◆陳國(guó)京

（臺(tái)州市城市建設(shè)投資發(fā)展集團(tuán)有限公司 浙江 318000）

隨著云計(jì)算技術(shù)在各領(lǐng)域的滲透，數(shù)據(jù)平臺(tái)功能框架更為完善。云數(shù)據(jù)中心在運(yùn)行期間，可憑借虛擬化的數(shù)據(jù)處理，提升數(shù)據(jù)存儲(chǔ)量，保障數(shù)據(jù)處理質(zhì)量。但由于云計(jì)算技術(shù)實(shí)踐中云平臺(tái)網(wǎng)絡(luò)環(huán)境的復(fù)雜性，相關(guān)人員在構(gòu)建云數(shù)據(jù)中心時(shí)，仍應(yīng)具有較強(qiáng)的安全意識(shí)，引進(jìn)各類成熟的安全技術(shù)，建立系統(tǒng)的云數(shù)據(jù)中心安全防御體系。

1 云計(jì)算環(huán)境下數(shù)據(jù)中心安全需求

云計(jì)算環(huán)境下，云數(shù)據(jù)安全處理需求明顯增加，要求在數(shù)據(jù)中心運(yùn)行過程中，虛擬化處理該平臺(tái)的內(nèi)部數(shù)據(jù)，增加數(shù)據(jù)存儲(chǔ)與管控安全技術(shù)的銜接性，提升數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)水平。具體來說，云數(shù)據(jù)中心安全服務(wù)管理過程中，其數(shù)據(jù)處理應(yīng)具有較強(qiáng)的高效性、敏捷性、彈性才能滿足數(shù)據(jù)中心網(wǎng)絡(luò)安全保護(hù)需求[1]。首先，部署云數(shù)據(jù)安全網(wǎng)絡(luò)裝置時(shí)，應(yīng)將其滲透在健全的云安全服務(wù)機(jī)制內(nèi)，預(yù)防木馬攻擊、病毒侵犯等網(wǎng)絡(luò)安全問題。其次，云數(shù)據(jù)中心在網(wǎng)絡(luò)安全保護(hù)過程中，需借助動(dòng)態(tài)化安全管理平臺(tái)，安全使用數(shù)據(jù)中心內(nèi)部信息，適應(yīng)其業(yè)務(wù)轉(zhuǎn)換中各類復(fù)雜網(wǎng)絡(luò)環(huán)境。最后，基于云計(jì)算技術(shù)，數(shù)據(jù)中心在網(wǎng)絡(luò)安全問題處理中，應(yīng)保證各安全資源的反復(fù)利用，統(tǒng)一管控各數(shù)據(jù)終端，確保數(shù)據(jù)中心內(nèi)信息利用的有效性。

2 基于云計(jì)算的數(shù)據(jù)中心網(wǎng)絡(luò)安全問題分析

現(xiàn)階段，數(shù)據(jù)中心在云計(jì)算環(huán)境下所面臨的安全問題主要集中在三方面，分別為木馬攻擊、APT 攻擊、數(shù)據(jù)外泄。其一，數(shù)據(jù)中心運(yùn)行過程中，部分不法分子、黑客在利益驅(qū)使下，借助網(wǎng)絡(luò)木馬工藝數(shù)據(jù)中心，企圖竊取數(shù)據(jù)中心內(nèi)部信息，繼而誘發(fā)用戶經(jīng)濟(jì)、精神損失。不僅如此，數(shù)據(jù)中心被木馬攻擊后，其訪問帶資源則會(huì)流失，甚至?xí)?dǎo)致網(wǎng)絡(luò)通信帶寬癱瘓[2]。其二，APT 攻擊是云數(shù)據(jù)中心面臨的“高級(jí)持續(xù)性”的網(wǎng)絡(luò)安全威脅，具有攻擊目標(biāo)明確、安全風(fēng)險(xiǎn)大、攻擊手段高級(jí)、時(shí)間長(zhǎng)等特點(diǎn)。不法分子會(huì)利用數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)中的漏洞，制造安全問題，給予數(shù)據(jù)中心毀滅性打擊。其三，數(shù)據(jù)外泄屬于網(wǎng)絡(luò)安全問題中的嚴(yán)重惡性事件，各組織單位數(shù)據(jù)中心內(nèi)的機(jī)密數(shù)據(jù)會(huì)被使用、剽竊。不法組織會(huì)在“數(shù)據(jù)外泄”這一網(wǎng)絡(luò)安全問題產(chǎn)生后，泄露用戶信息、企業(yè)機(jī)密、個(gè)人知識(shí)產(chǎn)權(quán)信息，造成難以控制的經(jīng)濟(jì)損失。

3 云計(jì)算環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全問題防護(hù)策略

（1）靈活應(yīng)用安全防御技術(shù)

為有效解決云計(jì)算環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全問題，需靈活選用可對(duì)數(shù)據(jù)中心進(jìn)行安全防御的技術(shù)。一方面，技術(shù)人員可借助態(tài)勢(shì)感知技術(shù)，及時(shí)發(fā)現(xiàn)云數(shù)據(jù)中心系統(tǒng)內(nèi)安全風(fēng)險(xiǎn)，保障數(shù)據(jù)中心網(wǎng)絡(luò)安全。態(tài)勢(shì)感知技術(shù)的基本原理是通過實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包，分析網(wǎng)絡(luò)動(dòng)態(tài)等方式，從全局角度判斷數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)安全威脅。具體技術(shù)流程可包括“網(wǎng)絡(luò)態(tài)勢(shì)檢測(cè)”、“數(shù)據(jù)分析”、“網(wǎng)絡(luò)安全問題預(yù)測(cè)”、“網(wǎng)絡(luò)安全防御”等步驟，該技術(shù)在云數(shù)據(jù)中心運(yùn)行中，可有效監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，篩查數(shù)據(jù)中心網(wǎng)絡(luò)中的異常數(shù)據(jù)包，繼而分析網(wǎng)絡(luò)安全問題，及時(shí)處理內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)，控制網(wǎng)絡(luò)安全威脅的損害范圍[3]。

另一方面，網(wǎng)絡(luò)安全威脅預(yù)測(cè)技術(shù)。該技術(shù)對(duì)云數(shù)據(jù)中心安全問題的處理方法，是通過構(gòu)建風(fēng)險(xiǎn)通報(bào)機(jī)制，為云數(shù)據(jù)中心打造可靠的預(yù)警體系，使管理人員在木馬攻擊、APT 攻擊等安全問題產(chǎn)生后，快速明確攻擊者目標(biāo)、攻擊方法等信息，為安全風(fēng)險(xiǎn)處理采集完整的信息。隨后技術(shù)人員可借助“神經(jīng)免疫網(wǎng)絡(luò)技術(shù)”，隔離云數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)中的病毒、木馬，且通過網(wǎng)絡(luò)架構(gòu)本身的防御資源、免疫機(jī)制，抑制木馬病毒，降低云數(shù)據(jù)中心安全風(fēng)險(xiǎn)。

（2）優(yōu)化數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)

云計(jì)算環(huán)境下，數(shù)據(jù)中心網(wǎng)絡(luò)安全問題尤為突出，需要及時(shí)優(yōu)化數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)，強(qiáng)化其安全風(fēng)險(xiǎn)防御能力。首先，技術(shù)人員應(yīng)在內(nèi)部網(wǎng)絡(luò)布局中，采用“網(wǎng)絡(luò)準(zhǔn)入”、“身份驗(yàn)證”、“終端控制”等方式，加強(qiáng)網(wǎng)絡(luò)區(qū)域邊界的安全性。在此期間，云數(shù)據(jù)中心操作人員應(yīng)在網(wǎng)絡(luò)服務(wù)過程中，避免穿越數(shù)據(jù)中心業(yè)務(wù)邊界，改變傳統(tǒng)通用型的網(wǎng)絡(luò)服務(wù)[4]。其次，云計(jì)算環(huán)境下，不法分子對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的攻擊方法多為DoS 攻擊、DDoS攻擊，要求相關(guān)人員布設(shè)對(duì)應(yīng)的網(wǎng)絡(luò)安全裝置，針對(duì)性的抵抗DDosS／DoS 攻擊。

最后，網(wǎng)絡(luò)工程師可通過網(wǎng)絡(luò)安全設(shè)備，防護(hù)惡意代碼，抵御蠕蟲、植入病毒造成的網(wǎng)絡(luò)安全問題。而在布設(shè)網(wǎng)絡(luò)安全設(shè)備時(shí)，相關(guān)人員應(yīng)及時(shí)關(guān)閉設(shè)備終端接口，同時(shí)借助“ssH v2”協(xié)議，建立可遠(yuǎn)程管理的安全防御終端機(jī)制。在此期間，為確保安全問題處理的及時(shí)性，應(yīng)根據(jù)云數(shù)據(jù)中心網(wǎng)絡(luò)安全管理組織結(jié)構(gòu)，給予管理者權(quán)限差異明顯的管理賬號(hào)，制定精細(xì)化的安全訪問控制方案，保障網(wǎng)絡(luò)設(shè)備本身的安全性能。而在處理惡意代碼時(shí)，技術(shù)人員可在云數(shù)據(jù)中心網(wǎng)絡(luò)出口處，設(shè)置防護(hù)機(jī)制，分別將網(wǎng)絡(luò)防御軟件設(shè)置在DMz 邊界、網(wǎng)絡(luò)終端出口商，全面抵御病毒、木馬及蠕蟲對(duì)云數(shù)據(jù)中心網(wǎng)絡(luò)的破壞。

（3）完善網(wǎng)絡(luò)安全虛擬化結(jié)構(gòu)

在云計(jì)算環(huán)境下，處理云數(shù)據(jù)中心網(wǎng)絡(luò)安全問題時(shí)，還應(yīng)及時(shí)構(gòu)建數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)安全虛擬化結(jié)構(gòu)。具體來說，在數(shù)據(jù)中心內(nèi)部署實(shí)施虛擬化部署時(shí)，應(yīng)及時(shí)分離數(shù)據(jù)平面、云平臺(tái)功能，以為用戶提供自適應(yīng)安全服務(wù)、彈性安全服務(wù)為目標(biāo)，構(gòu)建分布式虛擬化結(jié)構(gòu)[5]。該虛擬化結(jié)構(gòu)的核心技術(shù)為SDN 技術(shù)，相關(guān)人員可在該技術(shù)支撐下，將虛擬機(jī)設(shè)置在網(wǎng)絡(luò)引流層內(nèi)，科學(xué)不適網(wǎng)絡(luò)安全架構(gòu)。

具體來說。相關(guān)人員可基于分布式網(wǎng)絡(luò)安全架構(gòu)特點(diǎn)，針對(duì)性的部署網(wǎng)絡(luò)安全管理設(shè)置，將Hyper-visor、SDN 控制器設(shè)置在云數(shù)據(jù)中心內(nèi)的虛擬系統(tǒng)中，建立虛擬化網(wǎng)絡(luò)安全系統(tǒng)。在該系統(tǒng)中，SDN控制器為關(guān)鍵組成部分，云數(shù)據(jù)中心終端用戶操作系統(tǒng)后，可由虛擬機(jī)、SDN 控制器進(jìn)入該網(wǎng)絡(luò)單元。隨后虛擬化網(wǎng)絡(luò)安全架構(gòu)中的服務(wù)層、引流層可自動(dòng)為用戶提供安全服務(wù)，且在虛擬網(wǎng)絡(luò)、虛擬信息交換終端交互過程中，借助SDN 控制器對(duì)網(wǎng)絡(luò)數(shù)據(jù)實(shí)施引流裝置，打造系統(tǒng)的安全服務(wù)平面控制層，為用戶安全的采集、處理數(shù)據(jù)信息提供安全通道[6]。除此之外，網(wǎng)絡(luò)安全虛擬化結(jié)構(gòu)中，相關(guān)人員還應(yīng)在安全服務(wù)平面呈中，設(shè)置多個(gè)虛擬化物流裝置，支撐數(shù)據(jù)中心內(nèi)業(yè)務(wù)編排，加強(qiáng)數(shù)據(jù)中心網(wǎng)絡(luò)安全層內(nèi)的安全服務(wù)，完善數(shù)據(jù)中心控制平臺(tái)內(nèi)的安全服務(wù)功能。但是在根據(jù)網(wǎng)絡(luò)安全虛擬化結(jié)構(gòu)設(shè)計(jì)需求，部署分布式安全服務(wù)網(wǎng)絡(luò)過程中，相關(guān)人員仍需按照云數(shù)據(jù)中心業(yè)務(wù)需求，對(duì)應(yīng)布設(shè)Hypervisor、可連接的虛擬機(jī)，強(qiáng)化安全服務(wù)模塊運(yùn)行效果。

（4）提升數(shù)據(jù)中心安全服務(wù)水平

云計(jì)算環(huán)境下云數(shù)據(jù)中心安全服務(wù)水平，直接影響著其對(duì)木馬攻擊等網(wǎng)絡(luò)安全問題的防控效率，所以為解決云數(shù)據(jù)中心的網(wǎng)絡(luò)安全問題，還應(yīng)提升數(shù)據(jù)中心安全服務(wù)水平。為此，相關(guān)人員可借助“微隔離”網(wǎng)絡(luò)安全技術(shù)，優(yōu)化虛擬網(wǎng)絡(luò)設(shè)計(jì)，加強(qiáng)用戶業(yè)務(wù)安全保護(hù)力度。首先，在分布式虛擬化網(wǎng)絡(luò)安全架構(gòu)基礎(chǔ)上，為虛擬網(wǎng)絡(luò)層的虛擬機(jī)實(shí)施安全檢測(cè)，使網(wǎng)絡(luò)安全服務(wù)功能板塊在使用過程中，在線監(jiān)測(cè)數(shù)據(jù)中心內(nèi)單一數(shù)據(jù)、報(bào)文、用戶行為[7]。同時(shí)在用戶安全行為識(shí)別、防火墻、IPS 過濾、URL 過濾等方式，檢測(cè)云數(shù)據(jù)中心運(yùn)行中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。必要時(shí)可通過實(shí)時(shí)性網(wǎng)絡(luò)安全部署，拓展安全服務(wù)模塊，不定期對(duì)云數(shù)據(jù)中心實(shí)時(shí)全面的安全檢測(cè)。而在監(jiān)測(cè)虛擬網(wǎng)絡(luò)層內(nèi)用戶行為時(shí)，安全服務(wù)版塊可根據(jù)虛擬機(jī)攻擊行為，及時(shí)借助微隔離技術(shù)，遏制內(nèi)部攻擊，定位安全控制點(diǎn)。隨后在分布式安全架構(gòu)作用下，隔離控制某網(wǎng)絡(luò)終端的非法用戶，若安全風(fēng)險(xiǎn)點(diǎn)分布較廣，技術(shù)人員可借助微隔離技術(shù)粒度的改變，將隔離控制安全服務(wù)擴(kuò)展至整個(gè)數(shù)據(jù)網(wǎng)絡(luò)層內(nèi)，逐一排查網(wǎng)絡(luò)用戶行為，保障云數(shù)據(jù)中心的安全性。

4 結(jié)語

綜上所述，云計(jì)算環(huán)境下，數(shù)據(jù)中心網(wǎng)絡(luò)安全問題尤為突出，且安全風(fēng)險(xiǎn)防控復(fù)雜程度較高。為此，相關(guān)人員應(yīng)基于系統(tǒng)性防護(hù)理念，應(yīng)用各類新興的安全技術(shù)構(gòu)建網(wǎng)絡(luò)安全防御機(jī)制。根據(jù)網(wǎng)絡(luò)安全技術(shù)發(fā)展可知，入侵防御軟件、態(tài)勢(shì)感知設(shè)備等網(wǎng)絡(luò)安全技術(shù)載體，均可在云數(shù)據(jù)中心應(yīng)用中，利用安全漏洞的及時(shí)修復(fù)，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，降低數(shù)據(jù)泄露、木馬攻擊風(fēng)險(xiǎn)，強(qiáng)化云數(shù)據(jù)中心安全性能，保障用戶、平臺(tái)方的核心利益。