云計算的數據中心安全建設淺析

導語：云計算的數據中心安全建設淺析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：數據中心建設的安全直接關系到業務運行的連續性，本文通過分析數據中心建設中存在的安全問題，從技術角度提出了一種數據中心安全的建設思路，從分區規劃和分層部署、安全交換平臺和網絡隔離等方面進行闡述，為云計算數據中心建設提供安全支持。

關鍵詞：云計算數據中心；虛擬化技術；安全交換

隨著人工智能和大數據的飛速發展，個人和企業的數據越來越多地放在云端，云端可以自建也可以托管，托管有其便利性、不需專人維護等優點，但也存在信息泄露、強依賴性等隱患。特別是對于數據中心建設已有一定積累、擁有一支穩定的運維隊伍、或是對數據保密性有一定要求的機構，充分利用已有的設施，采用云計算技術擴展和補充數據中心仍然不失為一種好的選擇。處于大數據時代的今天，數據中心的重要性愈發凸顯，數據中心建設的安全性直接關系到機構業務運行的連續性。

1數據中心存在的安全隱患

傳統數據中心采用頭痛醫頭、腳痛醫腳的做法不斷擴充應用系統和數據，使應用系統產生大量漏洞，一旦出現安全問題又難以快速完成資源配置和有效部署，主要原因有四。一是系統異構，數據交換不暢。由于缺乏頂層設計，各業務系統獨享服務器資源，設備投入大，但非高峰的大部分時間內，設備基本處于空閑狀態，資源沒有得到充分利用，虛擬機的部署規模受到限制，造成網絡隔離能力受限，一旦爆發網絡病毒，容易出現全網癱瘓。二是能耗高。不斷增加的設備造成中心機房擁擠不堪，能耗成本更是居高不下，供電系統設計沒法及時調整，虛擬機遷移受限，設備安全隱患難以避免。三是管理成本高，運維壓力大[1]。機房設備越來越多，運維復雜度不斷增加；數據訪問量大增，管理工作量和難度也大幅提升，管理人員的操作失誤概率大增。四是機構重視內外數據流量和云上邊界的安全防護，忽視了從內部發起的、更隱蔽的攻擊。這四個方面的問題都給數據中心帶來了極大的安全隱患。

2基于云計算的數據中心安全建設

基于云計算的數據中心安全要進行頂層設計，考慮用戶實際需求、云計算的特性和云計算生命周期的安全機制[2]確定系統的整體部署。它包括軟硬件的配置和各類人員的安全操作，涉及許多不斷發展的技術。這里主要從分區規劃和分層管理、安全交換平臺和網絡隔離三方面進行介紹。2.1分區規劃、分層部署。[3-4]（1）分區規劃分區規劃，就是通過細分，面向不同的需求實現安全保護。由于網絡中的業務單元在功能、重要性、用戶對象、訪問量、受攻擊程度等方面存在差異，因此，制定安全策略的依據主要在業務需求、數據流、應用的邏輯功能、業務系統安全等級等方面，在構建數據中心時將網絡劃分為不同區域，便于實現差異性維護管理，提高運維效率，實現安全隔離和訪問控制。一般情況下，可以劃分為以下區域：外聯區、業務區、服務器區、核心匯聚區、終端接入區、數據存儲區、容災備份區、數據中心統一運維區。可以根據不同的機構、不同的業務模式，分區可以適當增刪或合并。設計數據中心安全方案整體規劃，不同的分區承擔不同的職責，針對不同區域制定不同的方案，共同實現數據中心的整體安全防護體系。（2）分層部署數據中心是機構網絡的核心匯聚區，前面劃分的區域邊界處的安全直接對數據中心產生安全威脅，邊界處的威脅主要有軟硬件漏洞攻擊、網絡病毒、木馬植入、黑客入侵、信息泄露等，較有效的抵御方法是在有效分區基礎上分層部署。依據整體安全防護部署要求，在不同的區域邊界處進行相應的安全需求部署，綜合應用異構多重防火墻、VPN、入侵檢測以及負載均衡等技術，共同實現網絡安全融合。2.2構建安全的交換平臺。（1）數據交換平臺由于傳統數據中心里部署的業務系統大都分批分散建設，相互之間的技術架構和開發平臺差異較大，數據異構，處理方式各異，形成各應用系統相對獨立的“孤島”，造成數據的不一致性。隨著業務系統的增加和邊界接入網絡的擴大，內外網數據面臨著各種攻擊，出現諸多風險，同時也面臨運管維護等安全管理問題。數據交換平臺通過數據的抽取、集中、加載、轉換、展現，可以將分散建設的業務系統進行整合，構造統一的數據處理和交換平臺，保證分布異構系統之間互聯互通[5]。具體可以采用以下方式：構建統一身份認證平臺，統一標識體系，對不同業務系統登錄數據進行采集、轉換，建立云環境下的跨域單點登錄系統[6]、真實源地址驗證的安全可信網絡，統一登錄、身份認證、解決跨系統信息交換的身份識別問題，并通過角色和權限的關聯實現數據共享融合和安全交互。（2）設備間的統一交換傳統的數據中心網絡架構不一，可能還存在多個獨立運行的網絡，加之設備的功能獨立性，連接、配置處理需要大量的線纜，使得數據中心的綜合布線量大、復雜，造成高能耗、高運維成本、高安全隱患。在設計時，應從兼容性和擴展性方面考慮網絡安全融合方案，配置多協議的網絡交換機、將獨立設備組網簡化為網絡安全的集成業務，大大簡化設計和優化管理，通過多種機制來保證數據傳輸的高效和可靠，真正實現數據中心數據的統一交換。2.3網絡隔離。虛擬化技術是云計算數據中心的關鍵技術。它實現了物理資源的邏輯抽象和統一表示，提高了資源利用率，方便了大規模部署。但這種服務模式打破了傳統網絡邊界的劃分方式，被隱藏的底層訪問細節、用戶與底層物理環境細節脫離的虛擬化結構，造成訪問控制復雜，安全邊界模糊，角色權限關系復雜，對使用者的身份、權限的鑒別、控制與審計變得更加困難，給傳統的安全邊界帶來了巨大的安全風險[7]。在虛擬化網絡中需要更細粒度的隔離，做到每一個虛擬機和外部網絡或內部其他虛擬機之間通信的精細監控，可以借助VPN為遠程用戶訪問提供有效的數據隔離，而VLAN也是云計算中常用的措施，用于實現安全域的網絡隔離。虛擬化環境中按照業務功能、用戶權限、內外網南北東西數據流量、安全防護等級等不同數據需要隔離，可以結合前面介紹的分區分層配置虛擬防火墻，按照業務將防火墻劃分成多個安全域。比如在服務器區域通過旁路部署將需要進行安全檢測的流量引導到防火墻上進行處理，再根據應用的隔離互訪要求，實現域間安全控制。在虛擬管理器內部，通過相同物理網絡通信引起數據的匯合，由此造成的安全隱患，可以采用不同交換機實現隔離。同時應保證不同交換機之間嚴格避免通過虛擬機或者其他措施進行橋接。VPN則將單位地處不同位置的設備實現安全通信，它在公共網絡中通過防火墻構建一個安全穩定的專用虛擬邏輯網絡，支持單位移動用戶的遠程訪問，結合用戶身份認證與訪問控制技術，采用角色和權限關聯，對用戶和權限進行分類和隔離，為用戶提供有效的數據隔離。安全域的網絡隔離常用的措施是VLAN隔離。VLAN隔離在云計算中也被大量采用，可以結合虛擬防火墻、虛擬交換機實現虛擬交換隔離[8]。防火墻和交換機可以采用靜、動態路由相結合的方式，為不同區域提供細粒度的安全策略和針對性的物理隔離，主動監控網絡行為，阻斷各類攻擊性的網絡異常流量。同時將多臺交換機虛擬成一臺交換機，簡化網絡拓撲結構，減少故障結點，有利于展開更具有針對性的安全保護部署。反之，也可以將一臺安全設備虛擬成多臺安全設備，分配給不同應用系統使用，進行自主化管理，策略按需設置，實現應用系統之間的安全隔離。

3結束語

數據中心安全的建設伴隨著應用和技術的發展而發展，它是一個綜合化的整體系統，需要兼顧已有的設施，全局的統籌部署，各組件的協同工作，多種技術的統合應用。本文分析了其中的安全隱患，從技術角度，包括分區規劃和分層部署、安全交換平臺和網絡隔離三個方面，提出了一些建設思路。在安全問題上，除了要密切關注技術發展外，更重要的是需要主動積極應對，加強管理，密切關注數據生命周期的用戶行為，切實打造高效安全的數據中心。

參考文獻：

[1]王瑛杰.安全可靠的大二層數據中心設計[J].內江師范學院學報，2017.

[2]陳萱華，林淑玲.基于生命周期的云計算安全機制探討[J].公安海警學院學報，2015.

[3]毛睿，車永茂，謝世春.蘇北人民醫院信息安全等級保護之數據中心安全規劃設計[J].電腦知識與技術，2017.

[4]劉曉軍.云環境下數據中心網絡安全部署[J].中國管理信息化，2016.

[5]溫斌，周艽，陳懷楚，等.安全可信的醫院數據交換平臺的設計與實現[J].中國數字醫學，2015.

[6]陳萱華，林淑玲，楊玲.云環境下跨域單點登錄解決方案[J].現代電子技術，2015.

[7]嚴文濤，王瑋，蘇琦，等.云計算數據中心虛擬化安全技術研究與分析[J].電子技術應用，2016

[8]朱雙華．基于虛擬化的大規模試驗環境構建技術研究[D]．南京：東南大學，2015.

作者:陳萱華 單位:武警海警學院電子技術系