魏喜蓮

在信息化快速發(fā)展的時(shí)代，網(wǎng)絡(luò)技術(shù)的應(yīng)用越來(lái)越廣泛和深入，同時(shí)伴隨著不斷出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題，這就使網(wǎng)絡(luò)安全技術(shù)的重要性更加突出。我國(guó)非常重視網(wǎng)絡(luò)安全問(wèn)題，從法律、管理、技術(shù)等方面采取了切實(shí)可行的有效措施，2017 年正式頒布實(shí)施《網(wǎng)絡(luò)安全法》，2019 年正式頒布實(shí)施《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB∕T 22239—2019）。

隨著云計(jì)算技術(shù)的日趨成熟，數(shù)據(jù)中心無(wú)論是在技術(shù)上還是在部署上都得到了快速發(fā)展，以利用資源虛擬化和服務(wù)動(dòng)態(tài)管理為手段，增加資源共享利用率和資源部署靈活度的云數(shù)據(jù)中心也越來(lái)越多。因此，其安全性正越來(lái)越成為企業(yè)考慮云平臺(tái)的重要指標(biāo)之一。本文研究了云數(shù)據(jù)中心的建設(shè)模式，探討了云數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)備的部署。

1 云數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)模式

與傳統(tǒng)數(shù)據(jù)中心相比，云數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)備部署的原則仍然是：分區(qū)規(guī)劃、分層部署。

由于不同的應(yīng)用或業(yè)務(wù)單元在網(wǎng)絡(luò)中的存在價(jià)值和易受攻擊程度是不同的，應(yīng)按照其具體情況制定不同的安全策略和信任模型，再將網(wǎng)絡(luò)劃分為不同區(qū)域，以滿足業(yè)務(wù)需求、數(shù)據(jù)流需求、應(yīng)用邏輯功能需求和IT 安全需求，這就是分層規(guī)劃［1］。

在將網(wǎng)絡(luò)劃分為不同區(qū)域的基礎(chǔ)上，按照網(wǎng)絡(luò)安全防護(hù)的部署要求，根據(jù)實(shí)際情況，在每個(gè)區(qū)域的邊界處部署相應(yīng)的網(wǎng)絡(luò)安全設(shè)備，這就是分層部署［2］。

在云環(huán)境下，云數(shù)據(jù)中心最顯著的特征是大數(shù)據(jù)和資源共享，較為典型的安全問(wèn)題為侵入供給、拒絕服務(wù)攻擊DoS 以及分布式拒絕服務(wù)攻擊DDoS、蠕蟲(chóng)病毒等。這些安全問(wèn)題主要通過(guò)廣泛傳播，或者對(duì)網(wǎng)絡(luò)資源非法占用的方式來(lái)阻礙網(wǎng)絡(luò)環(huán)境中的安全設(shè)備正常工作。為了保護(hù)云數(shù)據(jù)中心的安全，需要部署各種網(wǎng)絡(luò)安全設(shè)備，不同的網(wǎng)絡(luò)安全設(shè)備相互配合形成一個(gè)統(tǒng)一、有效的整體，共同構(gòu)建起一套完整的安全防御體系。本文從以下4 個(gè)方面對(duì)云數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)備的部署進(jìn)行研究：①網(wǎng)絡(luò)邊界安全設(shè)備的部署研究；②應(yīng)用安全設(shè)備的部署研究；③管理與運(yùn)維安全設(shè)備的部署研究；④主機(jī)安全設(shè)備的部署研究。

2 網(wǎng)絡(luò)邊界安全設(shè)備的部署研究

網(wǎng)絡(luò)邊界安全設(shè)備一般采用防火墻（FW）和防DDoS 網(wǎng)絡(luò)安全設(shè)備。

2.1 防火墻（FW）部署研究

2.1.1 主要功能

防火墻主要根據(jù)數(shù)據(jù)包的源地址、目的地址、端口、通信協(xié)議、流量、用戶、通信時(shí)間等信息，實(shí)現(xiàn)網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)訪問(wèn)管控、多種安全引擎，以及安全可視化等功能。

2.1.2 部署模式

防火墻的部署模式分為串聯(lián)和旁掛2 種模式。串聯(lián)部署模式的優(yōu)點(diǎn)是流量部署清晰，缺點(diǎn)是對(duì)防火墻的性能要求高；而旁掛部署模式的優(yōu)點(diǎn)是可以通過(guò)采取策略使部分流量不經(jīng)過(guò)防火墻，缺點(diǎn)是交換機(jī)的策略較復(fù)雜。

2.1.3 工作模式

防火墻常見(jiàn)的工作模式為：路由模式、透明模式和混合模式。

路由模式的特點(diǎn)是防火墻所有的接口都需配置IP 地址，采用三層路由模式，防火墻表現(xiàn)為一個(gè)路由器。與路由器的不同之處是：防火墻的報(bào)文在三層區(qū)域的接口間進(jìn)行轉(zhuǎn)發(fā)時(shí)，還需要送到上層進(jìn)行過(guò)濾等相關(guān)處理，由上層來(lái)確定是否允許該報(bào)文通過(guò)。采用路由模式的防火墻還支持ACL 規(guī)則檢查、ASPF 狀態(tài)過(guò)濾、流量監(jiān)控等功能。

透明模式的特點(diǎn)是防火墻所有的接口都不用配置IP 地址，采用二層透明模式，防火墻表現(xiàn)為一個(gè)透明網(wǎng)橋。與透明網(wǎng)橋的不同之處是：防火墻中IP 報(bào)文還需要送到上層進(jìn)行過(guò)濾等相關(guān)處理，通過(guò)檢查ACL 規(guī)則或會(huì)話表，以確定是否允許該報(bào)文通過(guò)。采用透明模式的防火墻支持ACL 規(guī)則檢查、ASPF 狀態(tài)過(guò)濾、流量監(jiān)控等功能。

混合模式則是路由模式與透明模式的組合。混合模式的特點(diǎn)是僅有部分接口配置IP 地址。配置IP 地址的接口工作在三層區(qū)域；而未配置IP 地址的接口，與透明模式的工作過(guò)程完全相同。

2.1.4 典型部署場(chǎng)景

在實(shí)際的云平臺(tái)建設(shè)過(guò)程中，分支機(jī)構(gòu)/合作伙伴、互聯(lián)網(wǎng)接入?yún)^(qū)、WAN 專網(wǎng)接入廣域網(wǎng)時(shí)，一般按照串接的方式分別部署2 臺(tái)工作在透明模式下的防火墻，防止被入侵，保護(hù)南/北向數(shù)據(jù)業(yè)務(wù)安全。在云數(shù)據(jù)中心內(nèi)部各區(qū)域間一般按照旁掛的方式部署2 臺(tái)工作在混合模式下的防火墻，保護(hù)東/西向數(shù)據(jù)業(yè)務(wù)安全。在核心業(yè)務(wù)區(qū)（數(shù)據(jù)庫(kù)、存儲(chǔ)區(qū)、服務(wù)器區(qū)等） 部署具有虛擬功能的防火墻，應(yīng)對(duì)虛擬化安全風(fēng)險(xiǎn)，如非授權(quán)訪問(wèn)、惡意攻擊和VM 間的病毒感染，以及VM 無(wú)縫遷移等。常用的部署場(chǎng)景見(jiàn)圖1。

圖1 云數(shù)據(jù)中心防火墻的典型部署

2.2 防DDoS 部署研究

2.2.1 防DDoS 部署的必要性

根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)數(shù)據(jù)，發(fā)生在我國(guó)主流云平臺(tái)上的各類網(wǎng)絡(luò)安全事件數(shù)量占比仍然較高，其中云平臺(tái)上遭受DDoS 攻擊次數(shù)占境內(nèi)目標(biāo)被攻擊次數(shù)的69.6%，被植入后門(mén)鏈接數(shù)量占境內(nèi)全部被植入后門(mén)鏈接數(shù)量的63.1%，被篡改網(wǎng)頁(yè)數(shù)量占境內(nèi)被篡改網(wǎng)頁(yè)數(shù)量的62.5%。所以，云數(shù)據(jù)中心防DDoS 攻擊非常重要。

DDoS 攻擊就是用海量數(shù)據(jù)包消耗被攻擊目標(biāo)的可用系統(tǒng)和帶寬資源，導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段，利用自身的資源，通過(guò)一種放大或不對(duì)等的方式來(lái)達(dá)到消耗對(duì)方資源的目的。

為了防止DDoS 攻擊，保證云數(shù)據(jù)中心的安全，在云數(shù)據(jù)中心的出口部署Anti-DDoS 系統(tǒng)，流量完全鏡像到檢測(cè)中心進(jìn)行檢測(cè)，檢測(cè)結(jié)果上報(bào)ATIC 管理中心，管理中心根據(jù)策略對(duì)攻擊流量進(jìn)行清洗。

2.2.2 Anti-DDoS 系統(tǒng)組成

Anti-DDoS 系統(tǒng)主要由ATIC 管理中心、檢測(cè)中心和清洗中心3部分組成［3］。其系統(tǒng)組成見(jiàn)圖2。

2.2.3 Anti-DDoS 系統(tǒng)部署模式

Anti-DDoS 系統(tǒng)的部署模式分為直路和旁路2 種模式，其中旁路模式又分為清洗設(shè)備獨(dú)立部署和檢測(cè)清洗設(shè)備聯(lián)動(dòng)部署2 種方式。

圖2 Anti-DDoS 系統(tǒng)組成

直路部署模式的優(yōu)點(diǎn)為組網(wǎng)簡(jiǎn)單，不需要額外增加接口，可以實(shí)時(shí)監(jiān)控雙向流量，在個(gè)別攻擊防護(hù)上要優(yōu)于旁路部署；缺點(diǎn)是為了避免單點(diǎn)故障并減少算法上的誤判，必須具有Bypass 功能。

旁路部署模式的優(yōu)點(diǎn)是能夠避免Anti-DDoS防護(hù)設(shè)備對(duì)所有流量進(jìn)行處理而耗費(fèi)大量的轉(zhuǎn)發(fā)性能，從而導(dǎo)致投資上升，以及設(shè)備直路部署可能帶來(lái)的鏈路短時(shí)中斷；缺點(diǎn)是組網(wǎng)略復(fù)雜。

2.2.4 云數(shù)據(jù)中心Anti-DDoS 典型部署場(chǎng)景

因云數(shù)據(jù)中心出口帶寬流量較大，業(yè)務(wù)類型較多，可靠性要求較高，容易遭受Flood 類攻擊和新型應(yīng)用層攻擊［4］，故在云數(shù)據(jù)中心實(shí)際建設(shè)過(guò)程中一般采用檢測(cè)、清洗設(shè)備聯(lián)動(dòng)的旁路模式部署1 套Anti-DDoS 設(shè)備，其典型部署見(jiàn)圖3。

圖3 云數(shù)據(jù)中心Anti-DDOS 的典型部署

3 應(yīng)用安全設(shè)備的部署研究

應(yīng)用安全設(shè)備一般采用部署入侵防御系統(tǒng)（IPS）、Web 應(yīng)用防火墻（WAF）、安全沙箱等網(wǎng)絡(luò)安全設(shè)備。

3.1 入侵防御系統(tǒng)部署研究

3.1.1 入侵防御系統(tǒng)部署的必要性

防火墻可以根據(jù)IP 地址（IP-Addresses） 或服務(wù)端口（Ports）過(guò)濾數(shù)據(jù)包，但由于防火墻很難深入檢查數(shù)據(jù)包內(nèi)容，只能攔截低層攻擊行為，因此無(wú)法檢測(cè)到利用合法IP 地址和端口進(jìn)行的破壞活動(dòng)的攻擊，對(duì)應(yīng)用層的深層攻擊行為無(wú)能為力。入侵檢測(cè)系統(tǒng)（IDS）可以檢測(cè)到穿透防火墻的深層攻擊行為，但是無(wú)法及時(shí)阻斷。雖然IDS與防火墻可以相互配合工作，IDS 檢測(cè)到穿透防火墻的深層攻擊行為，然后通知防火墻進(jìn)行阻斷，但是因?yàn)榉阑饓εcIDS 之間沒(méi)有統(tǒng)一的接口規(guī)范，且現(xiàn)在“瞬間攻擊”越來(lái)越頻發(fā)，所以在實(shí)際的工程應(yīng)用中采用IDS 與防火墻聯(lián)動(dòng)部署方案的效果并不明顯。在這種情況下，就迫切需要一款既可以及時(shí)檢測(cè)到穿透防火墻的深層攻擊行為，又能對(duì)其進(jìn)行實(shí)時(shí)阻斷的網(wǎng)絡(luò)安全設(shè)備——入侵防御系統(tǒng)（IPS）。

3.1.2 入侵防御系統(tǒng)部署模式

IPS 的部署模式分為直路和旁路2 種。其中，最常用的部署模式是旁路模式。需要注意的是，直路部署的IPS 必須具有Bypass 功能。

3.1.3 云數(shù)據(jù)中心入侵防御系統(tǒng)典型部署場(chǎng)景

在云數(shù)據(jù)中心的實(shí)際建設(shè)中，IPS 的部署一般分為2 種情況。為了防御各種黑客攻擊行為和蠕蟲(chóng)病毒等，一般在業(yè)務(wù)服務(wù)器群前直路部署IPS 產(chǎn)品，以保護(hù)高安全業(yè)務(wù)區(qū)安全；為了監(jiān)控內(nèi)部的攻擊行為，檢測(cè)異常的數(shù)據(jù)流量，在數(shù)據(jù)中心內(nèi)部旁路部署IPS 產(chǎn)品。云數(shù)據(jù)中心入侵防御系統(tǒng)（IPS）典型部署見(jiàn)圖4。

3.2 Web 應(yīng)用安全設(shè)備部署研究

3.2.1 Web 應(yīng)用安全設(shè)備部署的必要性

隨著網(wǎng)絡(luò)的快速發(fā)展，Web 應(yīng)用也日益豐富，Web 服務(wù)器因其計(jì)算能力強(qiáng)大、處理性能極高、數(shù)據(jù)價(jià)值較高，逐漸成為黑客攻擊的主要目標(biāo)［5］，頻繁發(fā)生SQL 注入攻擊、命令注入攻擊、網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)篡改等安全事件［6］，因此需要部署一款用來(lái)解決諸如防火墻等傳統(tǒng)設(shè)備束手無(wú)策的Web 應(yīng)用安全問(wèn)題的安全設(shè)備——Web 應(yīng)用防火墻（WAF）。

圖4 云數(shù)據(jù)中心入侵防御系統(tǒng)（IPS）典型部署

3.2.2 Web 應(yīng)用防火墻的主要功能

WAF 與傳統(tǒng)防火墻相比，不同之處在于WAF 工作在應(yīng)用層，因此對(duì)Web 應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)，檢測(cè)和驗(yàn)證來(lái)自Web 應(yīng)用程序客戶端的各種請(qǐng)求，以確保其安全性與合法性，實(shí)時(shí)阻斷不合法的請(qǐng)求，從而有效保護(hù)網(wǎng)站站點(diǎn)。

WAF 主要功能包括：對(duì)HTTP 的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP 標(biāo)準(zhǔn)的請(qǐng)求；有效防止網(wǎng)頁(yè)篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為，從而減小Web 服務(wù)器被攻擊的可能性；及時(shí)補(bǔ)丁，只要得到全面的漏洞信息，WAF 就能在1 h 內(nèi)屏蔽掉相關(guān)漏洞；基于Web 應(yīng)用的安全規(guī)則庫(kù)實(shí)時(shí)更新，用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)；WAF 能夠判斷用戶是否是第一次訪問(wèn)，將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并記錄事件，通過(guò)檢測(cè)用戶的整個(gè)操作行為而更容易識(shí)別攻擊；能夠檢測(cè)出異常事件，并且在達(dá)到極限值時(shí)進(jìn)行處理，這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的；另外，WAF 還具有應(yīng)用負(fù)載均衡、Web 應(yīng)用加速、Bypass 和HA 等 功 能。

3.2.3 Web 應(yīng)用防火墻部署模式

WAF 部署模式分為透明代理和反向代理2 種模式。

1）透明代理模式。

透明代理部署模式應(yīng)用于透明串接部署方式，如圖5 所示。將WAF 串接在用戶網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備與服務(wù)器配置都不需要更改。優(yōu)點(diǎn)是部署簡(jiǎn)單易用，適用于大部分用戶網(wǎng)絡(luò)；不需要更改數(shù)據(jù)包內(nèi)容，對(duì)于用戶網(wǎng)絡(luò)是透明的；防護(hù)能力強(qiáng)，可支持WAF 絕大部分功能防護(hù)；故障恢復(fù)快，可支持Bypass功能。

WAF 采用透明代理模式部署的前提條件：WAF 設(shè)備開(kāi)機(jī)后正常運(yùn)行；物理直通模式/網(wǎng)橋直通模式下，Web 服務(wù)器可達(dá)。

2）反向代理模式。

反向代理模式為旁路部署，適用于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的環(huán)境中。部署時(shí)需要在用戶網(wǎng)絡(luò)設(shè)備上將域名解析到設(shè)備上或?qū)⒌刂酚成涞皆O(shè)備上。反向代理模式部署拓?fù)浣Y(jié)構(gòu)見(jiàn)圖6。

WAF 反向代理模式的特點(diǎn)：對(duì)于用戶網(wǎng)絡(luò)不透明；訪問(wèn)時(shí)需要先訪問(wèn)WAF 配置的業(yè)務(wù)口地址；故障恢復(fù)時(shí)，需要重新將域名或地址映射到原服務(wù)器，恢復(fù)時(shí)間慢；支持多臺(tái)WAF 設(shè)備VRRP冗余和集群部署，不支持Bypass 功能。

WAF 反向代理模式部署的前提條件：WAF設(shè)備開(kāi)機(jī)后正常運(yùn)行；WAF 配置的業(yè)務(wù)口IP 與保護(hù)站點(diǎn)通信正常。

3.2.4 云數(shù)據(jù)中心Web 應(yīng)用防火墻典型部署場(chǎng)景

WAF 的部署一般采用側(cè)掛在數(shù)據(jù)中心服務(wù)區(qū)的核心交換機(jī)上［7］，主要有以下2 種部署模式：①網(wǎng)關(guān)模式：WAF 需要配置IP 地址，且Web 服務(wù)器的網(wǎng)關(guān)地址為Web 應(yīng)用防火墻的IP 地址，在這種模式下，后端的多臺(tái)Web 服務(wù)器可以做負(fù)載均衡；②旁路監(jiān)控模式：通過(guò)交換機(jī)做鏡像流量到WAF，WAF 對(duì)鏡像流量進(jìn)行檢測(cè)分析，分析業(yè)務(wù)流量的安全狀況。

云數(shù)據(jù)中心Web 應(yīng)用防火墻（WAF）典型部署場(chǎng)景見(jiàn)圖7。

圖5 Web 應(yīng)用防火墻（WAF）透明代理模式

圖6 Web 應(yīng)用防火墻（WAF）反向代理模式

圖7 云數(shù)據(jù)中心Web 應(yīng)用防火墻（WAF）典型部署

3.3 未知威脅防護(hù)部署研究

3.3.1 未知威脅防護(hù)部署的必要性

防火墻、Anti-DDoS、入侵防御系統(tǒng)、WAF這些安全設(shè)備都是基于特征的檢測(cè)技術(shù)，無(wú)法識(shí)別未知的惡意軟件；而這些未知惡意軟件的隱蔽性高，使用了高級(jí)逃逸技術(shù)，行為難以追蹤，這就需要部署一款針對(duì)未知威脅的防護(hù)設(shè)備——安全沙箱。

3.3.2 安全沙箱的檢測(cè)機(jī)制

安全沙箱的檢測(cè)機(jī)制就是用虛擬化技術(shù)構(gòu)建操作系統(tǒng)環(huán)境以及各種軟件環(huán)境，在該環(huán)境中充分運(yùn)行檢測(cè)文檔和可執(zhí)行程序，實(shí)時(shí)分析可執(zhí)行程序以及文檔在運(yùn)行過(guò)程中的行為，與防火墻進(jìn)行聯(lián)動(dòng)，快速攔截未知惡意攻擊。

3.3.3 云數(shù)據(jù)中心安全沙箱的典型部署

在云數(shù)據(jù)中心一般采用集群部署、統(tǒng)一管理，將安全沙箱部署在現(xiàn)有安全設(shè)備之后，檢測(cè)繞過(guò)FW、IPS 和SMG 的惡意軟件、基于0-Day 漏洞的威脅和定向型APT威脅等。安全沙箱典型部署場(chǎng)景見(jiàn)圖8。

圖8 云數(shù)據(jù)中心安全沙箱典型部署

4 管理與運(yùn)維安全設(shè)備部署研究

云數(shù)據(jù)中心管理與運(yùn)維安全的解決方案一般是采用部署堡壘機(jī)、日志審計(jì)系統(tǒng)、大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備。

4.1 堡壘機(jī)的部署研究

4.1.1 堡壘機(jī)部署的必要性

云數(shù)據(jù)中心因設(shè)備眾多、用戶眾多，一般存在人員入口比較分散、集中管理困難、運(yùn)維人員權(quán)限控制難等問(wèn)題，所有維護(hù)人員直接登錄到各個(gè)網(wǎng)元設(shè)備或服務(wù)器進(jìn)行操作，缺少統(tǒng)一的審計(jì)溯源方案，無(wú)法集中監(jiān)控和審計(jì)，對(duì)行政管理手段要求高。為了解決這些問(wèn)題，需要部署一款既可以解決運(yùn)維人員權(quán)限控制難的問(wèn)題，又可控制和審計(jì)違規(guī)操作，且本身不會(huì)產(chǎn)生大規(guī)模的流量，不會(huì)成為影響網(wǎng)絡(luò)性能瓶頸的安全設(shè)備——堡壘機(jī)。

4.1.2 堡壘機(jī)的主要功能

堡壘機(jī)的主要功能包括：提供設(shè)備統(tǒng)一運(yùn)維入口；對(duì)云數(shù)據(jù)中心的各種設(shè)備的運(yùn)維管理賬號(hào)進(jìn)行集中管理、集中認(rèn)證和授權(quán)；提供內(nèi)建本地賬號(hào)和與第三方賬號(hào)的聯(lián)動(dòng)，包括AD 賬號(hào)和LDAP 賬號(hào)；記錄操作全過(guò)程及日志，以視頻的形式保留操作信息，方便事后審計(jì)和定期問(wèn)題審查。

4.1.3 堡壘機(jī)的典型部署

在云數(shù)據(jù)中心部署堡壘機(jī)可以實(shí)現(xiàn)統(tǒng)一訪問(wèn)入口、集中權(quán)限控制、運(yùn)維操作的規(guī)范化管理，完善組織的內(nèi)部控制與審計(jì)體系，提供精準(zhǔn)的責(zé)任鑒定和事件追溯［8］。云數(shù)據(jù)中心堡壘機(jī)典型部署場(chǎng)景見(jiàn)圖9。

圖9 云數(shù)據(jù)中心堡壘機(jī)典型部署

4.2 日志審計(jì)系統(tǒng)部署研究

4.2.1 日志審計(jì)系統(tǒng)部署的必要性

云數(shù)據(jù)中心面臨網(wǎng)元類型多樣，日志格式不統(tǒng)一、可讀性差、海量日志存儲(chǔ)困難、日志難于統(tǒng)一管理等問(wèn)題，因此需要部署一套日志審計(jì)系統(tǒng)。

4.2.2 日志審計(jì)系統(tǒng)的主要功能

日志審計(jì)系統(tǒng)全面涵蓋服務(wù)器主機(jī)審計(jì)、網(wǎng)絡(luò)（安全）設(shè)備審計(jì)、數(shù)據(jù)庫(kù)系統(tǒng)及行為審計(jì)、網(wǎng)絡(luò)訪問(wèn)行為審計(jì)、應(yīng)用（業(yè)務(wù)） 系統(tǒng)審計(jì)等多個(gè)層面，為用戶提供日志全生命周期管理和極簡(jiǎn)的可視化安全審計(jì)服務(wù)，并對(duì)系統(tǒng)和應(yīng)用軟件日志、各種網(wǎng)絡(luò)操作行為進(jìn)行第三方的實(shí)時(shí)分析與記錄。

4.2.3 云數(shù)據(jù)中心日志審計(jì)系統(tǒng)典型部署

云數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)設(shè)備、數(shù)據(jù)庫(kù)設(shè)備眾多，具有用戶數(shù)量多等特點(diǎn)，故云數(shù)據(jù)中心一般采用旁路部署的模式部署1套分布式的日志審計(jì)系統(tǒng)。云數(shù)據(jù)中心日志審計(jì)系統(tǒng)典型部署場(chǎng)景見(jiàn)圖10。

4.3 大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)部署研究

4.3.1 大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)部署的必要性

隨著大數(shù)據(jù)時(shí)代的到來(lái)，各類應(yīng)用系統(tǒng)也越來(lái)越多，各類安全信息的規(guī)模變得非常龐大、種類變得非常繁多［9］，這使安全信息的采集規(guī)模也日益龐大，而傳統(tǒng)日志安全中心已無(wú)法適應(yīng)海量數(shù)據(jù)的存儲(chǔ)和安全事件的處理，使傳統(tǒng)日志安全中心的分析能力變?nèi)?、調(diào)查效率變低，安全數(shù)據(jù)的存儲(chǔ)和管理也變得困難，因此就需要部署一款新一代的日志審計(jì)系統(tǒng)——大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)。

圖10 云數(shù)據(jù)中心日志審計(jì)系統(tǒng)典型部署

4.3.2 大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)的主要功能

大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)集中處理數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)加密、數(shù)據(jù)脫敏等各種數(shù)據(jù)安全產(chǎn)品采集的信息，將不同類型的數(shù)據(jù)進(jìn)行匯總，在此基礎(chǔ)上進(jìn)行關(guān)聯(lián)分析，動(dòng)態(tài)展示數(shù)據(jù)資產(chǎn)分布狀況和敏感數(shù)據(jù)的訪問(wèn)行為，并預(yù)測(cè)數(shù)據(jù)資產(chǎn)可能面臨的泄露風(fēng)險(xiǎn)。

4.3.3 云數(shù)據(jù)中心大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)的典型部署

由于云數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境復(fù)雜，存在大量安全設(shè)備，一般采用集中部署模式。根據(jù)網(wǎng)絡(luò)劃分多個(gè)區(qū)域，每個(gè)分區(qū)內(nèi)部部署一套采集組件，實(shí)現(xiàn)本分區(qū)內(nèi)的信息收集和處理，在中心區(qū)域部署1 套安全審計(jì)系統(tǒng)，通過(guò)與各類事件組件或安全設(shè)備通信，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的全局管理。云數(shù)據(jù)中心大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)典型部署見(jiàn)圖11。

圖11 云數(shù)據(jù)中心大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)典型部署

5 主機(jī)安全部署研究

云數(shù)據(jù)中心主機(jī)一般部署具有虛擬功能的防火墻（VFW）、終端準(zhǔn)入控制系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備。

5.1 主機(jī)安全部署的必要性

云數(shù)據(jù)中心部署防火墻、Anti-DDoS、IPS、安全沙箱等安全設(shè)備都是針對(duì)數(shù)據(jù)中心物理網(wǎng)絡(luò)的防護(hù)。云數(shù)據(jù)中心是基于云計(jì)算的虛擬環(huán)境，安裝傳統(tǒng)的安全設(shè)備或殺毒軟件并不能保護(hù)虛擬設(shè)備，因此云數(shù)據(jù)中心需要部署能夠保護(hù)云主機(jī)安全的網(wǎng)絡(luò)安全設(shè)備。

5.2 主機(jī)安全部署方案研究

5.2.1 具有虛擬功能的防火墻（VFW）部署研究

防火墻的部署模式及工作模式詳見(jiàn)防火墻章節(jié)。

為了保護(hù)云數(shù)據(jù)中心云主機(jī)的網(wǎng)絡(luò)安全，一般采用在核心業(yè)務(wù)區(qū)（數(shù)據(jù)庫(kù)、存儲(chǔ)區(qū)、服務(wù)器區(qū)等）集中部署具有虛擬功能的防火墻，應(yīng)對(duì)虛擬化安全風(fēng)險(xiǎn)，如非授權(quán)訪問(wèn)、惡意攻擊、VM 之間的隔離和防攻擊，以及VM 無(wú)縫遷移等。

5.2.2 終端準(zhǔn)入控制系統(tǒng)部署研究

云數(shù)據(jù)網(wǎng)絡(luò)中包含各種各樣的終端，不僅有臺(tái)式機(jī)、筆記本電腦、服務(wù)器等固定終端，還包含智能手機(jī)、平板電腦、電子閱讀器等移動(dòng)終端，甚至還包含網(wǎng)絡(luò)中的打印機(jī)、IP 電話等“啞終端”。網(wǎng)絡(luò)中的這些終端數(shù)量和種類多、接入方式多，是網(wǎng)絡(luò)中訪問(wèn)各種應(yīng)用系統(tǒng)并獲取數(shù)據(jù)的源頭，也是病毒傳播、內(nèi)部惡意攻擊和數(shù)據(jù)失竊的起點(diǎn)［10］。故為了保護(hù)云數(shù)據(jù)網(wǎng)絡(luò)中云主機(jī)的安全，一般采用旁路模式部署一套用來(lái)進(jìn)行終端身份識(shí)別和接入控制的網(wǎng)絡(luò)安全設(shè)備——終端控制準(zhǔn)入系統(tǒng)。

6 結(jié)束語(yǔ)

在云數(shù)據(jù)中心建設(shè)時(shí)，應(yīng)根據(jù)實(shí)際情況選擇契合度高的網(wǎng)絡(luò)安全設(shè)備和部署模式，云數(shù)據(jù)中心網(wǎng)絡(luò)安全應(yīng)當(dāng)是諸多網(wǎng)絡(luò)安全設(shè)備協(xié)同工作形成的一個(gè)綜合性的整體。

在云數(shù)據(jù)中心，除了部署一系列的網(wǎng)絡(luò)安全設(shè)備外，還應(yīng)對(duì)云數(shù)據(jù)中心云化后網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究。云數(shù)據(jù)中心依靠虛擬化技術(shù)，通過(guò)一虛多的方式進(jìn)一步提高硬件資源的利用率，云數(shù)據(jù)中心可以按照用戶的實(shí)際需求進(jìn)行動(dòng)態(tài)的資源分配，云數(shù)據(jù)中心用戶的網(wǎng)絡(luò)也就隨之動(dòng)態(tài)變化，這對(duì)云數(shù)據(jù)中心的運(yùn)維安全提出了非常高的要求。將控制面和數(shù)據(jù)面進(jìn)行分離，對(duì)云數(shù)據(jù)中心的網(wǎng)絡(luò)進(jìn)行靈活細(xì)粒度的管理和控制，這是云數(shù)據(jù)中心網(wǎng)絡(luò)安全研究的重點(diǎn)和方向。