◆陳萱華

基于云計(jì)算的數(shù)據(jù)中心安全建設(shè)淺析

◆陳萱華

（武警海警學(xué)院電子技術(shù)系 浙江 315000）

數(shù)據(jù)中心建設(shè)的安全直接關(guān)系到業(yè)務(wù)運(yùn)行的連續(xù)性，本文通過分析數(shù)據(jù)中心建設(shè)中存在的安全問題，從技術(shù)角度提出了一種數(shù)據(jù)中心安全的建設(shè)思路，從分區(qū)規(guī)劃和分層部署、安全交換平臺(tái)和網(wǎng)絡(luò)隔離等方面進(jìn)行闡述，為云計(jì)算數(shù)據(jù)中心建設(shè)提供安全支持。

云計(jì)算數(shù)據(jù)中心；虛擬化技術(shù)；安全交換

隨著人工智能和大數(shù)據(jù)的飛速發(fā)展，個(gè)人和企業(yè)的數(shù)據(jù)越來越多地放在云端，云端可以自建也可以托管，托管有其便利性、不需專人維護(hù)等優(yōu)點(diǎn)，但也存在信息泄露、強(qiáng)依賴性等隱患。特別是對于數(shù)據(jù)中心建設(shè)已有一定積累、擁有一支穩(wěn)定的運(yùn)維隊(duì)伍、或是對數(shù)據(jù)保密性有一定要求的機(jī)構(gòu)，充分利用已有的設(shè)施，采用云計(jì)算技術(shù)擴(kuò)展和補(bǔ)充數(shù)據(jù)中心仍然不失為一種好的選擇。處于大數(shù)據(jù)時(shí)代的今天，數(shù)據(jù)中心的重要性愈發(fā)凸顯，數(shù)據(jù)中心建設(shè)的安全性直接關(guān)系到機(jī)構(gòu)業(yè)務(wù)運(yùn)行的連續(xù)性。

1 數(shù)據(jù)中心存在的安全隱患

傳統(tǒng)數(shù)據(jù)中心采用頭痛醫(yī)頭、腳痛醫(yī)腳的做法不斷擴(kuò)充應(yīng)用系統(tǒng)和數(shù)據(jù)，使應(yīng)用系統(tǒng)產(chǎn)生大量漏洞，一旦出現(xiàn)安全問題又難以快速完成資源配置和有效部署，主要原因有四。一是系統(tǒng)異構(gòu)，數(shù)據(jù)交換不暢。由于缺乏頂層設(shè)計(jì)，各業(yè)務(wù)系統(tǒng)獨(dú)享服務(wù)器資源，設(shè)備投入大，但非高峰的大部分時(shí)間內(nèi)，設(shè)備基本處于空閑狀態(tài)，資源沒有得到充分利用，虛擬機(jī)的部署規(guī)模受到限制，造成網(wǎng)絡(luò)隔離能力受限，一旦爆發(fā)網(wǎng)絡(luò)病毒，容易出現(xiàn)全網(wǎng)癱瘓。二是能耗高。不斷增加的設(shè)備造成中心機(jī)房擁擠不堪，能耗成本更是居高不下，供電系統(tǒng)設(shè)計(jì)沒法及時(shí)調(diào)整，虛擬機(jī)遷移受限，設(shè)備安全隱患難以避免。三是管理成本高，運(yùn)維壓力大[1]。機(jī)房設(shè)備越來越多，運(yùn)維復(fù)雜度不斷增加；數(shù)據(jù)訪問量大增，管理工作量和難度也大幅提升，管理人員的操作失誤概率大增。四是機(jī)構(gòu)重視內(nèi)外數(shù)據(jù)流量和云上邊界的安全防護(hù)，忽視了從內(nèi)部發(fā)起的、更隱蔽的攻擊。這四個(gè)方面的問題都給數(shù)據(jù)中心帶來了極大的安全隱患。

2 基于云計(jì)算的數(shù)據(jù)中心安全建設(shè)

基于云計(jì)算的數(shù)據(jù)中心安全要進(jìn)行頂層設(shè)計(jì)，考慮用戶實(shí)際需求、云計(jì)算的特性和云計(jì)算生命周期的安全機(jī)制[2]確定系統(tǒng)的整體部署。它包括軟硬件的配置和各類人員的安全操作，涉及許多不斷發(fā)展的技術(shù)。這里主要從分區(qū)規(guī)劃和分層管理、安全交換平臺(tái)和網(wǎng)絡(luò)隔離三方面進(jìn)行介紹。

2.1 分區(qū)規(guī)劃、分層部署[3-4]

（1）分區(qū)規(guī)劃

分區(qū)規(guī)劃，就是通過細(xì)分，面向不同的需求實(shí)現(xiàn)安全保護(hù)。由于網(wǎng)絡(luò)中的業(yè)務(wù)單元在功能、重要性、用戶對象、訪問量、受攻擊程度等方面存在差異，因此，制定安全策略的依據(jù)主要在業(yè)務(wù)需求、數(shù)據(jù)流、應(yīng)用的邏輯功能、業(yè)務(wù)系統(tǒng)安全等級等方面，在構(gòu)建數(shù)據(jù)中心時(shí)將網(wǎng)絡(luò)劃分為不同區(qū)域，便于實(shí)現(xiàn)差異性維護(hù)管理，提高運(yùn)維效率，實(shí)現(xiàn)安全隔離和訪問控制。

一般情況下，可以劃分為以下區(qū)域：外聯(lián)區(qū)、業(yè)務(wù)區(qū)、服務(wù)器區(qū)、核心匯聚區(qū)、終端接入?yún)^(qū)、數(shù)據(jù)存儲(chǔ)區(qū)、容災(zāi)備份區(qū)、數(shù)據(jù)中心統(tǒng)一運(yùn)維區(qū)。可以根據(jù)不同的機(jī)構(gòu)、不同的業(yè)務(wù)模式，分區(qū)可以適當(dāng)增刪或合并。設(shè)計(jì)數(shù)據(jù)中心安全方案整體規(guī)劃，不同的分區(qū)承擔(dān)不同的職責(zé)，針對不同區(qū)域制定不同的方案，共同實(shí)現(xiàn)數(shù)據(jù)中心的整體安全防護(hù)體系。

（2）分層部署

數(shù)據(jù)中心是機(jī)構(gòu)網(wǎng)絡(luò)的核心匯聚區(qū)，前面劃分的區(qū)域邊界處的安全直接對數(shù)據(jù)中心產(chǎn)生安全威脅，邊界處的威脅主要有軟硬件漏洞攻擊、網(wǎng)絡(luò)病毒、木馬植入、黑客入侵、信息泄露等，較有效的抵御方法是在有效分區(qū)基礎(chǔ)上分層部署。依據(jù)整體安全防護(hù)部署要求，在不同的區(qū)域邊界處進(jìn)行相應(yīng)的安全需求部署，綜合應(yīng)用異構(gòu)多重防火墻、VPN、入侵檢測以及負(fù)載均衡等技術(shù)，共同實(shí)現(xiàn)網(wǎng)絡(luò)安全融合。

2.2 構(gòu)建安全的交換平臺(tái)

（1）數(shù)據(jù)交換平臺(tái)

由于傳統(tǒng)數(shù)據(jù)中心里部署的業(yè)務(wù)系統(tǒng)大都分批分散建設(shè)，相互之間的技術(shù)架構(gòu)和開發(fā)平臺(tái)差異較大，數(shù)據(jù)異構(gòu)，處理方式各異，形成各應(yīng)用系統(tǒng)相對獨(dú)立的“孤島”，造成數(shù)據(jù)的不一致性。隨著業(yè)務(wù)系統(tǒng)的增加和邊界接入網(wǎng)絡(luò)的擴(kuò)大，內(nèi)外網(wǎng)數(shù)據(jù)面臨著各種攻擊，出現(xiàn)諸多風(fēng)險(xiǎn)，同時(shí)也面臨運(yùn)管維護(hù)等安全管理問題。

數(shù)據(jù)交換平臺(tái)通過數(shù)據(jù)的抽取、集中、加載、轉(zhuǎn)換、展現(xiàn)，可以將分散建設(shè)的業(yè)務(wù)系統(tǒng)進(jìn)行整合，構(gòu)造統(tǒng)一的數(shù)據(jù)處理和交換平臺(tái)，保證分布異構(gòu)系統(tǒng)之間互聯(lián)互通[5]。具體可以采用以下方式：構(gòu)建統(tǒng)一身份認(rèn)證平臺(tái)，統(tǒng)一標(biāo)識(shí)體系，對不同業(yè)務(wù)系統(tǒng)登錄數(shù)據(jù)進(jìn)行采集、轉(zhuǎn)換，建立云環(huán)境下的跨域單點(diǎn)登錄系統(tǒng)[6]、真實(shí)源地址驗(yàn)證的安全可信網(wǎng)絡(luò)，統(tǒng)一登錄、身份認(rèn)證、解決跨系統(tǒng)信息交換的身份識(shí)別問題，并通過角色和權(quán)限的關(guān)聯(lián)實(shí)現(xiàn)數(shù)據(jù)共享融合和安全交互。

（2）設(shè)備間的統(tǒng)一交換

傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)不一，可能還存在多個(gè)獨(dú)立運(yùn)行的網(wǎng)絡(luò)，加之設(shè)備的功能獨(dú)立性，連接、配置處理需要大量的線纜，使得數(shù)據(jù)中心的綜合布線量大、復(fù)雜，造成高能耗、高運(yùn)維成本、高安全隱患。在設(shè)計(jì)時(shí)，應(yīng)從兼容性和擴(kuò)展性方面考慮網(wǎng)絡(luò)安全融合方案，配置多協(xié)議的網(wǎng)絡(luò)交換機(jī)、將獨(dú)立設(shè)備組網(wǎng)簡化為網(wǎng)絡(luò)安全的集成業(yè)務(wù)，大大簡化設(shè)計(jì)和優(yōu)化管理，通過多種機(jī)制來保證數(shù)據(jù)傳輸?shù)母咝Ш涂煽?，真正?shí)現(xiàn)數(shù)據(jù)中心數(shù)據(jù)的統(tǒng)一交換。

2.3 網(wǎng)絡(luò)隔離

虛擬化技術(shù)是云計(jì)算數(shù)據(jù)中心的關(guān)鍵技術(shù)。它實(shí)現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示，提高了資源利用率，方便了大規(guī)模部署。但這種服務(wù)模式打破了傳統(tǒng)網(wǎng)絡(luò)邊界的劃分方式，被隱藏的底層訪問細(xì)節(jié)、用戶與底層物理環(huán)境細(xì)節(jié)脫離的虛擬化結(jié)構(gòu)，造成訪問控制復(fù)雜，安全邊界模糊，角色權(quán)限關(guān)系復(fù)雜，對使用者的身份、權(quán)限的鑒別、控制與審計(jì)變得更加困難，給傳統(tǒng)的安全邊界帶來了巨大的安全風(fēng)險(xiǎn)[7]。

在虛擬化網(wǎng)絡(luò)中需要更細(xì)粒度的隔離，做到每一個(gè)虛擬機(jī)和外部網(wǎng)絡(luò)或內(nèi)部其他虛擬機(jī)之間通信的精細(xì)監(jiān)控，可以借助VPN為遠(yuǎn)程用戶訪問提供有效的數(shù)據(jù)隔離，而VLAN也是云計(jì)算中常用的措施，用于實(shí)現(xiàn)安全域的網(wǎng)絡(luò)隔離。

虛擬化環(huán)境中按照業(yè)務(wù)功能、用戶權(quán)限、內(nèi)外網(wǎng)南北東西數(shù)據(jù)流量、安全防護(hù)等級等不同數(shù)據(jù)需要隔離，可以結(jié)合前面介紹的分區(qū)分層配置虛擬防火墻，按照業(yè)務(wù)將防火墻劃分成多個(gè)安全域。比如在服務(wù)器區(qū)域通過旁路部署將需要進(jìn)行安全檢測的流量引導(dǎo)到防火墻上進(jìn)行處理，再根據(jù)應(yīng)用的隔離互訪要求，實(shí)現(xiàn)域間安全控制。在虛擬管理器內(nèi)部，通過相同物理網(wǎng)絡(luò)通信引起數(shù)據(jù)的匯合，由此造成的安全隱患，可以采用不同交換機(jī)實(shí)現(xiàn)隔離。同時(shí)應(yīng)保證不同交換機(jī)之間嚴(yán)格避免通過虛擬機(jī)或者其他措施進(jìn)行橋接。

VPN則將單位地處不同位置的設(shè)備實(shí)現(xiàn)安全通信，它在公共網(wǎng)絡(luò)中通過防火墻構(gòu)建一個(gè)安全穩(wěn)定的專用虛擬邏輯網(wǎng)絡(luò)，支持單位移動(dòng)用戶的遠(yuǎn)程訪問，結(jié)合用戶身份認(rèn)證與訪問控制技術(shù)，采用角色和權(quán)限關(guān)聯(lián)，對用戶和權(quán)限進(jìn)行分類和隔離，為用戶提供有效的數(shù)據(jù)隔離。

安全域的網(wǎng)絡(luò)隔離常用的措施是VLAN隔離。VLAN隔離在云計(jì)算中也被大量采用，可以結(jié)合虛擬防火墻、虛擬交換機(jī)實(shí)現(xiàn)虛擬交換隔離[8]。防火墻和交換機(jī)可以采用靜、動(dòng)態(tài)路由相結(jié)合的方式，為不同區(qū)域提供細(xì)粒度的安全策略和針對性的物理隔離，主動(dòng)監(jiān)控網(wǎng)絡(luò)行為，阻斷各類攻擊性的網(wǎng)絡(luò)異常流量。同時(shí)將多臺(tái)交換機(jī)虛擬成一臺(tái)交換機(jī)，簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，減少故障結(jié)點(diǎn)，有利于展開更具有針對性的安全保護(hù)部署。反之，也可以將一臺(tái)安全設(shè)備虛擬成多臺(tái)安全設(shè)備，分配給不同應(yīng)用系統(tǒng)使用，進(jìn)行自主化管理，策略按需設(shè)置，實(shí)現(xiàn)應(yīng)用系統(tǒng)之間的安全隔離。

3 結(jié)束語

數(shù)據(jù)中心安全的建設(shè)伴隨著應(yīng)用和技術(shù)的發(fā)展而發(fā)展，它是一個(gè)綜合化的整體系統(tǒng)，需要兼顧已有的設(shè)施，全局的統(tǒng)籌部署，各組件的協(xié)同工作，多種技術(shù)的統(tǒng)合應(yīng)用。本文分析了其中的安全隱患，從技術(shù)角度，包括分區(qū)規(guī)劃和分層部署、安全交換平臺(tái)和網(wǎng)絡(luò)隔離三個(gè)方面，提出了一些建設(shè)思路。在安全問題上，除了要密切關(guān)注技術(shù)發(fā)展外，更重要的是需要主動(dòng)積極應(yīng)對，加強(qiáng)管理，密切關(guān)注數(shù)據(jù)生命周期的用戶行為，切實(shí)打造高效安全的數(shù)據(jù)中心。

[1]王瑛杰.安全可靠的大二層數(shù)據(jù)中心設(shè)計(jì)[J].內(nèi)江師范學(xué)院學(xué)報(bào)，2017.

[2]陳萱華，林淑玲.基于生命周期的云計(jì)算安全機(jī)制探討[J].公安海警學(xué)院學(xué)報(bào)，2015.

[3]毛睿，車永茂，謝世春.蘇北人民醫(yī)院信息安全等級保護(hù)之?dāng)?shù)據(jù)中心安全規(guī)劃設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2017.

[4]劉曉軍.云環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全部署[J].中國管理信息化，2016.

[5]溫斌，周艽，陳懷楚，等.安全可信的醫(yī)院數(shù)據(jù)交換平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國數(shù)字醫(yī)學(xué)，2015.

[6]陳萱華，林淑玲，楊玲.云環(huán)境下跨域單點(diǎn)登錄解決方案[J].現(xiàn)代電子技術(shù)，2015.

[7]嚴(yán)文濤，王瑋，蘇琦，等.云計(jì)算數(shù)據(jù)中心虛擬化安全技術(shù)研究與分析[J].電子技術(shù)應(yīng)用，2016

[8]朱雙華．基于虛擬化的大規(guī)模試驗(yàn)環(huán)境構(gòu)建技術(shù)研究[D]．南京：東南大學(xué)，2015.