張旭輝

【摘要】 隨著云計(jì)算和虛擬化技術(shù)快速發(fā)展，云數(shù)據(jù)中心面臨更高的安全挑戰(zhàn)。本文首先分析云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全問題，然后提出了云數(shù)據(jù)中心網(wǎng)絡(luò)安全體系架構(gòu)，并給出了云數(shù)據(jù)中心外部網(wǎng)絡(luò)安全防護(hù)的具體辦法和內(nèi)部網(wǎng)絡(luò)安全與隔離技術(shù)。為后續(xù)云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)體系建設(shè)提供參考。

【關(guān)鍵詞】 云計(jì)算 虛擬化 云數(shù)據(jù)中心 隔離

一、引言

數(shù)據(jù)中心的本質(zhì)是為了傳遞、處理和存儲信息，所以數(shù)據(jù)中心必須可靠、安全并能夠根據(jù)需要擴(kuò)容和重新配置。隨著云計(jì)算技術(shù)的產(chǎn)生及應(yīng)用，云數(shù)據(jù)中心已經(jīng)成為企業(yè)信息化的核心，云數(shù)據(jù)中心將計(jì)算和存儲資源從底層基礎(chǔ)設(shè)施中抽象出來，極大增強(qiáng)了資源的共享性和靈活性。但同時云數(shù)據(jù)中心下的網(wǎng)絡(luò)安全問題變得更加突出，除了傳統(tǒng)的主機(jī)安全、網(wǎng)絡(luò)安全外，虛擬化技術(shù)引入對網(wǎng)絡(luò)安全建設(shè)帶來了更高的挑戰(zhàn)。

網(wǎng)絡(luò)是云數(shù)據(jù)中心的基礎(chǔ)，云數(shù)據(jù)中心面臨的網(wǎng)絡(luò)安全威脅包括針對VM（虛擬主機(jī)）和Hypervisor的攻擊、侵入攻擊、拒絕服務(wù)攻擊、DDoS攻擊（分布式拒絕服務(wù)攻擊）、蠕蟲、病毒等。本文分別從網(wǎng)絡(luò)安全架構(gòu)和安全設(shè)備部署方面介紹云數(shù)據(jù)中心的網(wǎng)絡(luò)安全技術(shù)。

二、云數(shù)據(jù)中心網(wǎng)絡(luò)安全挑戰(zhàn)

云數(shù)據(jù)中心與傳統(tǒng)數(shù)據(jù)中心最主要的區(qū)別就是通過虛擬化技術(shù)建立統(tǒng)一的資源池，提高資源使用率、簡化資源配置和管理、發(fā)揮云計(jì)算的靈活性和彈性。目前云數(shù)據(jù)中心面臨的安全問題包括：

出口流量安全：云數(shù)據(jù)中心出口面臨各種侵入攻擊、DoS、DDoS、worm、botnet等攻擊，主要防止網(wǎng)外人員對云數(shù)據(jù)中心進(jìn)行攻擊。

內(nèi)部流量安全：虛擬機(jī)作為云數(shù)據(jù)中心的最小網(wǎng)元、傳統(tǒng)的安全設(shè)備如防火墻、IPS/IDS等無法監(jiān)控到虛擬機(jī)之間的流量，針對VM（虛擬主機(jī)）和Hypervisor的攻擊每天都在發(fā)生。

高性能要求：較傳統(tǒng)網(wǎng)絡(luò)，云數(shù)據(jù)中心的出口流量和內(nèi)部虛擬機(jī)之間的流量加大，安全防護(hù)系統(tǒng)不能成為性能瓶頸。同時云計(jì)算數(shù)據(jù)中心是彈性擴(kuò)容的，安全系統(tǒng)也要支持靈活擴(kuò)展。

三、云數(shù)據(jù)中心網(wǎng)絡(luò)安全體系架構(gòu)

基于云數(shù)據(jù)中心安全現(xiàn)狀分析，云數(shù)據(jù)中心安全防護(hù)需要統(tǒng)籌考慮網(wǎng)路出口、虛擬化層等，從內(nèi)到外進(jìn)行全力位考慮，同時考慮采用高性能、高擴(kuò)展性的安全設(shè)備。云數(shù)據(jù)中心網(wǎng)絡(luò)安全體系架構(gòu)圖如圖l。

云數(shù)據(jù)中心出口核心設(shè)備側(cè)掛防火墻、負(fù)載均衡、IPS/IDS、防病毒網(wǎng)關(guān)、DDoS流量清洗設(shè)備、WEB應(yīng)用防護(hù)等安全設(shè)備。同時要保障用戶訪問數(shù)據(jù)中心過程中的傳輸通道安全，防止信息在傳輸過程中被截取。

對于虛擬化層內(nèi)部安全問題，現(xiàn)在較為成熟的方法是通過虛擬防火墻隔離技術(shù)進(jìn)行內(nèi)部數(shù)據(jù)隔離。通過在虛擬化層部署虛擬防火墻、虛擬負(fù)載均衡軟件、IPS/IDS深度包檢測軟件、防病毒軟件等進(jìn)行安全防護(hù)。

運(yùn)維層面部署虛擬堡壘主機(jī)對運(yùn)維操作進(jìn)行安全審計(jì)和管理。

四、云數(shù)據(jù)中心外部網(wǎng)絡(luò)安全防護(hù)方法

云數(shù)據(jù)中心外部網(wǎng)絡(luò)安全防護(hù)主要是云數(shù)據(jù)中心出口核心交換機(jī)上側(cè)掛安全防護(hù)設(shè)備，對云數(shù)據(jù)中心內(nèi)部數(shù)據(jù)進(jìn)行安全防護(hù)。

防火墻：通過部署單獨(dú)的防火墻設(shè)備，可以實(shí)現(xiàn)邊界安全，包括過濾外界流量、擴(kuò)展協(xié)議支持以及VPN訪問等功能。通過防火墻可以劃分Trust、Untrust、DMZ和Local四個安全區(qū)域，在云數(shù)據(jù)中心出口核心交換機(jī)部署防火墻進(jìn)行網(wǎng)絡(luò)層防御，保證業(yè)務(wù)平臺免受外部網(wǎng)絡(luò)攻擊。

DDoS流量清洗設(shè)備：在云數(shù)據(jù)中心出口核心交換機(jī)側(cè)掛DDoS設(shè)備，對大流量DDoS攻擊進(jìn)行清洗。DDoS設(shè)備由流量檢測和流量清洗兩部分組成，通過在云數(shù)據(jù)中心出口鏈路部署流量檢測系統(tǒng)，檢測系統(tǒng)檢測到流量攻擊后上報(bào)流量清洗系統(tǒng)，由流量清洗系統(tǒng)對攻擊流量進(jìn)行清洗。

IPS/IDS：在云數(shù)據(jù)中心出口核心交換機(jī)側(cè)掛IPS/IDS設(shè)備，阻止蠕蟲、病毒、木馬、DoS攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。

ISP信息安全管理系統(tǒng)：根據(jù)工信部要求，運(yùn)營商云數(shù)據(jù)中心必須具備信息安全管理系統(tǒng)，在云數(shù)據(jù)中心出口鏈路部署ISP信息安全監(jiān)控系統(tǒng)，如浩瀚科技的ISP信息安全監(jiān)控系統(tǒng)，可以有效保護(hù)云數(shù)據(jù)中心的信息安全。

五、云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)安全與隔離

云數(shù)據(jù)中心內(nèi)部，不同業(yè)務(wù)之間的網(wǎng)絡(luò)必須是相互隔離的。與傳統(tǒng)的安全防護(hù)不同，云數(shù)據(jù)中心在虛擬化環(huán)境下，物流服務(wù)器被虛成多個虛擬機(jī)，虛擬機(jī)之間發(fā)流量交換基于服務(wù)器內(nèi)部的虛擬交換，該部分流量不可控。不同的虛擬機(jī)之間需要劃分到不同的安全域，進(jìn)行隔離和訪問控制。

對于云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)的安全和隔離有內(nèi)部流量引出技術(shù)和隔離技術(shù)兩種辦法。

5.1 內(nèi)部流量引出技術(shù)

流量外部化技術(shù)是對云數(shù)據(jù)中心內(nèi)部虛擬機(jī)之間的流量通過相應(yīng)技術(shù)引出，對引出的流量進(jìn)行安全控制?？赏ㄟ^EVB協(xié)議（如VEPA協(xié)議）將虛擬機(jī)內(nèi)部不同虛擬機(jī)之間的網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的交換機(jī)處理，交由外部安全控制模塊進(jìn)行安全控制。該方法較為簡單，但是將虛擬機(jī)內(nèi)部流量引出會增加額外流量，造成端口浪費(fèi)。

5.2 隔離技術(shù)

目前運(yùn)營商云數(shù)據(jù)中心網(wǎng)絡(luò)安全模型引入了垂直分層、水平分區(qū)的概念。垂直分層是在同一套業(yè)務(wù)系統(tǒng)內(nèi)部分為核心層、應(yīng)用層、隔離層、接入層，各層之間應(yīng)部署安全控制機(jī)制。水平分區(qū)是不同業(yè)務(wù)系統(tǒng)之間的應(yīng)用隔離機(jī)制，避免業(yè)務(wù)系統(tǒng)相互影響。

隔離技術(shù)主要是實(shí)現(xiàn)各層之間防護(hù)，不同業(yè)務(wù)系統(tǒng)之間隔離。使用虛擬防火墻技術(shù)可以實(shí)現(xiàn)云數(shù)據(jù)中心內(nèi)部數(shù)據(jù)分層隔離。

虛擬防火墻技術(shù)是指軟件定義的防火墻，對虛擬機(jī)之間的流量進(jìn)行安全訪問控制。通過虛擬防火墻技術(shù)主要實(shí)現(xiàn)內(nèi)部安全，包括內(nèi)部網(wǎng)絡(luò)VIAN數(shù)據(jù)隔離、過濾和基于VLAN的策略執(zhí)行。如V shield APP是VMware安全套件中的虛擬防火墻，通過部署VMware V shield APP可以實(shí)現(xiàn)虛機(jī)之間的隔離和訪問控制。V shield end是VMware安全套件中的虛擬機(jī)內(nèi)部安全模塊，通過部署V shield end可以實(shí)現(xiàn)虛擬機(jī)內(nèi)部的安全防護(hù)。虛擬防火墻的優(yōu)勢是可以在虛擬主機(jī)環(huán)境下訪問控制，通過虛擬機(jī)上運(yùn)行軟件防火墻，不會改變VLAN和拓?fù)涞脑L問控制，提高網(wǎng)絡(luò)的可靠性。在虛擬機(jī)下部署虛擬防火墻使數(shù)據(jù)中心內(nèi)部安全防護(hù)變的相對簡單。而且使用該方法，虛擬機(jī)之間的流量管控和安全控制在內(nèi)部完成，不會增加額外流量，消耗的系統(tǒng)資源少。

六、結(jié)束語

云計(jì)算時代的到來，云數(shù)據(jù)中心的網(wǎng)絡(luò)和信息安全面臨更大的挑戰(zhàn)，網(wǎng)絡(luò)犯罪不再去攻擊用戶的電腦，而是直接攻擊云數(shù)據(jù)中心。本文提出了云數(shù)據(jù)中心內(nèi)部和外部網(wǎng)絡(luò)安全隔離的方法。除了在云數(shù)據(jù)中心進(jìn)行基礎(chǔ)的網(wǎng)絡(luò)安全部署，還需要考慮數(shù)據(jù)加密、備份、認(rèn)證授權(quán)等技術(shù)手段以及政策上的立法和監(jiān)管。無論是政府還是云服務(wù)運(yùn)營商，只有通過不斷提升網(wǎng)絡(luò)安全意識和技術(shù)，才能實(shí)現(xiàn)云數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)的目標(biāo)。