云環(huán)境下數(shù)據(jù)中心網(wǎng)絡安全部署

劉曉軍

（大慶油田信息技術公司 規(guī)劃設計所，黑龍江 大慶 163453）

云環(huán)境下數(shù)據(jù)中心網(wǎng)絡安全部署

劉曉軍

（大慶油田信息技術公司 規(guī)劃設計所，黑龍江 大慶 163453）

云環(huán)境之下的網(wǎng)絡安全，呈現(xiàn)出與既往環(huán)境不同的新型特征，橫縱向數(shù)據(jù)流量的陡然增加，成為該種體系之下的新型挑戰(zhàn)。文章首先就云環(huán)境下數(shù)據(jù)中心安全需求相關特征展開了必要的分析，而后進一步對安全部署體系之下的幾種主要技術加以討論。

云；安全；數(shù)據(jù)；網(wǎng)絡

1　云環(huán)境下數(shù)據(jù)中心安全需求分析

網(wǎng)絡環(huán)境的發(fā)展，在云概念出現(xiàn)之后呈現(xiàn)出了諸多新型特征。傳統(tǒng)的數(shù)據(jù)中心安全部署通常遵從分區(qū)分層的總體概念，這種思路在網(wǎng)絡相對有限的情況之下能夠很好地發(fā)揮作用，并且層級工作方式能夠?qū)崿F(xiàn)面向信息的逐級過濾。

所謂分區(qū)規(guī)劃，就是面向不同的網(wǎng)絡細分來實現(xiàn)安全保護。不同的網(wǎng)絡細分會在其自身安全價值和受攻擊程度傾向水平上表現(xiàn)出差異，因此可以依據(jù)不同的策略來對整個網(wǎng)絡進行區(qū)分，并且展開對應的網(wǎng)絡安全部署。常見的網(wǎng)絡分區(qū)依據(jù)有業(yè)務需求、數(shù)據(jù)流、應用以及邏輯功能、安全需求水平或數(shù)據(jù)敏感程度等幾個方面。通常來說，數(shù)據(jù)中心網(wǎng)絡在安全思想的指導之下分為核心區(qū)、外聯(lián)業(yè)務區(qū)、Internet區(qū)、測試區(qū)、運營管理區(qū)、集成區(qū)、存儲區(qū)以及容災備份區(qū)幾個方面，不同的分區(qū)承擔不同職責，共同實現(xiàn)整個網(wǎng)絡環(huán)境中的安全部署體系。而對于分層部署而言，則是在實現(xiàn)有效有序分區(qū)的基礎之上，依據(jù)安全防護部署需求在不同的區(qū)域邊界處，依據(jù)實際情況展開對應的安全部署，包括防DDoS攻擊、流量分析與控制，異構多重防火墻、VPN、入侵防御以及負載均衡等。

但是在云計算環(huán)境之下，雖然其基礎數(shù)據(jù)中心與傳統(tǒng)環(huán)境并不存在太大差別，但是如何在云網(wǎng)絡環(huán)境下實現(xiàn)資源的有效配給和利用，意味著數(shù)據(jù)中心虛擬機必然會成為主要提供服務的計算資源，相應的數(shù)據(jù)中心建設也呈現(xiàn)出新的特征。首先是性能方面，云網(wǎng)絡流量模型呈現(xiàn)出從外部到內(nèi)部的縱向流量增加，以及云環(huán)境內(nèi)部虛擬機之間的橫向流量增加兩個層面特征，進一步在存儲能力和數(shù)據(jù)處理分析能力兩個方面的需求得到提升。而當數(shù)據(jù)吞吐量增加的時候，尤其是橫縱向兩個方面的流量增加，直接導致了數(shù)據(jù)的傳輸總量呈現(xiàn)出指數(shù)級增長，而傳統(tǒng)環(huán)境中的分區(qū)分層的數(shù)據(jù)安全部署，在這樣的數(shù)據(jù)總量的背景之下必然會局限于整體的安全運算能力，從而無法有效展開安全保護。

2　云環(huán)境下的安全部署核心技術

在云環(huán)境下，大數(shù)據(jù)以及資源共享是其最為顯著的特征，因此侵入供給、拒絕服務攻擊DoS以及分布式拒絕服務攻擊DDoS，蠕蟲病毒成為最為典型的安全問題。這幾個方面的安全問題，主要攻擊點在于廣泛傳播，或者對網(wǎng)絡資源的非法占用，通過這兩種方式，來阻礙網(wǎng)絡環(huán)境中的安全設備正常工作。

為了保障云環(huán)境中的數(shù)據(jù)中心安全，抵制來自于多個方面的攻擊，相應的安全技術也在不斷研發(fā)并且層出不窮。不同的安全技術之間相互配合形成一個統(tǒng)一有效的整體，共同構建起完整的安全防御體系。在這個體系之中，有如下幾個方面的核心技術，對于云環(huán)境下的數(shù)據(jù)中心安全意義重大。

2.1虛擬網(wǎng)絡

對虛擬網(wǎng)絡這一方面，主要得到應用的技術包括虛擬專用網(wǎng)（Virtual Private Network，VPN）以及虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）。其中前者通過相關的協(xié)議，在公共數(shù)據(jù)網(wǎng)環(huán)境中建立起一個安全穩(wěn)定的虛擬邏輯網(wǎng)絡。VPN在網(wǎng)絡環(huán)境中的應用，首先能夠提供防火墻到防火墻的應用，實現(xiàn)地處不同位置的同一個組織之間的安全通信；此外還能夠提供移動用戶與VPN防火墻之間的連通，支持企業(yè)環(huán)境中移動用戶的訪問。當前該領域的主要發(fā)展趨勢在于引入網(wǎng)絡控制與應用控制，通過VPN與身份控制以及訪問控制技術的有機結(jié)合，為網(wǎng)絡用戶提供有效的安全隔離。而對于后者而言，主要是考慮到當前數(shù)據(jù)中心中多業(yè)務運營的需求，會造成服務器與用戶之間的縱向數(shù)據(jù)流向比重增加，因此該項技術能夠?qū)⒉煌蛻舻牟煌瑯I(yè)務從第二層隔離開，分配一個VLAN和IP子網(wǎng)，并且不同的VLAN具有不同的安全級別端口，有利于展開更具有針對性的安全保護部署。

2.2防火墻

防火墻是網(wǎng)絡環(huán)境中安全部署的基礎環(huán)節(jié)，用于實現(xiàn)數(shù)據(jù)中心網(wǎng)絡邊界的安全，同時能夠提供良好的擴展能力。當前網(wǎng)絡環(huán)境中的Dos以及DDos攻擊手段繁多，因此對應的防火墻的建設也不容忽視。常見的防火墻技術有基于狀態(tài)以及基于流的兩類，前者將狀態(tài)檢測技術應用在ACL技術之上，用以來對通過防火墻的數(shù)據(jù)包進行動態(tài)的分析和判斷；而后者則基于流分析，來提供更好的轉(zhuǎn)發(fā)性能，同時發(fā)現(xiàn)網(wǎng)絡環(huán)境中的異常數(shù)據(jù)傳輸狀況。

2.3入侵檢測

在實際的應用過程中，入侵檢測常常會與流量分析和清洗一同配合展開。入侵檢測是一種相對主動的安全技術，能夠面向蠕蟲、網(wǎng)絡釣魚、后門木馬、間諜軟件等應用層攻擊展開檢測，目前多用于網(wǎng)絡節(jié)點上以及網(wǎng)絡內(nèi)部環(huán)境，可以通過在數(shù)據(jù)中心出口以及內(nèi)部安全區(qū)的網(wǎng)絡匯聚層采用旁掛或與網(wǎng)絡設備融合進行部署。在當前云環(huán)境之下，入侵檢測能提供較好的針對性特征，從而對優(yōu)化網(wǎng)絡環(huán)境下的安全運算能力有著重要意義。

3　結(jié) 語

云環(huán)境之下的數(shù)據(jù)中心網(wǎng)絡安全部署，應當是一個綜合化的有機整體，其中包括諸多組件協(xié)同工作。在該領域之下，除了需要密切關注相關技術的發(fā)展以外，還應當加強管理，密切關注包括用戶授權以及數(shù)據(jù)生命周期識別等在內(nèi)的安全思想，切實打造高效穩(wěn)定的安全網(wǎng)絡，支撐起組織的未來。

主要參考文獻

［1］戚麗，蔣東興，武海平，等.校園數(shù)據(jù)中心建設與管理方法的探索［J］.中國教育信息化，2002（z1）.

［2］WW Lin. Survey of Resource Scheduling in Cloud Computing［J］. Computer Science，2012（10）.

10.3969/j.issn.1673 - 0194.2016.20.110

TP393.08

A

1673-0194（2016）20-0162-01

2016-09-20