劉晨昱

摘要：云計算技術(shù)在計算機網(wǎng)絡(luò)中得到了廣泛的應(yīng)用，云數(shù)據(jù)中心網(wǎng)絡(luò)的信息安全服務(wù)也為人們帶來了極大的挑戰(zhàn)，虛擬網(wǎng)絡(luò)安全技術(shù)能夠有效地解決網(wǎng)絡(luò)安全問題，通過對云數(shù)據(jù)中心的安全需求進行分析，探究了分布式云數(shù)據(jù)中心安全服務(wù)的需求，提出了分布式虛擬網(wǎng)絡(luò)的安全架構(gòu)，并虛擬網(wǎng)絡(luò)的安全服務(wù)性能與要求等進行全面的研究。

關(guān)鍵詞：云數(shù)據(jù);中心網(wǎng)絡(luò);安全服務(wù)

文章編號：1009-3044（2020）20-0055-02

云數(shù)據(jù)技術(shù)實現(xiàn)了以用戶為中心的自動化計算、網(wǎng)絡(luò)管理、服務(wù)管理與白動存儲技術(shù)，云技術(shù)的計算虛擬化以及存儲虛擬化、網(wǎng)絡(luò)虛擬化的功能，能夠數(shù)據(jù)中心的物理數(shù)據(jù)資源進行抽象化處理、資源池化處理，使得用戶獲得數(shù)據(jù)更加高效、便捷彈性，也方便用戶將關(guān)鍵的數(shù)據(jù)處理業(yè)務(wù)從傳統(tǒng)的數(shù)據(jù)處理中心向虛擬化的數(shù)據(jù)中心轉(zhuǎn)移。但是，在數(shù)據(jù)虛擬化轉(zhuǎn)移的過程中，網(wǎng)絡(luò)信息的安全成為人們關(guān)注的重點，如何云數(shù)據(jù)平臺提供安全中心服務(wù)，是目前迫切需要解決的問題。

1數(shù)據(jù)中心的安全需求

云數(shù)據(jù)安全處理中，需要將安全服務(wù)進行虛擬化處理，要求必須遵循數(shù)據(jù)中心的虛擬要求與軟件定義的基本思路，才能有機將其他安全技術(shù)結(jié)合在一起，為數(shù)據(jù)安全提供服務(wù)。

1.1數(shù)據(jù)中心特性

由于云數(shù)據(jù)中心的安全服務(wù)管理，必須統(tǒng)一到云數(shù)據(jù)中心管理平臺上，要求在數(shù)據(jù)具有彈性、敏捷性與高效性，才能實現(xiàn)數(shù)據(jù)安全的統(tǒng)一需求，具有如下的特性：

（1）敏捷性。云數(shù)據(jù)的安全服務(wù)一般都需要部署在云平臺管理中心，保障整個云數(shù)據(jù)中心都處在安全服務(wù)保障體系中，并且要求安全保障服務(wù)自動地啟動與停止不會影響云數(shù)據(jù)的使用，能夠滿足數(shù)據(jù)安全保護的敏捷性要求;

（2）彈性。云數(shù)據(jù)的安全保護能夠?qū)崿F(xiàn)動態(tài)的管理，及時調(diào)整安全策略，以滿足數(shù)據(jù)使用以及業(yè)務(wù)變化的能力，動態(tài)調(diào)整的過程需要自動進行，基于一定的規(guī)則開展安全檢測，要求安全服務(wù)的彈性非常好，才能滿足要求;

（3）高效性。能夠?qū)崿F(xiàn)多種用戶同時共享云數(shù)據(jù)資源，采用同一資源能夠反復(fù)利用的方式，實現(xiàn)云數(shù)據(jù)中的物理資源反復(fù)利用，就需要保障安全服務(wù)能夠為多個用戶分分享，實現(xiàn)資源統(tǒng)一管理與利用。

1.2數(shù)據(jù)中心的網(wǎng)絡(luò)安全需求

在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)中，網(wǎng)絡(luò)的物理安全設(shè)備結(jié)構(gòu)比較固定，無法對高度動態(tài)的用戶資源提供安全防護。云數(shù)據(jù)中心采用了動態(tài)處理的技術(shù)，要求網(wǎng)絡(luò)實現(xiàn)安全服務(wù)資源化、資源池化，保證在數(shù)據(jù)處理的過程中，實現(xiàn)數(shù)據(jù)傳輸?shù)拿艚菪浴椥耘c高效型，以與計算、存儲和網(wǎng)絡(luò)資源的利用以相同的方式提供安全支持服務(wù)。

2分布式云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)性能

云計算技術(shù)經(jīng)歷計算虛擬化、存儲虛擬化、網(wǎng)絡(luò)傳輸虛擬化等一系列的技術(shù)，以及在數(shù)據(jù)中心的軟件自定義，在技術(shù)演進的中，不管是單一的技術(shù)還是采用軟件定義，在數(shù)據(jù)中心需要采用統(tǒng)一的平臺進行管理，才能有效為用戶提供安全的網(wǎng)絡(luò)服務(wù)。

2.1數(shù)據(jù)中心對網(wǎng)絡(luò)安全服務(wù)的需求

（1）業(yè)務(wù)跟隨。在云數(shù)據(jù)中心需要隨時保障用戶數(shù)據(jù)的安全，在安全服務(wù)要跟隨虛擬機中遷移而遷移，以實現(xiàn)數(shù)據(jù)的安全防護以及用戶業(yè)務(wù)流量的全過程跟隨，保證數(shù)據(jù)流量不中斷，安全服務(wù)不中斷。

（2）服務(wù)擴展。云數(shù)據(jù)中心的安全服務(wù)要能根據(jù)服務(wù)的演變而不斷地調(diào)整策略，以防止惡意的攻擊，實現(xiàn)在現(xiàn)有的基礎(chǔ)上進行服務(wù)更新、拓展，否則會影響云數(shù)據(jù)中心的安全服務(wù)的發(fā)揮，實現(xiàn)數(shù)據(jù)安全服務(wù)不斷地拓展。

（3）支持多類型數(shù)據(jù)中心。云數(shù)據(jù)安全中心要能夠滿足不同云數(shù)據(jù)服務(wù)的需求，要求安全控制中心能夠獨立于系統(tǒng)管理平臺。為保障安全，在必要時可以舍棄Hypervisor技術(shù)支持，支持不同跨技術(shù)平臺的數(shù)據(jù)安全控制，以保障不同云平臺數(shù)據(jù)安全中心的數(shù)據(jù)安全。

2.2網(wǎng)絡(luò)安全服務(wù)的實現(xiàn)

云數(shù)據(jù)網(wǎng)絡(luò)安全分為虛擬化安全與軟件定義安全兩種方式，在SDN技術(shù)中，虛擬化安全是常用的技術(shù)，它有兩種網(wǎng)絡(luò)部署方式，一種是采用虛擬網(wǎng)絡(luò)邊界的方式進行部署，它的組網(wǎng)方式與物理網(wǎng)絡(luò)組網(wǎng)的方式相同，虛擬安全網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)的保護采用控制網(wǎng)絡(luò)邊界的流量實現(xiàn)的，每個用戶對虛擬化安全設(shè)備進行單獨管理，這種安全控制方式，在本質(zhì)上是將一臺物理安全設(shè)備虛擬化處理，實現(xiàn)網(wǎng)絡(luò)的安全控制，實現(xiàn)對數(shù)據(jù)中心的系統(tǒng)服務(wù)敏捷性、彈性以及多用戶支持服務(wù)的要求。軟件定義的部署方式是在需要安全服務(wù)的所有物理設(shè)備上安裝虛擬化安全設(shè)備，并安裝多設(shè)備的管理系統(tǒng)，實現(xiàn)多個網(wǎng)絡(luò)虛擬設(shè)備安全轉(zhuǎn)發(fā)策略，這種技術(shù)的本質(zhì)上是將多臺物理網(wǎng)絡(luò)設(shè)備以及多設(shè)備管理服務(wù)器進行虛擬化處理，以提高網(wǎng)絡(luò)安全服務(wù)的遷移功能。

2.3分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)

在云數(shù)據(jù)中心采用虛擬化部署與軟件定義部署的方式，實現(xiàn)云平臺的控制平面與數(shù)據(jù)平面分離，實現(xiàn)云數(shù)據(jù)安全中心的虛擬化，能夠為用戶提供彈性、靈活、自適應(yīng)等能力的安全服務(wù)。在具體的設(shè)計中，一般采用基于SDN技術(shù)的方式來實現(xiàn)分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)，在系統(tǒng)的引流層采用虛擬機的方式實現(xiàn)網(wǎng)絡(luò)安全架構(gòu)部署，結(jié)合分布式網(wǎng)絡(luò)的特征，構(gòu)建了如圖1所示的系統(tǒng)架構(gòu)，其中虛線部分為虛擬化的網(wǎng)絡(luò)安全管理部分。

該數(shù)據(jù)中心的具體架構(gòu)包括云數(shù)據(jù)中心管理平臺、Hyper-visor和虛擬網(wǎng)絡(luò)三部分，SDN控制器也是云數(shù)據(jù)中的重要組成部分，用戶的虛擬機接入虛擬網(wǎng)絡(luò)需要通過Hypervisor，云數(shù)據(jù)的安全服務(wù)通過控制平面部署，與數(shù)據(jù)中心進行交互，經(jīng)過引流平面與服務(wù)平面進行提供安全服務(wù)，并配置二者的安全功能，在系統(tǒng)中，采用虛擬網(wǎng)絡(luò)單元對網(wǎng)絡(luò)中的虛擬交換機API或SDN APl對網(wǎng)絡(luò)的數(shù)據(jù)進行動態(tài)化的引流配置，在多個物理機上配置了安全服務(wù)平面，為控制平面在控制與服務(wù)部署提供通道。安全控制平面主要部署在多個虛擬的物理設(shè)備上，控制數(shù)據(jù)中心的業(yè)務(wù)數(shù)編排、引流決策以及安全策略配置，數(shù)據(jù)中心管理平臺上的業(yè)務(wù)編排器根據(jù)用戶的業(yè)務(wù)需求控制數(shù)據(jù)中心的安全，并通過控制平面的NBI來配置數(shù)據(jù)中心的安全服務(wù)，管理員可以通過安全控制管理界面，設(shè)置控制平臺的服務(wù)功能。系統(tǒng)的安全服務(wù)平面采用分布式的方式部署，根據(jù)數(shù)據(jù)中心T作的需求，可以在物理機上部署多個安全服務(wù)模塊，它對網(wǎng)絡(luò)安全的控制主要是通過連接虛擬機或者Hypervisor實現(xiàn)的。

3系統(tǒng)架構(gòu)可提供的安全服務(wù)

3.1流量可視化

經(jīng)過控制平面，網(wǎng)絡(luò)中的用戶虛擬機數(shù)據(jù)流量可以鏡像到或穿過安全服務(wù)虛擬機，使得控制平面能夠達到對虛擬機上的流量進行控制，管理員通過控制平面就可以了解用戶虛擬機的流量，采用分布式安全虛擬架構(gòu)具有兩個優(yōu)勢，第一是數(shù)據(jù)的細粒度控制，可以有效地保證數(shù)據(jù)流量的細粒度，利用網(wǎng)絡(luò)的安全模塊，可以在虛擬機的任意一個端口上對用戶的流量進行檢測，而系統(tǒng)的流量監(jiān)控可以精確地監(jiān)測到任意一個虛擬機的任何業(yè)務(wù);二是全局性，在系統(tǒng)的控制平面，都可以監(jiān)測到每一個虛擬機模塊局部流量，為系統(tǒng)的數(shù)據(jù)中心安全提供給全局控制景象，細粒度與全局視角為數(shù)據(jù)安全中心的管理員運維提供了日常安全維護的依據(jù)。

3.2微隔離功能

采用微隔離功能可以實現(xiàn)對虛擬網(wǎng)絡(luò)中的部分用戶行為進行安全檢測，如果安全服務(wù)發(fā)現(xiàn)在同一個虛擬網(wǎng)絡(luò)中的某一個虛擬機上出現(xiàn)被攻擊行為時，可以采用微隔離技術(shù)將虛擬機受到攻擊的部分進行分割隔離，并對其進行檢測并遏制源于內(nèi)部的攻擊，就不用對整個虛擬網(wǎng)絡(luò)進行隔離，而達到安全控制點目標。采用分布式安全架構(gòu)可以對虛擬網(wǎng)絡(luò)中任何用戶虛擬機的任一端口實施微隔離控制，提高虛擬網(wǎng)絡(luò)的安全控制。微隔離控制的粒度可以從虛擬機端口到整個用戶虛擬網(wǎng)絡(luò)，利用在控制平面配置安全控制策略，可以通過某個端口的部分對某一個虛擬網(wǎng)絡(luò)中的網(wǎng)絡(luò)用戶行為進行檢測，還可以針對用戶的單一業(yè)務(wù)行為或者某一組爺爺?shù)奶摂M機安全防護進行配置，從而能夠擴大整個系統(tǒng)的安全性。

3.3提供安全服務(wù)

微隔離是為虛擬網(wǎng)絡(luò)提供安全服務(wù)的基礎(chǔ)，也是對用戶業(yè)務(wù)安全保護的重要措施，采用分布式安全架構(gòu)的方式，可以在安全部署在所有的虛擬機上，從而能夠為所有的虛擬機提供安全檢測服務(wù)，利用安全服務(wù)模塊可以針對網(wǎng)絡(luò)傳輸數(shù)據(jù)的某一個報文、單一數(shù)據(jù)或者用戶行為進行檢測，例如防火墻的運行、系統(tǒng)的攻擊防護、用戶的安全識別、IPS、AV和URL過濾等。同時還可以對多網(wǎng)絡(luò)、非實時性的網(wǎng)絡(luò)安全，采用擴展模塊的方式，對系統(tǒng)進行安全檢測。

3.4支持業(yè)務(wù)遷移

在數(shù)據(jù)安全控制中，利用安全控制平面可以對虛擬網(wǎng)絡(luò)中任何一個虛擬機的事件遷移、安全進行定位，如圖2所示服務(wù)虛擬機1和目標安全服務(wù)虛擬機2之間的業(yè)務(wù)遷移，安全控制技術(shù)實時監(jiān)控網(wǎng)絡(luò)的安全，在用戶業(yè)務(wù)遷移完成后，網(wǎng)絡(luò)的安全狀態(tài)也發(fā)生遷移，保障整個網(wǎng)絡(luò)的安全監(jiān)控功能不會中斷。

3.5網(wǎng)絡(luò)全網(wǎng)行為分析

分布式虛擬網(wǎng)絡(luò)架構(gòu)的控制平面可以將整個虛擬網(wǎng)絡(luò)中的每一個虛擬機端的安全信息、局部流量、業(yè)務(wù)信息、攻擊行為等進行匯總，定期對網(wǎng)絡(luò)的安全行為事件進行分析，在數(shù)據(jù)的匯聚點能夠控制某一個虛擬機，對其數(shù)據(jù)進行分析，在系統(tǒng)的分析層面，可以對單臺虛擬機或者一個集群進行分析，還可以對某一個端口、網(wǎng)絡(luò)、用戶行為等全局信息進行匯總分析，從而能夠在整個數(shù)據(jù)中心視角下對虛擬網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)全面分析，從而能實時對網(wǎng)絡(luò)安全進行保護。

4結(jié)束語

隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，采用云計算技術(shù)能夠為網(wǎng)絡(luò)用戶提供了極大的便利，但是網(wǎng)絡(luò)的信息安全問題也給人們帶來了極大的困擾，構(gòu)建云數(shù)據(jù)中心的安全服務(wù)控制系統(tǒng)，成為網(wǎng)絡(luò)信息安全管理的重要手段。分布式虛擬網(wǎng)絡(luò)架構(gòu)系統(tǒng)，能夠滿足數(shù)據(jù)中心對虛擬服務(wù)運行控制的需求，在強調(diào)網(wǎng)絡(luò)安全控制的前提下，采用Hypervisor和數(shù)據(jù)中心的輕藕合方式，對虛擬網(wǎng)絡(luò)中的任一虛擬機進行安全控制，并采用虛擬交換機與SDN技術(shù)進行引流分析與微隔離控制，并具有動態(tài)遷移與安全控制分析的功能。

參考文獻：

[1]程思嘉，張昌宏，潘帥卿.基于CP-ABE算法的云存儲數(shù)據(jù)訪問控制方案設(shè)計[J].信息網(wǎng)絡(luò)安全，2016（2）：1-6.

[2]裘曉峰，趙糧，高騰.VSA和SDS：兩種SDN網(wǎng)絡(luò)安全架構(gòu)的研究[J].小型微型計算機系統(tǒng)，2013，34（10）：2298-2303.

[3]王剛.一種基于SDN技術(shù)的多區(qū)域安全云計算架構(gòu)研究[J].信息網(wǎng)絡(luò)安全，2015（9）：20-24.

[4]劉文懋.軟件定義的企業(yè)級數(shù)據(jù)中心網(wǎng)絡(luò)安全研究[J].電信科學(xué)，2014，30（11）：140-144.

[5]劉文懋，裘曉峰，陳鵬程，等.面向SDN環(huán)境的軟件定義安全架構(gòu)[J].計算機科學(xué)與探索，2015，9（1）：63-70.

【通聯(lián)編輯：唐一東】