劉曉軍

（大慶油田信息技術(shù)公司 規(guī)劃設(shè)計(jì)所，黑龍江 大慶 163453）

云環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全部署

劉曉軍

（大慶油田信息技術(shù)公司 規(guī)劃設(shè)計(jì)所，黑龍江 大慶 163453）

云環(huán)境之下的網(wǎng)絡(luò)安全，呈現(xiàn)出與既往環(huán)境不同的新型特征，橫縱向數(shù)據(jù)流量的陡然增加，成為該種體系之下的新型挑戰(zhàn)。文章首先就云環(huán)境下數(shù)據(jù)中心安全需求相關(guān)特征展開(kāi)了必要的分析，而后進(jìn)一步對(duì)安全部署體系之下的幾種主要技術(shù)加以討論。

云；安全；數(shù)據(jù)；網(wǎng)絡(luò)

1　云環(huán)境下數(shù)據(jù)中心安全需求分析

網(wǎng)絡(luò)環(huán)境的發(fā)展，在云概念出現(xiàn)之后呈現(xiàn)出了諸多新型特征。傳統(tǒng)的數(shù)據(jù)中心安全部署通常遵從分區(qū)分層的總體概念，這種思路在網(wǎng)絡(luò)相對(duì)有限的情況之下能夠很好地發(fā)揮作用，并且層級(jí)工作方式能夠?qū)崿F(xiàn)面向信息的逐級(jí)過(guò)濾。

所謂分區(qū)規(guī)劃，就是面向不同的網(wǎng)絡(luò)細(xì)分來(lái)實(shí)現(xiàn)安全保護(hù)。不同的網(wǎng)絡(luò)細(xì)分會(huì)在其自身安全價(jià)值和受攻擊程度傾向水平上表現(xiàn)出差異，因此可以依據(jù)不同的策略來(lái)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)分，并且展開(kāi)對(duì)應(yīng)的網(wǎng)絡(luò)安全部署。常見(jiàn)的網(wǎng)絡(luò)分區(qū)依據(jù)有業(yè)務(wù)需求、數(shù)據(jù)流、應(yīng)用以及邏輯功能、安全需求水平或數(shù)據(jù)敏感程度等幾個(gè)方面。通常來(lái)說(shuō)，數(shù)據(jù)中心網(wǎng)絡(luò)在安全思想的指導(dǎo)之下分為核心區(qū)、外聯(lián)業(yè)務(wù)區(qū)、Internet區(qū)、測(cè)試區(qū)、運(yùn)營(yíng)管理區(qū)、集成區(qū)、存儲(chǔ)區(qū)以及容災(zāi)備份區(qū)幾個(gè)方面，不同的分區(qū)承擔(dān)不同職責(zé)，共同實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)環(huán)境中的安全部署體系。而對(duì)于分層部署而言，則是在實(shí)現(xiàn)有效有序分區(qū)的基礎(chǔ)之上，依據(jù)安全防護(hù)部署需求在不同的區(qū)域邊界處，依據(jù)實(shí)際情況展開(kāi)對(duì)應(yīng)的安全部署，包括防DDoS攻擊、流量分析與控制，異構(gòu)多重防火墻、VPN、入侵防御以及負(fù)載均衡等。

但是在云計(jì)算環(huán)境之下，雖然其基礎(chǔ)數(shù)據(jù)中心與傳統(tǒng)環(huán)境并不存在太大差別，但是如何在云網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)資源的有效配給和利用，意味著數(shù)據(jù)中心虛擬機(jī)必然會(huì)成為主要提供服務(wù)的計(jì)算資源，相應(yīng)的數(shù)據(jù)中心建設(shè)也呈現(xiàn)出新的特征。首先是性能方面，云網(wǎng)絡(luò)流量模型呈現(xiàn)出從外部到內(nèi)部的縱向流量增加，以及云環(huán)境內(nèi)部虛擬機(jī)之間的橫向流量增加兩個(gè)層面特征，進(jìn)一步在存儲(chǔ)能力和數(shù)據(jù)處理分析能力兩個(gè)方面的需求得到提升。而當(dāng)數(shù)據(jù)吞吐量增加的時(shí)候，尤其是橫縱向兩個(gè)方面的流量增加，直接導(dǎo)致了數(shù)據(jù)的傳輸總量呈現(xiàn)出指數(shù)級(jí)增長(zhǎng)，而傳統(tǒng)環(huán)境中的分區(qū)分層的數(shù)據(jù)安全部署，在這樣的數(shù)據(jù)總量的背景之下必然會(huì)局限于整體的安全運(yùn)算能力，從而無(wú)法有效展開(kāi)安全保護(hù)。

2　云環(huán)境下的安全部署核心技術(shù)

在云環(huán)境下，大數(shù)據(jù)以及資源共享是其最為顯著的特征，因此侵入供給、拒絕服務(wù)攻擊DoS以及分布式拒絕服務(wù)攻擊DDoS，蠕蟲(chóng)病毒成為最為典型的安全問(wèn)題。這幾個(gè)方面的安全問(wèn)題，主要攻擊點(diǎn)在于廣泛傳播，或者對(duì)網(wǎng)絡(luò)資源的非法占用，通過(guò)這兩種方式，來(lái)阻礙網(wǎng)絡(luò)環(huán)境中的安全設(shè)備正常工作。

為了保障云環(huán)境中的數(shù)據(jù)中心安全，抵制來(lái)自于多個(gè)方面的攻擊，相應(yīng)的安全技術(shù)也在不斷研發(fā)并且層出不窮。不同的安全技術(shù)之間相互配合形成一個(gè)統(tǒng)一有效的整體，共同構(gòu)建起完整的安全防御體系。在這個(gè)體系之中，有如下幾個(gè)方面的核心技術(shù)，對(duì)于云環(huán)境下的數(shù)據(jù)中心安全意義重大。

2.1虛擬網(wǎng)絡(luò)

對(duì)虛擬網(wǎng)絡(luò)這一方面，主要得到應(yīng)用的技術(shù)包括虛擬專(zhuān)用網(wǎng)（Virtual Private Network，VPN）以及虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）。其中前者通過(guò)相關(guān)的協(xié)議，在公共數(shù)據(jù)網(wǎng)環(huán)境中建立起一個(gè)安全穩(wěn)定的虛擬邏輯網(wǎng)絡(luò)。VPN在網(wǎng)絡(luò)環(huán)境中的應(yīng)用，首先能夠提供防火墻到防火墻的應(yīng)用，實(shí)現(xiàn)地處不同位置的同一個(gè)組織之間的安全通信；此外還能夠提供移動(dòng)用戶(hù)與VPN防火墻之間的連通，支持企業(yè)環(huán)境中移動(dòng)用戶(hù)的訪(fǎng)問(wèn)。當(dāng)前該領(lǐng)域的主要發(fā)展趨勢(shì)在于引入網(wǎng)絡(luò)控制與應(yīng)用控制，通過(guò)VPN與身份控制以及訪(fǎng)問(wèn)控制技術(shù)的有機(jī)結(jié)合，為網(wǎng)絡(luò)用戶(hù)提供有效的安全隔離。而對(duì)于后者而言，主要是考慮到當(dāng)前數(shù)據(jù)中心中多業(yè)務(wù)運(yùn)營(yíng)的需求，會(huì)造成服務(wù)器與用戶(hù)之間的縱向數(shù)據(jù)流向比重增加，因此該項(xiàng)技術(shù)能夠?qū)⒉煌蛻?hù)的不同業(yè)務(wù)從第二層隔離開(kāi)，分配一個(gè)VLAN和IP子網(wǎng)，并且不同的VLAN具有不同的安全級(jí)別端口，有利于展開(kāi)更具有針對(duì)性的安全保護(hù)部署。

2.2防火墻

防火墻是網(wǎng)絡(luò)環(huán)境中安全部署的基礎(chǔ)環(huán)節(jié)，用于實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)邊界的安全，同時(shí)能夠提供良好的擴(kuò)展能力。當(dāng)前網(wǎng)絡(luò)環(huán)境中的Dos以及DDos攻擊手段繁多，因此對(duì)應(yīng)的防火墻的建設(shè)也不容忽視。常見(jiàn)的防火墻技術(shù)有基于狀態(tài)以及基于流的兩類(lèi)，前者將狀態(tài)檢測(cè)技術(shù)應(yīng)用在A(yíng)CL技術(shù)之上，用以來(lái)對(duì)通過(guò)防火墻的數(shù)據(jù)包進(jìn)行動(dòng)態(tài)的分析和判斷；而后者則基于流分析，來(lái)提供更好的轉(zhuǎn)發(fā)性能，同時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的異常數(shù)據(jù)傳輸狀況。

2.3入侵檢測(cè)

在實(shí)際的應(yīng)用過(guò)程中，入侵檢測(cè)常常會(huì)與流量分析和清洗一同配合展開(kāi)。入侵檢測(cè)是一種相對(duì)主動(dòng)的安全技術(shù)，能夠面向蠕蟲(chóng)、網(wǎng)絡(luò)釣魚(yú)、后門(mén)木馬、間諜軟件等應(yīng)用層攻擊展開(kāi)檢測(cè)，目前多用于網(wǎng)絡(luò)節(jié)點(diǎn)上以及網(wǎng)絡(luò)內(nèi)部環(huán)境，可以通過(guò)在數(shù)據(jù)中心出口以及內(nèi)部安全區(qū)的網(wǎng)絡(luò)匯聚層采用旁?huà)旎蚺c網(wǎng)絡(luò)設(shè)備融合進(jìn)行部署。在當(dāng)前云環(huán)境之下，入侵檢測(cè)能提供較好的針對(duì)性特征，從而對(duì)優(yōu)化網(wǎng)絡(luò)環(huán)境下的安全運(yùn)算能力有著重要意義。

3　結(jié) 語(yǔ)

云環(huán)境之下的數(shù)據(jù)中心網(wǎng)絡(luò)安全部署，應(yīng)當(dāng)是一個(gè)綜合化的有機(jī)整體，其中包括諸多組件協(xié)同工作。在該領(lǐng)域之下，除了需要密切關(guān)注相關(guān)技術(shù)的發(fā)展以外，還應(yīng)當(dāng)加強(qiáng)管理，密切關(guān)注包括用戶(hù)授權(quán)以及數(shù)據(jù)生命周期識(shí)別等在內(nèi)的安全思想，切實(shí)打造高效穩(wěn)定的安全網(wǎng)絡(luò)，支撐起組織的未來(lái)。

主要參考文獻(xiàn)

［1］戚麗，蔣東興，武海平，等.校園數(shù)據(jù)中心建設(shè)與管理方法的探索［J］.中國(guó)教育信息化，2002（z1）.

［2］WW Lin. Survey of Resource Scheduling in Cloud Computing［J］. Computer Science，2012（10）.

10.3969/j.issn.1673 - 0194.2016.20.110

TP393.08

A

1673-0194（2016）20-0162-01

2016-09-20