云安全防護技術在企業數據中心的運用

時間:2022-05-27 08:34:38

導語:云安全防護技術在企業數據中心的運用一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

云安全防護技術在企業數據中心的運用

摘要:近年來,隨著大數據技術與云計算技術的大范圍推廣應用,部分企業已經建立了常規數據中心與虛擬化數據中心,并且隨著數據中心云平臺的搭建,數據中心的云端化與虛擬程度越來越高。因此,需要根據當前的實際情況,增強對云安全防護技術的運用,保障企業數據中心安全。本文概述了企業數據中心安全防護,剖析了云安全防護技術在企業數據中心的應用作用。并以此為基礎,分別從應用思路、操作系統、防護平臺、功能及技術方面,對其具體運用進行了討論。

關鍵詞:云安全;防護技術;企業數據中心;運用

自從進入工業4.0時代,企業通過對信息技術與通信技術的融合應用普遍建立了數據中心,旨在通過數據化管理,提升企業生產經營管理效率。但是,在量子計算機尚未全面普遍應用之前,數據中心的安全問題仍不能獲得徹底解決。當企業數據中心受到病毒傳播、木馬入侵、非授權登錄之后,不僅會給企業數據中心的數據造成損壞,而且此類數據會被惡意篡改、遠程控制,并給企業造成難以估量的損失。

1.企業數據中心安全防護現狀

當前,企業建立了數據中心并結合數據中心的安全管理需求,配套設置了相關安全管理措施。從實踐經驗看,主要集中在選擇安全性較大的網絡結構、數據中心安全管理措施、數據中心系統保護三個方面。其中網絡結構的選擇重點集中在對臨時VPN通道的搭建方面;數據中心安全管理措施方面,則以常規的安全防護為主,包括了基本的設備安全管理、硬件安全維護、日常殺毒等;數據中心系統安全防護則結合數據中心與虛擬化數據中心建設階段的不同,分別選擇了網絡隔離技術、安全設計方案。雖然在防護技術上各類技術均有優勢,但在實際的防護效果方面仍然存在諸多不足。

2.云安全防護技術在企業數據中心的作用

云安全防護技術主要是通過搭建防護資源池的辦法,利用安全設備為企業對該技術的應用系統過濾巨大流量,保障總體安全。該技術的特點集中在彈性防護、精準防護、源站隱藏、DDOS攻擊防護等方面。由于該技術一般由第三方云服務商提供,其應用安全系數相對較大,專業化程度較高,投入成本也比較昂貴[1]。從部分企業應用經驗看,一方面彌補了企業數據中心虛擬化安全防護機制中的不足之處,另一方面能保護企業敏感數據并提高終端安全的細粒度檢測能力,尤其在身份認證與授權機制方面,通過使用云安全防護技術能夠發揮更大作用。

2.1完善虛擬防護機制

企業建立數據中心后,數據處理呈現為虛擬化特征,服務器的利用率相對提高,然而在端口流量增大的情況下,需要更大的承載能力。同時,一臺物理服務器中部署了若干虛擬機之后,安全策略部署會越來越復雜,此時對于異構存儲方面的統一監管難度相對較大,容易發生跨域訪問的情況。另外,某個虛擬機發生安全風險會引起連鎖反應,將風險擴展到其他服務器,大大增加了數據利用風險、安全監管風險,以及數據中心本身的虛擬環境風險。因此,在這種情況下,企業數據中心的各類服務風險會增大。應用云安全服務器后,能夠借助其四大基本特點,完善虛擬防護機制,實現對各類風險的統一防護。

2.2強化敏感數據保護

企業建立數據中心的目標十分明確,旨在提高資源利用率,尤其在敏感數據方面,可以利用強大的編碼、分類、存儲、分析、生成報表、實時利用等標準流程,開發數據價值。但是,此類數據在數據中心的云端服務平臺中,面臨著外部風險與內部泄密的問題,而且此類數據本身與企業管理層的受保護信息關聯,在缺失針對性的敏感數據保護措施下,容易因敏感數據被竊取、篡改、泄漏從而給企業造成不可估量的損失[2]。應用云安全防護技術后,能夠通過云安全管理平臺的部署邏輯,利用安全資源池中的安全識別、安全檢測、安全防護、安全響應的四大模塊,較好地實現對企業數據中心核心交換機進行雙向的智能引流,從而保障對外界互聯網與內部數據中心的隔離防護目標。尤其在細粒度檢測能力方面,可以發揮云安全防護技術中的智能安全分析功能,即開即用,針對各種接入方式實施立體防護。

2.3增強身份認證與授權保護

企業數據中心設置了系統登錄權限,并且通過等級制的身份認證實現授權保護。部分企業的數據中心登錄系統中對于自動退出的功能設置不全,容易發生內部人員非授權登錄的情況。同時,在企業數據中心中,普遍以安全隔離技術的應用為主,沒有針對數據中心的實際需求配套設計安全管理系統。例如,數據中心用戶在未退出登錄系統的情況下,在同一臺計算機中下載網絡資源或者觀看某些不安全網站時,“流氓軟件”“木馬病毒”等會通過黑客攻擊、虛擬機溢出、虛擬機跳躍等不同的方式,滲透到數據平臺之中[3]。另外,當前企業數據中心的運維管理,往往以自主性的維護為主,在虛擬機與硬件隔離的情況下,管理人員往往不太注重監測虛擬機中的風險,將重點放在物理服務器上,會因虛擬服務器穩定性下降后為非授權登錄提供可乘之機。因此需要發揮安全防護技術中使用的安全加密芯片,保護虛擬安全設備資源池中作為宿主機的虛擬服務器安全,從根本上保護登錄系統安全。

3.云安全防護技術在企業數據中心的運用

3.1應用思路

第三方機構為其設計了云端一體化安全防護架構,主要按照移動終端安全操作系統與云安全防護平臺兩大部分,構建了以主體要素層—技術模型層—應用系統層為主的架構。在移動終端安全操作系統方面:(1)主體要素為云計算虛擬化安全防護、敏感數據隱私保護;(2)技術模型方面,包括云計算虛擬化環境安全防護模型、終端APP商店式管理模型。(3)應用系統包括移動終端安全管理平臺、終端威脅可視化管理系統。在云安全防護平臺方面:(1)主體要素為身份認證和授權、終端安全細粒度檢測;(2)技術模型包括終端檢測數據安全防護方法、Android接口與安全操作系統底層服務融合機制;(3)應用系統包括云計算虛擬化環境安全防護系統、云計算威脅可視化管理系統。

3.2操作系統

在OS操作系統方面,則按照內核—硬件抽象層—Android兼容層(系統服務層/基礎類庫)—應用框架層—應用層等基本層構建了“芯片/廠商+開源+自主模塊”自主系統。具體如圖1所示。

3.3防護平臺

在明確了應用思路,完成基礎的操作系統技術方案設計后,根據云安全防護技術應用時的基本邏輯部署云安全防護平臺。首先,第三方機構為其建立安全資源池,劃分出租戶A安全資源、租戶B安全資源、租戶C安全資源。具體包括:(1)在A租戶方面,設置vFW、vWAF、堡壘機、數據庫審計;(2)在B租戶方面,設置vFW、堡壘機、SOC審計、主機EDR;(3)在C租戶方面,設置vFW、vWAF、漏洞掃描、主機EDR。然后在此之上劃分出安全識別、安全檢測、安全防護、安全響應四大模塊。其次,在企業數據中心的云平臺區域,包括了企業云租戶A、B、C資源池中以VPC為主,每個資源池中囊括VM1、VM2、VM3設施,以及虛擬交換機。當云平臺區域的虛擬交換機與接入交換機、核心交換機、互聯網關聯后,數據中心可以利用DDos、FW/LLB與核心交換機、云安全防護平臺的關聯,實現交互式智能引流,從而達到對所有資源的全面過濾。具體如圖2所示。

3.4平臺功能及技術

3.4.1平臺功能在該平臺中預設了“一個平臺、兩個視角、三方能力、四大模塊”功能。首先,通過應用云安全防護技術搭建了云端統一安全防護平臺,能夠借助移動終端安全操作系統與云安全防護平臺兩個視角,為企業提供12種云安全能力。其次,可以利用底層云安全資源池中的安全產品組件歸一化與標準化處理,使云租戶的安全能力,獲得有效提升,達到資源化、服務化、目錄化處理,提高企業各項業務的安全合規性[4]。而且可以將四大模塊統一起來,形成針對企業數據中心的全生命周期云安全管理產品,使云識別—云監測—云防護—云響應發揮出一體化防護功用。尤其是配套應用云安全管家后,有利于達到縱深防護目標。3.4.2平臺技術在云安全防護平臺中,主要技術為即開即用、可視可控、智能分析。在即開即用技術方面,旨在通過對原來安全產品能力的抽象化處理,解耦軟件與硬件后,將軟件核心能力進行打包處理,匹配到數據中心的虛擬化環境之中,從而保障所有數據向彈性安全資源池的匯聚,實現整體上的安全過濾服務。同時,該平臺借助對解耦后的安全能力進行服務化改造,可以深化服務方式,使其轉變為可視經拓撲交互圖,并根據用戶實際運營業務中的安全需求,選擇開通相應的安全產品。例如,圖形安全、音頻安全管理等,只需要開通后即可以實現即開即用目標。在可視可控技術方面,該平臺主要是由第三方提供統一的云安全管理,當第三方提供服務后,企業能夠結合數據中心的可視化屏幕實時地查看其業務安全狀況,包括安全態勢、風險處理、運維狀況等。由于設置了APP商店管理模式,企業所有人圖2企業數據中心云安全管理平臺部署員,只要擁有該款APP即可以通過企業授權登錄,并在業務界面中參與到對相關管理內容的查詢、開通、使用等。在智能分析技術方面,主要是根據平臺中的專家系統,利用人工智能技術開展深度學習,持續增強對數據中心的風險防護等。

結語

在我國各行業高質量發展階段,普遍增強了對數字化技術的運用,隨著云計算的推廣應用,數據中心與虛擬數據中心方面的安全防護需求相對增加。因此,為了滿足該需求,企業有必要增加對云安全防護技術的應用。通過以上初步分析可以看出,云安全防護技術功用較多,可以借助云端一體化與自主化移動終端安全操作系統,提高企業數據中心資源池的安全防護能力。在具體應用時,應結合云端一體化方案研發設計思維,選擇與企業實際建設的數據中心相一致的移動終端安全操作系統技術方案與云安全平臺技術方案,從而保障整個云安全防護技術在有效運用的情況下,為企業數據化的生產經營活動保駕護航。

參考文獻:

[1]宋書文.企業數據中心運維管理系統的應用[J].信息系統工程,2020,14(2):56-57.

[2]黃碩.企業數據中心業務連續性保障體系建設實踐[J].網絡安全技術與應用,2020,10(5):106-108.

[3]田甜.企業數據中心云化轉型的初步探索[J].信息通信,2020,3(7):147-148.

[4]石瑾.思源前沿:五步構建企業數據中心[J].中國總會計師,2020,9(3):18-19.

作者:趙佩詠 單位:武警工程大學