高校云計算數(shù)據(jù)中心安全的設(shè)計與實現(xiàn)

龐金香, 隋萌萌

(中國石油大學(華東) 1. 網(wǎng)絡及教育技術(shù)中心; 2. 計算機與通訊工程學院， 青島 266580)

?

高校云計算數(shù)據(jù)中心安全的設(shè)計與實現(xiàn)

龐金香1, 隋萌萌2

(中國石油大學(華東) 1. 網(wǎng)絡及教育技術(shù)中心; 2. 計算機與通訊工程學院， 青島 266580)

高?？梢岳迷朴嬎阒行恼犀F(xiàn)有的數(shù)據(jù)中心，實現(xiàn)對IT資源的充分利用，提高信息系統(tǒng)的效率和性能，縮短投產(chǎn)使用的周期。由于云計算也可以看做信息系統(tǒng)的一種，因而它也有著一些與其它信息系統(tǒng)相似的安全問題。從傳統(tǒng)意義上的數(shù)據(jù)中心建設(shè)出發(fā)，結(jié)合云計算數(shù)據(jù)中心建設(shè)和安全的建議原則，探討數(shù)據(jù)中心的安全。

云計算； 數(shù)據(jù)中心； 安全； 災備中心

0 引言

云計算通過以太網(wǎng)連接的方式將大量計算資源進行統(tǒng)一調(diào)度和管理，從而構(gòu)成一個可以按需服務的計算資源池。為了更好地提供高效、高性能、可管理的云服務，可搭建以EMC、Cisco和VMware等為平臺的云計算數(shù)據(jù)中心并提供各種服務。但是，云數(shù)據(jù)中心也會面臨新的安全威脅，特別是高校云數(shù)據(jù)中心的安全問題尤為重要。

1 高校云計算數(shù)據(jù)中心安全建設(shè)

高校云計算數(shù)據(jù)中心安全建設(shè)主要從以下幾點著手：

1.1 服務可用性

云計算數(shù)據(jù)中心的可用性對于高校而言是至關(guān)重要的。硬件或軟件故障都會影響系統(tǒng)高可用性。由于云計算需要為應用提供高質(zhì)量和高效的服務，這就要求云計算必須具備容錯和容災能力。

網(wǎng)絡方面：采取雙鏈路接入，避免單點故障的發(fā)生。在一臺網(wǎng)絡設(shè)備或者某條鏈路出現(xiàn)故障的情況下，通過網(wǎng)絡高可用性技術(shù)，虛擬網(wǎng)關(guān)可以遷移到另一臺并行網(wǎng)絡設(shè)備。

服務器方面：針對承載虛擬計算資源的服務器，可以在專網(wǎng)云和外網(wǎng)云均配置集群系統(tǒng)，為兩臺并機做高可用性集群。使用虛擬化軟件的HA功能，在單臺虛擬機或物理機出現(xiàn)故障的情況下，虛擬機可以無縫遷移至集群中的其他物理機器上。

存儲方面：采用RAID技術(shù)保證硬盤層面的數(shù)據(jù)安全，同時采用雙控制器以及存儲自身的硬件模塊冗余技術(shù)，在單一模塊出現(xiàn)故障的情況下，能夠保證業(yè)務系統(tǒng)無中斷。對主機的連接采用多通道技術(shù)，保證鏈路安全。

容災機制方面：在單一的機房環(huán)境中，受到電力設(shè)施、制冷設(shè)施以及其他不可抗拒因素(例如火災，地震等)的制約，會發(fā)生整個數(shù)據(jù)中心癱瘓的情況?？梢钥紤]在災備中心構(gòu)建災備機房，即可有效防止一般災難情況的發(fā)生。在主數(shù)據(jù)中心發(fā)生故障的情況下，可以啟動災備中心的備用計算資源，保證服務的持續(xù)性以及數(shù)據(jù)的高可用性。

軟件方面：將業(yè)務系統(tǒng)遷移至云計算數(shù)據(jù)中心后，可以很方便地對操作系統(tǒng)執(zhí)行快照并對存儲數(shù)據(jù)進行備份。在線備份不會影響業(yè)務的正常運行。部署詳細的規(guī)劃來對云計算數(shù)據(jù)中心的數(shù)據(jù)進行備份。在出現(xiàn)系統(tǒng)紊亂癱瘓的情況下，通過備份還原機制，能夠很快恢復到某個時間點上。對重要的系統(tǒng)應用(例如數(shù)據(jù)庫)制定合理的數(shù)據(jù)庫備份策略。

1.2 隱私保護

隱私保護是云計算另外一個重要的問題。要確保高校用戶的身份信息、訪問歷史、訪問方式受到保護，并且數(shù)據(jù)的存儲處理也要能保護用戶的個人隱私；要能防止數(shù)據(jù)挖掘獲得隱私，阻擋通過各種攻擊來獲取別人的隱私[1]。

1.3 數(shù)據(jù)和服務安全隔離

云計算是設(shè)備和數(shù)據(jù)池共有化的模式，所有的數(shù)據(jù)、服務都在云內(nèi)進行。各單位的數(shù)據(jù)需要同其他單位的數(shù)據(jù)執(zhí)行隔離。為達到這一目的，可以部署虛擬化安全加固產(chǎn)品，在云計算基礎(chǔ)架構(gòu)上劃分不同的資源組，針對不同的邏輯資源組定制訪問策略，對不允許互相訪問的對象可以制定嚴格的訪問策略，還可以針對源地址和目的地址，或根據(jù)資源組、文件夾劃分安全組。

對外部的業(yè)務用戶來說，只能訪問到虛擬機層面。虛擬軟件的底層在網(wǎng)絡上是不可達的或者不可訪問的。

1.4 訪問控制和審計

云計算管理中心使用獨立的網(wǎng)段，外部無法通過網(wǎng)絡訪問云計算數(shù)據(jù)中心的設(shè)備。各個物理服務器的管理端口通過單獨的物理網(wǎng)卡連接到管理VLAN或物理獨立的網(wǎng)絡，這樣可以有效地避免外部非授權(quán)用戶通過業(yè)務網(wǎng)絡對云計算平臺的底層架構(gòu)進行破壞。

此外，在業(yè)務接入層，我們采用傳統(tǒng)的訪問控制措施，通過鑒定權(quán)限、證書身份認證、網(wǎng)絡準入等對外來用戶訪問的合法性進行鑒定，并授予其應有的權(quán)限角色，確保外來用戶對云計算平臺中的資源進行安全訪問。

在云計算管理中心，我們可以在管理平臺上為不同的管理賬號授予不同的控制權(quán)限。可以限制某個用戶只有針對某個資源組、某臺虛擬機或某個網(wǎng)絡端口組的控制權(quán)限，并對登錄者的操作執(zhí)行日志記錄。除云系統(tǒng)管理員外，一般管理員是無法刪除該記錄的。歷史日志記錄可以導出并歸檔保存。在管理平臺上，我們也可以同AD集成，使用域中的賬號，并為賬號賦予不同的權(quán)限。

在VCD資源分配平臺中，也可以根據(jù)用戶身份的不同或使用業(yè)務特點的不同制定不同的訪問控制策略，為其分配不同性能的資源池，對重要的業(yè)務分配可用性強的資源，對次要的業(yè)務可以分配可用性差一些的資源。

1.5 惡意代碼與防護，入侵檢測與應急響應

1.6 基于云計算的安全保障體系建設(shè)

云計算管理中心采用分權(quán)分級管理?？梢圆扇》旨壙刂坪土鞒袒芾淼姆椒▉矸乐钩霈F(xiàn)“偷窺”各部門程序和數(shù)據(jù)的情況。例如：可以將管理人員的權(quán)限劃分為兩個層面，第一個權(quán)限層面為普通的運維人員，只負責普通的日常維護工作，無法接觸到核心數(shù)據(jù)和業(yè)務；第二個權(quán)限層面為核心管理人員，雖然可以接觸到核心數(shù)據(jù)和業(yè)務，但是受到一系列的流程限制。

云計算改變了傳統(tǒng)的服務方式，但并沒有改變傳統(tǒng)的安全模式。云計算環(huán)境中所不同的地方是其安全設(shè)備和措施的部署在不同的位置，因而安全責任的主體也發(fā)生了變化。原來各接入云的二級單位要自己保證自身服務的安全，而現(xiàn)在由數(shù)據(jù)中心保證服務提供的安全性。

2 高校云計算數(shù)據(jù)中心安全設(shè)計

2.1 安全域的劃分

安全域的劃分需要建立在對云上應用業(yè)務的分析基礎(chǔ)之上。因而與前述的虛擬服務區(qū)的劃分原則一致，每一個虛擬服務區(qū)應當對應唯一的虛擬防火墻，即對應唯一的一個安全域。具體原則如下：

1) 同一業(yè)務一定要在同一個安全域內(nèi)，同一個業(yè)務系統(tǒng)應在同一個安全域內(nèi)；

2) 有必要進行安全審計和訪問控制的區(qū)域必須使用安全域劃分；

再如，以敘事起句。如黃公度“薄宦各東西，往事隨風雨?！边@首詞是黃公度寄給其弟黃童之作。全篇起句“薄宦”“東西”“隨風雨”，寫出了詩人這輩子的羈旅漂泊生涯，以家書的形式寄予了深厚的“后會知何處”之情。又如曹冠《夢仙》中“午枕”交代了時間，“游仙”交代了事件，“蓬萊境”交代了“游仙”之地。再如黃機的作品，首句以一個“憶”字點出女主人公所處時間點是現(xiàn)在時。緊接著“數(shù)到郎歸日”，又以一個時間段的形式從側(cè)面突出了女主人公對男子的深切思念。再一句“及至郎歸郎又行”，詩人先讓我們跳躍到男子歸來時的那天，又再把我們拉回男子再次出行的這天。三句，看似平常無奇，實則情景切換，時間跳躍，有極強的蒙太奇效果。

3) 需要進行虛擬機遷移的虛擬主機要在同一個安全域內(nèi)。

2.2 防火墻部署設(shè)計

各個安全區(qū)域的網(wǎng)絡流量既需要互相訪問、又要經(jīng)過嚴格的訪問控制和區(qū)域隔離。如果按照傳統(tǒng)的網(wǎng)絡設(shè)計，需要在每個網(wǎng)絡應用以及交換平臺之間的邊緣部署防火墻設(shè)備來進行安全保護，這樣需要大量的防火墻，性能也受限于外部連接接口的帶寬，還增加了網(wǎng)絡管理的復雜度，未來也難以擴展。因此我們應當使用內(nèi)置于交換機的高性能防火墻模塊，不必考慮復雜的連線從而可以方便地進行安全域劃分，易于擴展和管理，提高整體性能。

每個安全域都分配有防火墻，所以每一個安全域只需要考慮自己的一套出入策略即可。安全域復雜的相互關(guān)系變成了每個安全域各自的一出一進的關(guān)系，這樣整個防火墻的策略就變得模塊化、清晰化和簡單化。在診斷策略的問題時，只要到相關(guān)的安全域去看其專用的虛擬防火墻所配置的策略，就容易找到問題所在。

防火墻設(shè)計中將充分使用虛擬防火墻技術(shù)。每個虛擬防火墻可以獨立執(zhí)行策略配置、策略執(zhí)行、策略顯示等等，所有操作就像在一個單獨的防火墻上那樣。而且虛擬防火墻還應當具有獨立的可由管理員分配的資源，比如連接數(shù)、內(nèi)存數(shù)、策略數(shù)、帶寬等等，防止一個虛擬防火墻由于病毒或其它原因而過多占用資源。僅僅用VLAN一類的技術(shù)劃分防火墻無法起到策略獨立性和資源獨立性的目的，不屬于這里所指的虛擬防火墻。

虛擬防火墻還應當配合虛擬三層交換機來使用。每一個安全域內(nèi)部可能存在多個IP子網(wǎng)，它們之間需要有三層交換機進行路由。但不同安全域之間這樣的路由不應當被混同在一個路由表中，而應當是每個安全域有自己的路由表，可以配置自己的靜態(tài)和動態(tài)路由協(xié)議，就好像有自己獨立使用的一個路由器一樣。不同安全域相互之間僅通過虛擬防火墻互相連接，因此各個安全域的互連邏輯結(jié)構(gòu)如圖1所示：

圖1 各個安全域的互連邏輯結(jié)構(gòu)圖

最終應當達到虛擬化數(shù)據(jù)交換中心的使用效果，即交換機的任何物理端口或VLAN端口都能夠充當防火墻端口，同時每個安全域可以有自己獨立虛擬路由器、獨立的路由表和獨立的動態(tài)路由協(xié)議。每個安全域?qū)幸粋€自己專用的虛擬防火墻，每個虛擬防火墻擁有獨立的管理員權(quán)限定義安全策略和所用資源。不同安全域的管理員只負責本區(qū)域虛擬防火墻的策略控制管理，而不用關(guān)心其它虛擬防火墻的配置工作，避免了單一區(qū)域安全策略配置錯誤對其它區(qū)域可能造成的影響，從根本上簡化大型數(shù)據(jù)中心管理維護的難度。

2.3 防火墻策略設(shè)計

由于采用虛擬化設(shè)計，不同安全區(qū)域之間的訪問控制策略只需考慮各個安全區(qū)域內(nèi)的出方向策略和入方向策略即可。初始策略依據(jù)如下原則設(shè)定，然后根據(jù)業(yè)務需求不斷調(diào)整：

出方向上不進行策略限制，全部打開。

入方向上按“最小授權(quán)原則”打開必要的服務。

允許發(fā)自內(nèi)部地址的雙方向的ICMP，但對ICMP進行應用檢查(Inspect)。

允許發(fā)自內(nèi)部地址的Trace Route，便于網(wǎng)絡診斷。

關(guān)閉雙方向的TCP Seq Randomization，在數(shù)據(jù)中心內(nèi)的防火墻可以去除該功能以提高轉(zhuǎn)發(fā)效率。

減少或者不進行NAT，保證數(shù)據(jù)中心內(nèi)的地址透明性，便于提供服務

關(guān)閉nat-control(此為默認)，關(guān)閉xlate記錄，以保證并發(fā)連接數(shù)。

對每個虛擬防火墻的如下資源進行最大限定：總連接數(shù)，策略數(shù)，吞吐量。

基于每個虛擬防火墻設(shè)定最大未完成連接數(shù)(Embryonic Connection)，將來升級到定義每個客戶端的最大未完成連接數(shù)。

2.4 虛擬化的安全

數(shù)據(jù)中心可劃分為不同的層面，包括網(wǎng)絡接入層、匯聚層、核心層、業(yè)務接入層和運維管理層[2]。因此需要在不同層面考慮數(shù)據(jù)中心的安全。每個層面都有不同的安全問題，所以采用的安全策略也不同，如表1所示。

表1 虛擬化不同層面的安全保護

對于接入層而言，主要的威脅是來自互聯(lián)網(wǎng)的DDoS和SYN攻擊。此類攻擊是將帶寬耗盡，使得服務器無法響應，難以對外提供服務。解決該問題的辦法就是對數(shù)據(jù)中心的流量進行清洗，并過濾掉這些攻擊。

對于業(yè)務接入層而言，主要是對主機進行防護。一方面通過安裝殺毒軟件，對系統(tǒng)定期查殺病毒和木馬；另一方面定期進行掃描，做出適當?shù)陌踩u估，有針對性地實施防護手段，從而對主機本身進行安全防護。

對于匯聚層及核心層而言，一是進行訪問控制，將網(wǎng)絡分為可信區(qū)域和不可信區(qū)域，并進行有效的隔離防護；另一方面加強網(wǎng)絡的入侵防護，對網(wǎng)絡設(shè)備也要進行嚴格的訪問控制，明確哪些人員可以管理，哪些人員不可以管理。

對于用戶終端接入而言，要對終端進行準入控制，對接入的用戶進行審計。

對于數(shù)據(jù)中心的保護，不僅僅要考慮環(huán)境安全和技術(shù)安全，還要考慮管理安全。對于管理人員而言，主要分為兩個方面。一方面是對遠程接入管理的安全防護，要嚴格控制遠程接入管理人員的管理權(quán)限，可以允許其通過VPN等方式接入；另一個方面是針對本地運維人員的安全防護，明確哪些人員可以進入機房，嚴格落實機房管理制度。

2.4.1 專網(wǎng)私有云安全

一般高校數(shù)據(jù)中心內(nèi)會有多套不同的應用系統(tǒng)，分屬不同的業(yè)務部門管理。將系統(tǒng)遷移到私有云中以后，借助本安全解決方案系列中支持虛擬化的虛擬數(shù)據(jù)中心和云計算環(huán)境保護解決方案，能夠在整個組織范圍內(nèi)加強應用程序和數(shù)據(jù)的安全性，了解、控制并加快IT遵從性工作的發(fā)展進程。

1) 由于在私有云中，無法確定不同的業(yè)務部門運行在哪臺物理主機上，因此所需的解決方案應當能夠增強對虛擬機之間網(wǎng)絡通信的控制，能夠針對應用分域，并且可以創(chuàng)建基于業(yè)務的安全策略。

2) 對私有云，針對不同的二級單位，需要針對不同資源池、虛擬機等劃分組，并可以針對該邏輯分組制定防護策略。

3) 在虛擬機遷移時提供動態(tài)保護。

4) 連接控制可以基于網(wǎng)絡、應用程序端口、協(xié)議類型(TCP/UDP)和應用程序類型進行。

5) 通過分析虛擬機與虛擬機間產(chǎn)生的流量，來優(yōu)化或重新制定防火墻策略，防止僵尸網(wǎng)絡的產(chǎn)生，并通過詳細報告應用程序流量(應用程序、會話、字節(jié)數(shù))來保護業(yè)務流程的安全。

6) 采用基于IP的有狀態(tài)防火墻和應用程序?qū)泳W(wǎng)關(guān)，可支持包括Oracle、Sun遠程過程調(diào)用(RPC)、Microsoft RPC、LDAP和SMTP在內(nèi)的眾多協(xié)議。

7) 有日志審核與記錄功能。

2.4.2 外網(wǎng)私有云安全

對外網(wǎng)私有云，除了在數(shù)據(jù)中心內(nèi)滿足專網(wǎng)私有云安全的要求之外，還需要在網(wǎng)絡邊界部署安全設(shè)備，實現(xiàn)針對虛擬數(shù)據(jù)中心的全方位外圍網(wǎng)絡安全保護。網(wǎng)絡邊緣的安全設(shè)備應該具備如下功能：

1) 帶狀態(tài)檢測防護。

能夠基于以下內(nèi)容的規(guī)則進行入站和出站連接控制：

IP地址——源/目標IP地址

端口——源/目標端口

協(xié)議——按類型(TCP或UDP)

2) 具有NAT功能，能夠針對不受信任的地址偽裝云數(shù)據(jù)中心的IP地址。

3) 能夠保護虛擬數(shù)據(jù)中心之間的通信。

4) 支持站點間VPN。

5) 針對所有流量的入站負載均衡。

6) 端口組隔離。

7) 邊緣流量統(tǒng)計信息。

3 總結(jié)

云計算數(shù)據(jù)中心安全部署是云基礎(chǔ)架構(gòu)中的重要建設(shè)環(huán)節(jié)。安全的云計算數(shù)據(jù)中心需要考慮環(huán)境安全、技術(shù)安全和管理安全；使用防火墻、入侵檢測等設(shè)備來提供靜態(tài)的保護能力；通過備份和容災等方式，防止故障并降低損害；同時需要具備主動防御的能力，能夠及時發(fā)現(xiàn)攻擊，并能夠從破壞中恢復。通過種種策略部署，從而建立一個完備的、多層面的體系來對云計算數(shù)據(jù)中心進行防護。隨著云計算技術(shù)的發(fā)展，只有全面規(guī)劃，才能建立健全完備的云數(shù)據(jù)中心防御體系。

[1] 張艾斌. 云計算模式與云安全問題研究[J]. 科協(xié)論壇, 2010(6): 58-59.

[2] 高忠新, 戰(zhàn)也非. 淺談高校校園網(wǎng)建設(shè)[J]. 牡丹江師范學院學報(自然科學版), 2007，(3): 8-9.

[3] 吳吉義, 沈千里, 章劍林, 等. 云計算：從云安全到可信云[C]∥2010年第16屆全國信息存儲技術(shù)大會(IST2010)論文集, 2010: 229-233.

[4] 吳旭東. 云計算數(shù)據(jù)安全研究[C]∥第26次全國計算機安全學術(shù)交流會論文集, 2011: 38-40.

[5] 萬利平, 陳燕. 云計算在教育信息化中的應用探究[J]. 中國教育信息化, 2009(9): 74-77.

Design and Implementation of Cloud Computing Data Center Security at Colleges and Universities

Pang Jinxiang1, Sui Mengmeng2

(1. Internet and Education Technology Center; 2. College of Computer & Communication Engineering, China University of Petroleum (East China), Qingdao 266580, China)

Colleges and Universities can integrate the existing data center by using the cloud computing center in order to take full advantage of available IT resources, so that the efficiency and performance of the information system can be improved, and the cycle of the applications being put into practice can be shortened. As the cloud platform can also be viewed as a kind of information system, it has some security problems like those of other information systems. Based on the traditional construction of data center, this paper discusses data center security combined with recommended principles of construction and security of cloud computing data center.

Cloud computing; Data center; Security; Disaster recovery center

2015 年賽爾網(wǎng)絡下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新項目(項目編號：NGII20150115)

龐金香(1978-)，女，工程師，研究方向：網(wǎng)絡信息管理、一卡通。 隋萌萌(1992-)，女，碩士研究生，研究方向：軟件定義網(wǎng)絡(SDN)、計算機網(wǎng)絡及應用。

1007-757X(2017)07-0023-03

TP393

A

2017.02.17)