頒布了大量與網(wǎng)絡安全有關的法規(guī)與政策。2021年美國出臺了《關于優(yōu)化國家網(wǎng)絡安全的政府指令》，中國推出了《數(shù)據(jù)安全法》以及《網(wǎng)絡安全法》等。

1 云數(shù)據(jù)中心網(wǎng)絡安全服務架構面臨的風險

1.1 物理網(wǎng)絡安全風險

在物理網(wǎng)絡中，最基本的安全問題之一是面臨DDoS攻擊。DDoS攻擊在網(wǎng)絡運行期間對其造成嚴重威脅。特別是在云計算環(huán)境中，出于應對DDoS攻擊的考慮，云服務器往往會受到一定的限制，導致云服務器在極短的時間內會接收到大量的DDoS請求。因此，服務器因為過載而導致系統(tǒng)崩潰，從而干擾到正常的訪問請求。不法分子專門利用DDoS攻擊手段，對網(wǎng)絡設備進行監(jiān)聽，或者盜取與用戶相關的核心數(shù)據(jù)，該惡意行為極大地威脅著網(wǎng)絡安全，并且嚴重削弱了用戶數(shù)據(jù)的保護[2]。

1.2 虛擬網(wǎng)絡安全風險

為了提高網(wǎng)絡的安全性，云計算數(shù)據(jù)中心采用了最初的網(wǎng)絡安全措施，并設置了防火墻。然而，在虛擬網(wǎng)絡環(huán)境下，僅依賴有限的數(shù)據(jù)保護措施無法確保網(wǎng)絡數(shù)據(jù)的安全，更談不上構建強大的網(wǎng)絡安全體系。在云計算條件下，用戶可以根據(jù)自身需求向服務器發(fā)送訪問請求，以獲取相關資源。此外，使用單個物理主機即可同時運行多個虛擬服務設備，提供了靈活性和效率。然而，即使在網(wǎng)絡環(huán)境下，仍然存在許多無法監(jiān)控到的潛在威脅，因此從安全性的角度來看，信息的保護程度遠遠不夠高效和合理，使得網(wǎng)絡在任何時刻都面臨著遭受攻擊和侵害的風險[3]。

1.3 虛擬交換層安全風險

在數(shù)據(jù)中心采用虛擬化技術進行配置后，網(wǎng)絡的邊緣區(qū)域呈現(xiàn)出動態(tài)性的變化，對于確保網(wǎng)絡的安全性提出了更高的要求，因此我們不得不完全依賴網(wǎng)絡安全系統(tǒng)。此外，在網(wǎng)絡安全策略和流量感知性能方面也會提出更高的要求。對于數(shù)據(jù)中心而言，引入虛擬交換技術會導致全新且獨特的網(wǎng)絡層次的形成。正如虛擬交換層的引入，網(wǎng)絡管理的邊界和功能在判斷上變得更加復雜，使得網(wǎng)絡系統(tǒng)更難以感知虛擬服務器的存在[4]。虛擬區(qū)域與數(shù)據(jù)中心之間的聯(lián)系變得不可分割。該點在網(wǎng)絡系統(tǒng)中尤為重要，因為虛擬化技術的應用使得網(wǎng)絡管理的挑戰(zhàn)更加復雜，但也提供了更高的靈活性和效率。

2 云數(shù)據(jù)中心網(wǎng)絡安全服務架構

2.1 安全服務控制模塊

安全服務控制平臺負責作為服務平臺的外部接口，向北提供服務，進行業(yè)務編排，進行整個生命周期的管理，并負責引流下發(fā)和決策，同時也負責安全策略的下發(fā)和配置。在數(shù)據(jù)中心的核心控制平臺中，業(yè)務編排設備能夠根據(jù)用戶的實際業(yè)務需求，通過使用安全服務控制平臺的北向接口（NBI）來進行安全服務的配置。生命周期控制模塊位于控制平臺中，通過調用數(shù)據(jù)中心控制平臺的API來控制服務構件的啟動和停止。此外，安全服務能夠從數(shù)據(jù)中心收集實時信息，包括用戶資產(chǎn)的配置信息，例如虛擬網(wǎng)絡和虛擬機。管理員通過安全控制界面來管理此類安全服務。操縱平面能夠在物理機或虛擬機上運行，并支持多機部署模式，以滿足容量擴展和高可用性的要求。

2.2 安全服務功能模塊

分散式服務構件構成了安全服務平面。根據(jù)用戶的具體需求，在單臺物理機上，能夠安裝一臺或多臺安全服務構件。此類安全服務構件有兩種實現(xiàn)方式，一種是虛擬機，另一種是虛擬化管理軟件。如果選擇虛擬機作為服務構件，那么可以在虛擬機中集成更復雜的性能，同時利用網(wǎng)絡層面擴展并集成更多的服務構件，從而創(chuàng)建一個龐大的服務鏈。此外，虛擬機還有一個顯著的特點，即選擇虛擬機模式后，不再需要特定的虛擬化管理軟件。同一種安全服務虛擬機可以在大多數(shù)數(shù)據(jù)中心和多數(shù)虛擬化管理軟件上運行，而且無需對虛擬機進行任何修改，虛擬機不僅豐富了其運行方式，還優(yōu)化了運行流程。通常情況下，大多數(shù)虛擬機在運行時都包含擴展服務和安全服務。

2.3 引流技術模塊

針對在虛擬化監(jiān)控程序中運行的安全服務組件來說，能夠直接通過虛擬化監(jiān)控程序實現(xiàn)數(shù)據(jù)引流效果。而在虛擬機中的安全組件，則必須依賴外部的引流機制，才能實現(xiàn)用戶虛擬機到服務組件的數(shù)據(jù)引流效果。

（1）虛擬化監(jiān)控程序API：如果虛擬化監(jiān)控程序提供了直接從端口到端口的引流API，選擇API將確保效率最大化。然而，API必須與虛擬化監(jiān)控程序綁定在一起，才能實現(xiàn)直接調用。

（2）中央用戶虛擬交換機API：從用戶虛擬機到安全服務的數(shù)據(jù)引流過程可以利用中央用戶虛擬交換機的基本設置來實現(xiàn)，而無需特殊支持虛擬化監(jiān)控程序。因此，大多數(shù)數(shù)據(jù)中心采用該方法。

（3）軟件定義網(wǎng)絡API：在構建虛擬網(wǎng)絡時，如果選擇了軟件定義網(wǎng)絡（SDN），則數(shù)據(jù)引流需要通過調用SDN控制設備的API來實現(xiàn)。對于不同類型的SDN，只需要適配API即可實現(xiàn)相應功能。安全策略控制組件可以根據(jù)安全策略進行相關設置，并確定數(shù)據(jù)引流需求，還可以利用調用SDN控制設備的API來實現(xiàn)流量引導。在充分了解了以上三種數(shù)據(jù)引流方法后，如果以適用性為主要選擇依據(jù)，只有第一種方法無法高效地滿足需求，而后兩種方法則能夠更高效地滿足安全服務的配置需求。

2.4 安全保障模塊

該模塊的構建涉及到數(shù)據(jù)中樞內的虛擬網(wǎng)絡和虛擬機。從邏輯上看，此類部署必須與其他用戶資源明顯區(qū)分，以確保其他用戶不會對安全服務造成干擾。選擇使用加密通道來進行安全服務虛擬機之間的通信，以確保操縱和配置的保密性。自主恢復、錯誤自檢以及高可用性部署均確保了安全服務的高效性。允許多類別的數(shù)據(jù)中樞：可以在SDN或虛擬機上運行安全服務，以確保安全服務不會與任何虛擬化管理軟件或管理平臺綁定，從而實現(xiàn)在多種形態(tài)的數(shù)據(jù)中心進行部署。開放接口和綜合管理：操作平面為管理員提供了一個全面控制安全服務組件的接口。

3 云數(shù)據(jù)中心網(wǎng)絡安全服務架構的防范策略

3.1 拓展數(shù)據(jù)中心安全系統(tǒng)功能

為了增強數(shù)據(jù)中心的安全性，可以采用密鑰控管模式。為了防止數(shù)據(jù)中心被違規(guī)用戶登錄、瀏覽，甚至是竊取破壞，需要對數(shù)據(jù)中心配備密鑰。此措施與計算機防火墻技術相近，就是把非法訪問的用戶完全隔離在網(wǎng)絡之外，阻斷其登錄請求，同時在網(wǎng)絡平臺訪問設定上，也要完成相關身份鑒別，確保用戶在進入數(shù)據(jù)中心后，能夠在平臺的引導下訪問那些開放授權的數(shù)據(jù)，不能讓用戶無限制地瀏覽所有數(shù)據(jù)，因為其中包括很多與用戶沒有太大關聯(lián)，但卻非常重要的信息。而且當下的網(wǎng)絡環(huán)境非常開放，借助這種密鑰手段，能夠實現(xiàn)對訪問用戶的高效控制，極大地提升數(shù)據(jù)中心的安全性。密鑰技術最核心的手段就是密鑰控制，給每個用戶都配置一把專屬的密鑰，同時密鑰要具備充足的“長度”，以此來增加攻擊者的攻破難度，進而增加數(shù)據(jù)中心的風險防范能力。

3.2 完善身份認證管理體系

要想完善該體系，就需要用到網(wǎng)絡申請控制技術，即網(wǎng)絡權限技術。基于網(wǎng)絡安全防御系統(tǒng)，維護網(wǎng)絡運行安全的關鍵措施就是應用申請控制技術，把沒有訪問權限的全部用戶隔離在系統(tǒng)之外，確保這些“黑戶”不能訪問網(wǎng)絡平臺。此外，除了依賴用戶權限設置外，還需要借助互聯(lián)網(wǎng)申請限定技術，以實現(xiàn)對用戶登錄的高效合理控制。該技術作為最外層的控制機制，必須確保用戶只能夠訪問規(guī)定的網(wǎng)絡平臺，并對其瀏覽和下載相關信息資源的時間進行規(guī)范限制。不能允許用戶在平臺內無限制滯留，而是要確保每次上網(wǎng)都有特定的時長限制。

3.3 強化數(shù)據(jù)安全管理，深度加密

云網(wǎng)絡中最容易受到攻擊的便是云計算數(shù)據(jù)。數(shù)據(jù)中心存儲了大量非常有價值的信息，為了防止信息被攻擊，就必須提升網(wǎng)絡安全存儲技術，具體的措施是，對數(shù)據(jù)隔離區(qū)域以及數(shù)據(jù)存儲部位等都必須進行完善的配置，以防止數(shù)據(jù)遭受毀壞。為了完成對云計算數(shù)據(jù)的高效保障，需要選擇獨立隔離的模式。這就要求云計算數(shù)據(jù)控管平臺，在保證數(shù)據(jù)資源共享的前提下，還要優(yōu)化數(shù)據(jù)加密技術，進而完成對訪問對象的合理把控。除此之外，還要加強對網(wǎng)絡安全保護的重視，以保證系統(tǒng)可以順暢運作。同時還要將關鍵的數(shù)據(jù)信息進行備份，完善安全存儲措施，進而確保所有數(shù)據(jù)信息都處于完整、安全的狀態(tài)。

3.4 優(yōu)化云數(shù)據(jù)中心安全架構算法

確保云計算擁有安全的核心架構，才能確保云數(shù)據(jù)系統(tǒng)的安全。因此在架構中，必須合理應用這些技術。第一，虛擬化技術。其作用是通過虛擬化，把物理資源轉變?yōu)槿舾商摂M資源，進而完成資源的利用與共享。虛擬化技術能夠增加云數(shù)據(jù)中心的可拓張性與靈活性，還能夠增加系統(tǒng)整體的安全性。第二，授權與安全認證技術。其作用是依靠訪問授權與身份認證來確保云數(shù)據(jù)中心的安全。通過合理應用該技術，能夠在很大程度上攔截住非法訪問的用戶。第三，審計與安全監(jiān)控技術。其能夠對云數(shù)據(jù)中心進行審計與實時性的監(jiān)控，進而能夠在第一時間找出并解決安全問題。

3.5 以風險控制為導向優(yōu)化云端安全節(jié)點

第一，封閉用戶使用不到的端口與服務。因為服務器系統(tǒng)在組裝期間會運行一些沒有用的服務，這會極大地增加了系統(tǒng)的安全隱患，同時也占用了系統(tǒng)的有效資源空間。因此，對于不需要的服務器，要進行全面封閉。第二，配置防火墻。當下有非常多的以軟件或是硬件為核心的防火墻，對云端安全節(jié)點來說，裝配防火墻能夠有效提升云端安全性，合理地規(guī)避可能出現(xiàn)的風險。不過配置防火墻后，還要對防火墻進行設定，要結合實際的網(wǎng)絡環(huán)境和用戶的相關需求，選擇最適當?shù)膮?shù)或規(guī)范，如此一來，才能使防火墻發(fā)揮出應有的功效，并且也增強了云端節(jié)點抵御風險的能力。

4 結束語

為應對云數(shù)據(jù)中心網(wǎng)絡安全風險，提出了一個綜合的網(wǎng)絡安全服務架構，包括安全服務控制模塊、安全服務功能模塊、引流技術模塊和安全保障模塊。此外，還提出了一系列防范策略，如拓展數(shù)據(jù)中心安全系統(tǒng)功能、完善身份認證管理體系、強化數(shù)據(jù)安全管理與深度加密、優(yōu)化云數(shù)據(jù)中心安全架構算法以及以風險控制為導向優(yōu)化云端安全節(jié)點等。未來，云數(shù)據(jù)中心網(wǎng)絡安全仍然是一個充滿挑戰(zhàn)但充滿潛力的領域。隨著云計算技術的不斷發(fā)展和廣泛應用，網(wǎng)絡攻擊威脅也在不斷演化，因此需要持續(xù)改進和升級網(wǎng)絡安全服務架構和防范機制，進一步提高網(wǎng)絡安全的自動化和智能化水平，以及深入研究新興技術如人工智能和區(qū)塊鏈在云數(shù)據(jù)中心網(wǎng)絡安全中的應用。■