徐佳曦

（上海郵電設(shè)計(jì)咨詢研究院有限公司，上海 200000）

近年來，隨著網(wǎng)絡(luò)安全和云計(jì)算迅猛發(fā)展，我國的云安全領(lǐng)域市場呈現(xiàn)出迅猛的增長態(tài)勢(shì)。相關(guān)資料表明，近三年，我國云安全市場的提升速度在40%以上，其中2021年，云安全在市場中創(chuàng)造出了接近118億元的份額。到了2022年，云安全的整體份額達(dá)到了173億元以上，增長近50%。云安全市場規(guī)模之所以擴(kuò)大這么快，離不開相關(guān)政策的扶持[1]。網(wǎng)絡(luò)安全領(lǐng)域前進(jìn)的基礎(chǔ)動(dòng)力就是政策合規(guī)，伴隨國際局勢(shì)的風(fēng)云變幻，網(wǎng)絡(luò)安全成為國家安全戰(zhàn)略的一部分，各國分別頒布了大量與網(wǎng)絡(luò)安全有關(guān)的法規(guī)與政策。2021年美國出臺(tái)了《關(guān)于優(yōu)化國家網(wǎng)絡(luò)安全的政府指令》，中國推出了《數(shù)據(jù)安全法》以及《網(wǎng)絡(luò)安全法》等。

1 云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)面臨的風(fēng)險(xiǎn)

1.1 物理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

在物理網(wǎng)絡(luò)中，最基本的安全問題之一是面臨DDoS攻擊。DDoS攻擊在網(wǎng)絡(luò)運(yùn)行期間對(duì)其造成嚴(yán)重威脅。特別是在云計(jì)算環(huán)境中，出于應(yīng)對(duì)DDoS攻擊的考慮，云服務(wù)器往往會(huì)受到一定的限制，導(dǎo)致云服務(wù)器在極短的時(shí)間內(nèi)會(huì)接收到大量的DDoS請(qǐng)求。因此，服務(wù)器因?yàn)檫^載而導(dǎo)致系統(tǒng)崩潰，從而干擾到正常的訪問請(qǐng)求。不法分子專門利用DDoS攻擊手段，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)聽，或者盜取與用戶相關(guān)的核心數(shù)據(jù)，該惡意行為極大地威脅著網(wǎng)絡(luò)安全，并且嚴(yán)重削弱了用戶數(shù)據(jù)的保護(hù)[2]。

1.2 虛擬網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

為了提高網(wǎng)絡(luò)的安全性，云計(jì)算數(shù)據(jù)中心采用了最初的網(wǎng)絡(luò)安全措施，并設(shè)置了防火墻。然而，在虛擬網(wǎng)絡(luò)環(huán)境下，僅依賴有限的數(shù)據(jù)保護(hù)措施無法確保網(wǎng)絡(luò)數(shù)據(jù)的安全，更談不上構(gòu)建強(qiáng)大的網(wǎng)絡(luò)安全體系。在云計(jì)算條件下，用戶可以根據(jù)自身需求向服務(wù)器發(fā)送訪問請(qǐng)求，以獲取相關(guān)資源。此外，使用單個(gè)物理主機(jī)即可同時(shí)運(yùn)行多個(gè)虛擬服務(wù)設(shè)備，提供了靈活性和效率。然而，即使在網(wǎng)絡(luò)環(huán)境下，仍然存在許多無法監(jiān)控到的潛在威脅，因此從安全性的角度來看，信息的保護(hù)程度遠(yuǎn)遠(yuǎn)不夠高效和合理，使得網(wǎng)絡(luò)在任何時(shí)刻都面臨著遭受攻擊和侵害的風(fēng)險(xiǎn)[3]。

1.3 虛擬交換層安全風(fēng)險(xiǎn)

在數(shù)據(jù)中心采用虛擬化技術(shù)進(jìn)行配置后，網(wǎng)絡(luò)的邊緣區(qū)域呈現(xiàn)出動(dòng)態(tài)性的變化，對(duì)于確保網(wǎng)絡(luò)的安全性提出了更高的要求，因此我們不得不完全依賴網(wǎng)絡(luò)安全系統(tǒng)。此外，在網(wǎng)絡(luò)安全策略和流量感知性能方面也會(huì)提出更高的要求。對(duì)于數(shù)據(jù)中心而言，引入虛擬交換技術(shù)會(huì)導(dǎo)致全新且獨(dú)特的網(wǎng)絡(luò)層次的形成。正如虛擬交換層的引入，網(wǎng)絡(luò)管理的邊界和功能在判斷上變得更加復(fù)雜，使得網(wǎng)絡(luò)系統(tǒng)更難以感知虛擬服務(wù)器的存在[4]。虛擬區(qū)域與數(shù)據(jù)中心之間的聯(lián)系變得不可分割。該點(diǎn)在網(wǎng)絡(luò)系統(tǒng)中尤為重要，因?yàn)樘摂M化技術(shù)的應(yīng)用使得網(wǎng)絡(luò)管理的挑戰(zhàn)更加復(fù)雜，但也提供了更高的靈活性和效率。

2 云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)

2.1 安全服務(wù)控制模塊

安全服務(wù)控制平臺(tái)負(fù)責(zé)作為服務(wù)平臺(tái)的外部接口，向北提供服務(wù)，進(jìn)行業(yè)務(wù)編排，進(jìn)行整個(gè)生命周期的管理，并負(fù)責(zé)引流下發(fā)和決策，同時(shí)也負(fù)責(zé)安全策略的下發(fā)和配置。在數(shù)據(jù)中心的核心控制平臺(tái)中，業(yè)務(wù)編排設(shè)備能夠根據(jù)用戶的實(shí)際業(yè)務(wù)需求，通過使用安全服務(wù)控制平臺(tái)的北向接口（NBI）來進(jìn)行安全服務(wù)的配置。生命周期控制模塊位于控制平臺(tái)中，通過調(diào)用數(shù)據(jù)中心控制平臺(tái)的API來控制服務(wù)構(gòu)件的啟動(dòng)和停止。此外，安全服務(wù)能夠從數(shù)據(jù)中心收集實(shí)時(shí)信息，包括用戶資產(chǎn)的配置信息，例如虛擬網(wǎng)絡(luò)和虛擬機(jī)。管理員通過安全控制界面來管理此類安全服務(wù)。操縱平面能夠在物理機(jī)或虛擬機(jī)上運(yùn)行，并支持多機(jī)部署模式，以滿足容量擴(kuò)展和高可用性的要求。

2.2 安全服務(wù)功能模塊

分散式服務(wù)構(gòu)件構(gòu)成了安全服務(wù)平面。根據(jù)用戶的具體需求，在單臺(tái)物理機(jī)上，能夠安裝一臺(tái)或多臺(tái)安全服務(wù)構(gòu)件。此類安全服務(wù)構(gòu)件有兩種實(shí)現(xiàn)方式，一種是虛擬機(jī)，另一種是虛擬化管理軟件。如果選擇虛擬機(jī)作為服務(wù)構(gòu)件，那么可以在虛擬機(jī)中集成更復(fù)雜的性能，同時(shí)利用網(wǎng)絡(luò)層面擴(kuò)展并集成更多的服務(wù)構(gòu)件，從而創(chuàng)建一個(gè)龐大的服務(wù)鏈。此外，虛擬機(jī)還有一個(gè)顯著的特點(diǎn)，即選擇虛擬機(jī)模式后，不再需要特定的虛擬化管理軟件。同一種安全服務(wù)虛擬機(jī)可以在大多數(shù)數(shù)據(jù)中心和多數(shù)虛擬化管理軟件上運(yùn)行，而且無需對(duì)虛擬機(jī)進(jìn)行任何修改，虛擬機(jī)不僅豐富了其運(yùn)行方式，還優(yōu)化了運(yùn)行流程。通常情況下，大多數(shù)虛擬機(jī)在運(yùn)行時(shí)都包含擴(kuò)展服務(wù)和安全服務(wù)。

2.3 引流技術(shù)模塊

針對(duì)在虛擬化監(jiān)控程序中運(yùn)行的安全服務(wù)組件來說，能夠直接通過虛擬化監(jiān)控程序?qū)崿F(xiàn)數(shù)據(jù)引流效果。而在虛擬機(jī)中的安全組件，則必須依賴外部的引流機(jī)制，才能實(shí)現(xiàn)用戶虛擬機(jī)到服務(wù)組件的數(shù)據(jù)引流效果。

（1）虛擬化監(jiān)控程序API：如果虛擬化監(jiān)控程序提供了直接從端口到端口的引流API，選擇API將確保效率最大化。然而，API必須與虛擬化監(jiān)控程序綁定在一起，才能實(shí)現(xiàn)直接調(diào)用。

（2）中央用戶虛擬交換機(jī)API：從用戶虛擬機(jī)到安全服務(wù)的數(shù)據(jù)引流過程可以利用中央用戶虛擬交換機(jī)的基本設(shè)置來實(shí)現(xiàn)，而無需特殊支持虛擬化監(jiān)控程序。因此，大多數(shù)數(shù)據(jù)中心采用該方法。

（3）軟件定義網(wǎng)絡(luò)API：在構(gòu)建虛擬網(wǎng)絡(luò)時(shí)，如果選擇了軟件定義網(wǎng)絡(luò)（SDN），則數(shù)據(jù)引流需要通過調(diào)用SDN控制設(shè)備的API來實(shí)現(xiàn)。對(duì)于不同類型的SDN，只需要適配API即可實(shí)現(xiàn)相應(yīng)功能。安全策略控制組件可以根據(jù)安全策略進(jìn)行相關(guān)設(shè)置，并確定數(shù)據(jù)引流需求，還可以利用調(diào)用SDN控制設(shè)備的API來實(shí)現(xiàn)流量引導(dǎo)。在充分了解了以上三種數(shù)據(jù)引流方法后，如果以適用性為主要選擇依據(jù)，只有第一種方法無法高效地滿足需求，而后兩種方法則能夠更高效地滿足安全服務(wù)的配置需求。

2.4 安全保障模塊

該模塊的構(gòu)建涉及到數(shù)據(jù)中樞內(nèi)的虛擬網(wǎng)絡(luò)和虛擬機(jī)。從邏輯上看，此類部署必須與其他用戶資源明顯區(qū)分，以確保其他用戶不會(huì)對(duì)安全服務(wù)造成干擾。選擇使用加密通道來進(jìn)行安全服務(wù)虛擬機(jī)之間的通信，以確保操縱和配置的保密性。自主恢復(fù)、錯(cuò)誤自檢以及高可用性部署均確保了安全服務(wù)的高效性。允許多類別的數(shù)據(jù)中樞：可以在SDN或虛擬機(jī)上運(yùn)行安全服務(wù)，以確保安全服務(wù)不會(huì)與任何虛擬化管理軟件或管理平臺(tái)綁定，從而實(shí)現(xiàn)在多種形態(tài)的數(shù)據(jù)中心進(jìn)行部署。開放接口和綜合管理：操作平面為管理員提供了一個(gè)全面控制安全服務(wù)組件的接口。

3 云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)的防范策略

3.1 拓展數(shù)據(jù)中心安全系統(tǒng)功能

為了增強(qiáng)數(shù)據(jù)中心的安全性，可以采用密鑰控管模式。為了防止數(shù)據(jù)中心被違規(guī)用戶登錄、瀏覽，甚至是竊取破壞，需要對(duì)數(shù)據(jù)中心配備密鑰。此措施與計(jì)算機(jī)防火墻技術(shù)相近，就是把非法訪問的用戶完全隔離在網(wǎng)絡(luò)之外，阻斷其登錄請(qǐng)求，同時(shí)在網(wǎng)絡(luò)平臺(tái)訪問設(shè)定上，也要完成相關(guān)身份鑒別，確保用戶在進(jìn)入數(shù)據(jù)中心后，能夠在平臺(tái)的引導(dǎo)下訪問那些開放授權(quán)的數(shù)據(jù)，不能讓用戶無限制地瀏覽所有數(shù)據(jù)，因?yàn)槠渲邪ê芏嗯c用戶沒有太大關(guān)聯(lián)，但卻非常重要的信息。而且當(dāng)下的網(wǎng)絡(luò)環(huán)境非常開放，借助這種密鑰手段，能夠?qū)崿F(xiàn)對(duì)訪問用戶的高效控制，極大地提升數(shù)據(jù)中心的安全性。密鑰技術(shù)最核心的手段就是密鑰控制，給每個(gè)用戶都配置一把專屬的密鑰，同時(shí)密鑰要具備充足的“長度”，以此來增加攻擊者的攻破難度，進(jìn)而增加數(shù)據(jù)中心的風(fēng)險(xiǎn)防范能力。

3.2 完善身份認(rèn)證管理體系

要想完善該體系，就需要用到網(wǎng)絡(luò)申請(qǐng)控制技術(shù)，即網(wǎng)絡(luò)權(quán)限技術(shù)?；诰W(wǎng)絡(luò)安全防御系統(tǒng)，維護(hù)網(wǎng)絡(luò)運(yùn)行安全的關(guān)鍵措施就是應(yīng)用申請(qǐng)控制技術(shù)，把沒有訪問權(quán)限的全部用戶隔離在系統(tǒng)之外，確保這些“黑戶”不能訪問網(wǎng)絡(luò)平臺(tái)。此外，除了依賴用戶權(quán)限設(shè)置外，還需要借助互聯(lián)網(wǎng)申請(qǐng)限定技術(shù)，以實(shí)現(xiàn)對(duì)用戶登錄的高效合理控制。該技術(shù)作為最外層的控制機(jī)制，必須確保用戶只能夠訪問規(guī)定的網(wǎng)絡(luò)平臺(tái)，并對(duì)其瀏覽和下載相關(guān)信息資源的時(shí)間進(jìn)行規(guī)范限制。不能允許用戶在平臺(tái)內(nèi)無限制滯留，而是要確保每次上網(wǎng)都有特定的時(shí)長限制。

3.3 強(qiáng)化數(shù)據(jù)安全管理，深度加密

云網(wǎng)絡(luò)中最容易受到攻擊的便是云計(jì)算數(shù)據(jù)。數(shù)據(jù)中心存儲(chǔ)了大量非常有價(jià)值的信息，為了防止信息被攻擊，就必須提升網(wǎng)絡(luò)安全存儲(chǔ)技術(shù)，具體的措施是，對(duì)數(shù)據(jù)隔離區(qū)域以及數(shù)據(jù)存儲(chǔ)部位等都必須進(jìn)行完善的配置，以防止數(shù)據(jù)遭受毀壞。為了完成對(duì)云計(jì)算數(shù)據(jù)的高效保障，需要選擇獨(dú)立隔離的模式。這就要求云計(jì)算數(shù)據(jù)控管平臺(tái)，在保證數(shù)據(jù)資源共享的前提下，還要優(yōu)化數(shù)據(jù)加密技術(shù)，進(jìn)而完成對(duì)訪問對(duì)象的合理把控。除此之外，還要加強(qiáng)對(duì)網(wǎng)絡(luò)安全保護(hù)的重視，以保證系統(tǒng)可以順暢運(yùn)作。同時(shí)還要將關(guān)鍵的數(shù)據(jù)信息進(jìn)行備份，完善安全存儲(chǔ)措施，進(jìn)而確保所有數(shù)據(jù)信息都處于完整、安全的狀態(tài)。

3.4 優(yōu)化云數(shù)據(jù)中心安全架構(gòu)算法

確保云計(jì)算擁有安全的核心架構(gòu)，才能確保云數(shù)據(jù)系統(tǒng)的安全。因此在架構(gòu)中，必須合理應(yīng)用這些技術(shù)。第一，虛擬化技術(shù)。其作用是通過虛擬化，把物理資源轉(zhuǎn)變?yōu)槿舾商摂M資源，進(jìn)而完成資源的利用與共享。虛擬化技術(shù)能夠增加云數(shù)據(jù)中心的可拓張性與靈活性，還能夠增加系統(tǒng)整體的安全性。第二，授權(quán)與安全認(rèn)證技術(shù)。其作用是依靠訪問授權(quán)與身份認(rèn)證來確保云數(shù)據(jù)中心的安全。通過合理應(yīng)用該技術(shù)，能夠在很大程度上攔截住非法訪問的用戶。第三，審計(jì)與安全監(jiān)控技術(shù)。其能夠?qū)υ茢?shù)據(jù)中心進(jìn)行審計(jì)與實(shí)時(shí)性的監(jiān)控，進(jìn)而能夠在第一時(shí)間找出并解決安全問題。

3.5 以風(fēng)險(xiǎn)控制為導(dǎo)向優(yōu)化云端安全節(jié)點(diǎn)

第一，封閉用戶使用不到的端口與服務(wù)。因?yàn)榉?wù)器系統(tǒng)在組裝期間會(huì)運(yùn)行一些沒有用的服務(wù)，這會(huì)極大地增加了系統(tǒng)的安全隱患，同時(shí)也占用了系統(tǒng)的有效資源空間。因此，對(duì)于不需要的服務(wù)器，要進(jìn)行全面封閉。第二，配置防火墻。當(dāng)下有非常多的以軟件或是硬件為核心的防火墻，對(duì)云端安全節(jié)點(diǎn)來說，裝配防火墻能夠有效提升云端安全性，合理地規(guī)避可能出現(xiàn)的風(fēng)險(xiǎn)。不過配置防火墻后，還要對(duì)防火墻進(jìn)行設(shè)定，要結(jié)合實(shí)際的網(wǎng)絡(luò)環(huán)境和用戶的相關(guān)需求，選擇最適當(dāng)?shù)膮?shù)或規(guī)范，如此一來，才能使防火墻發(fā)揮出應(yīng)有的功效，并且也增強(qiáng)了云端節(jié)點(diǎn)抵御風(fēng)險(xiǎn)的能力。

4 結(jié)束語

為應(yīng)對(duì)云數(shù)據(jù)中心網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提出了一個(gè)綜合的網(wǎng)絡(luò)安全服務(wù)架構(gòu)，包括安全服務(wù)控制模塊、安全服務(wù)功能模塊、引流技術(shù)模塊和安全保障模塊。此外，還提出了一系列防范策略，如拓展數(shù)據(jù)中心安全系統(tǒng)功能、完善身份認(rèn)證管理體系、強(qiáng)化數(shù)據(jù)安全管理與深度加密、優(yōu)化云數(shù)據(jù)中心安全架構(gòu)算法以及以風(fēng)險(xiǎn)控制為導(dǎo)向優(yōu)化云端安全節(jié)點(diǎn)等。未來，云數(shù)據(jù)中心網(wǎng)絡(luò)安全仍然是一個(gè)充滿挑戰(zhàn)但充滿潛力的領(lǐng)域。隨著云計(jì)算技術(shù)的不斷發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)攻擊威脅也在不斷演化，因此需要持續(xù)改進(jìn)和升級(jí)網(wǎng)絡(luò)安全服務(wù)架構(gòu)和防范機(jī)制，進(jìn)一步提高網(wǎng)絡(luò)安全的自動(dòng)化和智能化水平，以及深入研究新興技術(shù)如人工智能和區(qū)塊鏈在云數(shù)據(jù)中心網(wǎng)絡(luò)安全中的應(yīng)用?！?/p>