基于云計(jì)算的數(shù)據(jù)中心安全體系研究與實(shí)現(xiàn)

趙凝霞 趙遠(yuǎn)飛 張桂蘭

摘 要：數(shù)據(jù)中心是用于容納計(jì)算機(jī)系統(tǒng)和相關(guān)組件（如電信和存儲(chǔ)系統(tǒng)）的設(shè)施。它通常包括需要的冗余或備用電源、冗余數(shù)據(jù)通信連接、環(huán)境控制（例如空調(diào)、滅火）和各種安全設(shè)備?；谠朴?jì)算的數(shù)據(jù)中心安全體系能有效保障數(shù)據(jù)中心運(yùn)行的安全性和可靠性，本文對(duì)該體系的特點(diǎn)和模式進(jìn)行了研究，以進(jìn)一步提高數(shù)據(jù)中心的運(yùn)行安全性。

關(guān)鍵詞：云計(jì)算；數(shù)據(jù)中心；安全體系

1.數(shù)據(jù)中心的安全管理

物理安全在數(shù)據(jù)中心中也起著重要作用?，F(xiàn)場(chǎng)的實(shí)際出入通常限于選定的人員，控制措施包括一個(gè)分層的安全系統(tǒng)，通常從柵欄、系船柱和披風(fēng)開(kāi)始。如果數(shù)據(jù)中心很大，或者其中的任何系統(tǒng)包含敏感信息，那么攝像機(jī)監(jiān)控和永久保安幾乎總是存在。某些數(shù)據(jù)保護(hù)法規(guī)要求記錄訪(fǎng)問(wèn)權(quán)限。為此，一些組織使用提供訪(fǎng)問(wèn)日志報(bào)告的訪(fǎng)問(wèn)控制系統(tǒng)。數(shù)據(jù)記錄可在主入口、機(jī)械室入口和白色空間以及設(shè)備柜中進(jìn)行。機(jī)柜中的現(xiàn)代訪(fǎng)問(wèn)控制允許與智能配電單元集成，以便鎖可以通過(guò)同一設(shè)備供電和聯(lián)網(wǎng)。

數(shù)據(jù)中心基礎(chǔ)安全管理（DCIM）是信息技術(shù)和設(shè)施管理學(xué)科的集成，用于集中監(jiān)控、管理和智能規(guī)劃數(shù)據(jù)中心關(guān)鍵系統(tǒng)的容量。通過(guò)實(shí)施專(zhuān)門(mén)的軟件、硬件和傳感器，DCIM為IT和設(shè)施基礎(chǔ)設(shè)施中所有相互依賴(lài)的系統(tǒng)提供了通用的實(shí)時(shí)監(jiān)控和管理平臺(tái)。

根據(jù)實(shí)施類(lèi)型的不同，DCIM產(chǎn)品可以幫助數(shù)據(jù)中心經(jīng)理識(shí)別和消除風(fēng)險(xiǎn)源，以提高關(guān)鍵IT系統(tǒng)的可用性。DCIM產(chǎn)品還可用于確定設(shè)施和IT基礎(chǔ)架構(gòu)之間的相互依賴(lài)關(guān)系，以提醒設(shè)施經(jīng)理注意系統(tǒng)冗余方面的差距，并提供動(dòng)態(tài)、全面的功耗和效率基準(zhǔn)，以衡量“綠色I(xiàn)T”計(jì)劃的成效。

測(cè)量和理解數(shù)據(jù)中心效率指標(biāo)非常重要。這一領(lǐng)域的許多討論都集中在能源問(wèn)題上，但PUE之外的其他指標(biāo)可以更詳細(xì)地描述數(shù)據(jù)中心的運(yùn)營(yíng)情況。服務(wù)器、存儲(chǔ)和員工利用率指標(biāo)有助于更完整地查看企業(yè)數(shù)據(jù)中心。在許多情況下，磁盤(pán)容量未使用，在許多情況下，組織以20 %或更低的利用率運(yùn)行服務(wù)器。更有效的自動(dòng)化工具還可以增加單個(gè)管理員可以處理的服務(wù)器或虛擬機(jī)的數(shù)量。

DCIM提供商正越來(lái)越多地與計(jì)算流體動(dòng)力學(xué)提供商建立聯(lián)系，以預(yù)測(cè)數(shù)據(jù)中心中復(fù)雜的氣流模式。CFD組件對(duì)于量化計(jì)劃的未來(lái)變化對(duì)冷卻彈性、容量和效率的影響是必要的。

圖1 數(shù)據(jù)中心網(wǎng)絡(luò)操作控制室

2.基于云計(jì)算的數(shù)據(jù)中心安全體系

只有正確的防御實(shí)施到位，云安全體系結(jié)構(gòu)才是有效的。一個(gè)高效的云安全體系結(jié)構(gòu)應(yīng)該認(rèn)識(shí)到安全管理將出現(xiàn)的問(wèn)題。安全管理部門(mén)通過(guò)安全控制來(lái)解決這些問(wèn)題。這些控制措施旨在保護(hù)系統(tǒng)中的任何弱點(diǎn)，并減少攻擊的影響。盡管云安全體系結(jié)構(gòu)背后有許多類(lèi)型的控件，但它們通常包括以下部分。

圖2 云計(jì)算數(shù)據(jù)安全中心

2.1威懾控制

這些控制旨在減少對(duì)數(shù)據(jù)中心的攻擊。威懾控制與柵欄或財(cái)產(chǎn)上的警告標(biāo)志非常相似，通常通過(guò)通知潛在攻擊者如果他們繼續(xù)下去將會(huì)有不良后果來(lái)降低威脅級(jí)別。有些人認(rèn)為它們是預(yù)防性控制的一部分。

2.2預(yù)防控制

預(yù)防性控制通常通過(guò)減少（如果不是實(shí)際消除）漏洞來(lái)加強(qiáng)系統(tǒng)對(duì)事件的防范。例如，對(duì)云用戶(hù)的強(qiáng)身份驗(yàn)證使得未經(jīng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)云系統(tǒng)的可能性降低，并且更有可能肯定地識(shí)別云用戶(hù)。

2.3偵探控制

檢測(cè)控制旨在檢測(cè)發(fā)生的任何事件并做出適當(dāng)反應(yīng)。一旦發(fā)生攻擊，檢測(cè)控制將向預(yù)防或糾正控制發(fā)出信號(hào)，以解決問(wèn)題。系統(tǒng)和網(wǎng)絡(luò)安全監(jiān)控，包括入侵檢測(cè)和防范安排，通常用于檢測(cè)對(duì)云系統(tǒng)和支持通信基礎(chǔ)設(shè)施的攻擊。

2.4糾正控制

糾正控制通常通過(guò)限制損害來(lái)減少事件的后果。它們?cè)谑录陂g或之后生效?；謴?fù)系統(tǒng)備份以重建受損的系統(tǒng)是糾正控制的一個(gè)示例。

3.安全維度

一般建議根據(jù)風(fēng)險(xiǎn)選擇和實(shí)施信息安全控制，通常通過(guò)評(píng)估威脅、漏洞和影響。數(shù)據(jù)中心安全問(wèn)題可以通過(guò)各種方式進(jìn)行分組。云訪(fǎng)問(wèn)安全代理（CASBs）是介于云服務(wù)用戶(hù)和云應(yīng)用程序之間的軟件，用于監(jiān)視所有活動(dòng)并實(shí)施安全策略。

3.1身份管理

每個(gè)企業(yè)都有自己的身份管理系統(tǒng)來(lái)控制對(duì)信息和計(jì)算資源的訪(fǎng)問(wèn)。云提供商或使用聯(lián)邦或SSO技術(shù)將客戶(hù)的身份管理系統(tǒng)集成到他們自己的基礎(chǔ)設(shè)施中，或使用基于生物特征的身份識(shí)別系統(tǒng)，或提供他們自己的身份管理系統(tǒng)。例如，CloudID提供了基于云的隱私保護(hù)和跨企業(yè)生物識(shí)別。它將用戶(hù)的機(jī)密信息與他們的生物特征聯(lián)系起來(lái)，并以加密的方式存儲(chǔ)。利用可搜索的加密技術(shù)，在加密域中執(zhí)行生物識(shí)別，以確保云提供商或潛在攻擊者無(wú)法訪(fǎng)問(wèn)任何敏感數(shù)據(jù)，甚至無(wú)法訪(fǎng)問(wèn)單個(gè)查詢(xún)的內(nèi)容。

3.2人身安全

云服務(wù)提供商在物理上保護(hù)IT硬件（服務(wù)器、路由器、電纜等），防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)，并確?；竟?yīng)（如電力）足夠強(qiáng)勁，以盡量減少中斷的可能性。這通常通過(guò)從數(shù)據(jù)中心提供云應(yīng)用程序來(lái)實(shí)現(xiàn)。

3.3人員安全措施

與IT和與云服務(wù)相關(guān)的其他專(zhuān)業(yè)人員相關(guān)的各種信息安全問(wèn)題通常通過(guò)雇傭前、雇傭期和雇傭后的活動(dòng)來(lái)處理，例如安全篩選潛在招聘人員、安全意識(shí)和培訓(xùn)計(jì)劃。

3.4隱私

提供商確保所有關(guān)鍵數(shù)據(jù)（例如信用卡號(hào)）都被屏蔽或加密，并且只有授權(quán)用戶(hù)才能訪(fǎng)問(wèn)全部數(shù)據(jù)。此外，數(shù)字身份和憑據(jù)必須得到保護(hù)，提供商收集或生成的有關(guān)云中客戶(hù)活動(dòng)的任何數(shù)據(jù)也必須得到保護(hù)。

4.結(jié)語(yǔ)

近年來(lái)，隨著數(shù)據(jù)中心應(yīng)用范圍的不斷擴(kuò)大，其安全性問(wèn)題也引起了越來(lái)越多的關(guān)注?；谠朴?jì)算的數(shù)據(jù)中心安全體系可以有效加強(qiáng)數(shù)據(jù)中心的安全防御系數(shù)，降低數(shù)據(jù)泄露、丟失、被竊取的風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]林小村.數(shù)據(jù)中心建設(shè)與運(yùn)行管理[M].北京：科學(xué)出版社，2010：39-40.

[2]陳康，鄭緯民.云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào)，2013（5）：37-48.

（作者單位：1.中興通訊股份有限公司；2.北京金谷財(cái)行投資有限公司；3.南京安仁電子科技有限公司）