李太平

【摘要】? ? 由于傳統(tǒng)的安全措施均是基于固定的位置或是靜態(tài)的網(wǎng)絡(luò)而無法應(yīng)對好虛擬化帶來的網(wǎng)絡(luò)安全問題，故使得云數(shù)據(jù)中心亦始終面臨著較高的安全威脅?；谠朴嬎愕奶攸c與思想，所以采用SDN與NFV等技術(shù)來為運輸局中心的安全防護供支撐，不僅能有效促進網(wǎng)絡(luò)安全服務(wù)全程自動化交付的順利實現(xiàn)，而且還能夠保證云數(shù)據(jù)中心安全，切實維護云數(shù)據(jù)中心的穩(wěn)定發(fā)展。

【關(guān)鍵詞】? ? 云數(shù)據(jù)中心? ? 安全防護? ? 解決方案

所謂的云計算數(shù)據(jù)中心，即一種以云計算的架構(gòu)、存儲及網(wǎng)絡(luò)資源整合為基礎(chǔ)，并在各類TI設(shè)備的支撐下而具有較高模塊化和自動化程度的新型數(shù)據(jù)中心。因此，為切實促進云計算數(shù)據(jù)中心的普及運用，關(guān)鍵仍是要對虛擬安全域隔離、虛擬機安全防護等安全方面的問題給予高度重視。

一、云數(shù)據(jù)中心安全防護面臨的挑戰(zhàn)

由于云數(shù)據(jù)中心的網(wǎng)絡(luò)虛擬化會導致網(wǎng)絡(luò)邊界呈現(xiàn)出動態(tài)化的特征，這便需要制定并部署網(wǎng)絡(luò)安全系統(tǒng)方能抵御網(wǎng)絡(luò)中的各種安全問題。一是虛擬安全與的隔離和虛擬機本身的防護問題。由于虛擬技術(shù)的加入使得原本的網(wǎng)絡(luò)層次中多了一層虛擬交換層，而鑒于該網(wǎng)絡(luò)層次是在云數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化后方才出現(xiàn)，所以這個層次的出現(xiàn)反而讓網(wǎng)絡(luò)管理便捷具有了模糊化的特征，加之原本的網(wǎng)絡(luò)系統(tǒng)又難以感知到的新的虛擬服務(wù)器，故也使得數(shù)據(jù)中心在實際運行過程中將面臨租戶的虛擬域安全阻隔問題。二是當前的云數(shù)據(jù)計算中心上難以實現(xiàn)的對眾多復(fù)雜資源的集中化管理。由于云數(shù)據(jù)中心在處理數(shù)據(jù)流時會盡力多重監(jiān)測，但因此項工作的開展過程目前仍是基于傳統(tǒng)的監(jiān)測手段，這便使得數(shù)據(jù)處理過程無法對不同類型的功能及設(shè)備予以簡化和堆疊，這便為云數(shù)據(jù)中心實現(xiàn)資源的集中管理帶來了極大的困難。

二、云數(shù)據(jù)中心安全防護方案設(shè)計

2.1云數(shù)據(jù)中心安全防護系統(tǒng)功能架構(gòu)

由于云數(shù)據(jù)中心網(wǎng)絡(luò)的安全虛擬化是在虛擬化整合的基礎(chǔ)上進行，故其安全虛擬化的具體過程除了要將部署的專用設(shè)備全部遷移到通用服務(wù)器外，尚需根據(jù)不同的業(yè)務(wù)特征來為其匹配是以的安全策略，如此方能在實現(xiàn)安全虛擬化后，讓各種也業(yè)務(wù)特征相匹配的安全策略亦隨之發(fā)生動態(tài)遷移，繼而掃清因數(shù)據(jù)中心服務(wù)器虛擬化而造成的安全策略部署問題。就云數(shù)據(jù)中心系統(tǒng)而言，其主要由4層服務(wù)層組成，分別為云服務(wù)層、控制層、數(shù)據(jù)轉(zhuǎn)發(fā)層以及安全資源層。其中，云服務(wù)層主要功能在于向用戶提供安全的網(wǎng)絡(luò)資源服務(wù)。而控制層則主要負責控制各大網(wǎng)路鏈、流標以及資源彈性的管理;數(shù)據(jù)轉(zhuǎn)發(fā)層主要負責的內(nèi)容包括收集、轉(zhuǎn)發(fā)并處理業(yè)務(wù)流表。至于安全服務(wù)資源層，因其主要組成部分為承載了安全服務(wù)虛擬機的通用服務(wù)器，故其所具有的功能亦主要包含了防火墻、入侵檢測以及過濾垃圾郵件等。

2.2云數(shù)據(jù)中心網(wǎng)絡(luò)安全防護系統(tǒng)部署

數(shù)據(jù)中心的網(wǎng)絡(luò)出口也便是虛擬化安全防護池的部署地，至于實際的管理則是基于云管理平臺中加入的SDN控制器。當前，安全防護池也在虛擬化技術(shù)的促進下而突破了原本的性能瓶頸，并得到了與云數(shù)據(jù)中心需求最佳匹配的效果。云數(shù)據(jù)中心的安全防護池還能充分利用池內(nèi)防火墻來滿足政府及金融行業(yè)租戶的具體需求，且在防火墻虛擬機的保護作用下，還不會對其他租戶的業(yè)務(wù)流量產(chǎn)生任何影響。由于安全防護池在云數(shù)據(jù)中心出口處的部署主要是以旁路的形式為主，故該部署不僅具有較高的靈活性，且能實時根據(jù)業(yè)務(wù)狀況來進行分流，如此變更最大先帝減少數(shù)據(jù)對核心網(wǎng)絡(luò)的影響。至于安全防護池的旁路部署則主要遵循著如下技術(shù)原理：流量牽引：安全防護池在牽引目標流數(shù)據(jù)時會基于SND控制器下發(fā)的流表來合理跳動云數(shù)據(jù)中心及邊界的各項網(wǎng)絡(luò)設(shè)備。流量檢測或過濾：在安全防護池需要牽引目標流量時，SDN控制器會發(fā)出相應(yīng)的指令并對目標IP的流量予以檢測和過濾操作。流量回注：SDN控制器會將監(jiān)測合格的合法流量重新注回網(wǎng)絡(luò)，并確保流量順利達到目的地而不會對其形成任何阻礙。

2.3云數(shù)據(jù)中心網(wǎng)絡(luò)安全防護系統(tǒng)運營流程

就Web對安全防護池的資源調(diào)度而言，首先需要云數(shù)據(jù)中心租戶提出具體需求，而云數(shù)據(jù)中心管理員在接收到租戶需求后會根據(jù)其要求來設(shè)置相應(yīng)的安全策略。后在數(shù)據(jù)中心控制器的調(diào)度下，將為申請需求的租戶提供相應(yīng)的IP地址。與此同時，基于控制器本社便掌握了云數(shù)據(jù)中心的組裝狀況，故尋找連接交換機的過程亦十分輕松。止嘔，在控制器引流策略的牽引下，將能在更新接入交換機的轉(zhuǎn)發(fā)流表同時將相關(guān)流量轉(zhuǎn)移到安全的防護池內(nèi)，之后便借助防護池內(nèi)各項安全防護設(shè)備來對Web流量進行過濾。最終，用戶將從虛擬機中接收到經(jīng)過過濾的Web流量，并可借由指令來予以控制。經(jīng)過上述一系列流程，將最大限度確保租戶的流量數(shù)據(jù)安全。

總之，基于云計算與虛擬化技術(shù)的快速發(fā)展，雖是讓云數(shù)據(jù)中心亦有了明顯進步，但安全仍是困擾云數(shù)據(jù)中心發(fā)展的主要問題。因此，為切實維護云數(shù)據(jù)中心的穩(wěn)定發(fā)展，則研究人員仍需加大對云數(shù)據(jù)中心安全防護系統(tǒng)架構(gòu)、物理部署、運營流程以及安全服務(wù)監(jiān)控等諸多方面工作安全防護方案的研究，以此方能賦予云數(shù)據(jù)中心更好的擴展性，繼而為云數(shù)據(jù)中心的穩(wěn)定發(fā)展提供保障。

參? 考? 文? 獻

[1] 張小梅，馬錚，朱安南.云數(shù)據(jù)中心安全防護解決方案[J].郵電設(shè)計技術(shù)， 2016（1）：50-54.

[2] 毛正雄.云數(shù)據(jù)中心安全防護挑戰(zhàn)與解決方案研究[J].中國新通信，2017（8）：78-79.