關(guān)于云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)的探討

劉晨昱

摘要：云計(jì)算技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中得到了廣泛的應(yīng)用，云數(shù)據(jù)中心網(wǎng)絡(luò)的信息安全服務(wù)也為人們帶來了極大的挑戰(zhàn)，虛擬網(wǎng)絡(luò)安全技術(shù)能夠有效地解決網(wǎng)絡(luò)安全問題，通過對(duì)云數(shù)據(jù)中心的安全需求進(jìn)行分析，探究了分布式云數(shù)據(jù)中心安全服務(wù)的需求，提出了分布式虛擬網(wǎng)絡(luò)的安全架構(gòu)，并虛擬網(wǎng)絡(luò)的安全服務(wù)性能與要求等進(jìn)行全面的研究。

關(guān)鍵詞：云數(shù)據(jù);中心網(wǎng)絡(luò);安全服務(wù)

文章編號(hào)：1009-3044（2020）20-0055-02

云數(shù)據(jù)技術(shù)實(shí)現(xiàn)了以用戶為中心的自動(dòng)化計(jì)算、網(wǎng)絡(luò)管理、服務(wù)管理與白動(dòng)存儲(chǔ)技術(shù)，云技術(shù)的計(jì)算虛擬化以及存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化的功能，能夠數(shù)據(jù)中心的物理數(shù)據(jù)資源進(jìn)行抽象化處理、資源池化處理，使得用戶獲得數(shù)據(jù)更加高效、便捷彈性，也方便用戶將關(guān)鍵的數(shù)據(jù)處理業(yè)務(wù)從傳統(tǒng)的數(shù)據(jù)處理中心向虛擬化的數(shù)據(jù)中心轉(zhuǎn)移。但是，在數(shù)據(jù)虛擬化轉(zhuǎn)移的過程中，網(wǎng)絡(luò)信息的安全成為人們關(guān)注的重點(diǎn)，如何云數(shù)據(jù)平臺(tái)提供安全中心服務(wù)，是目前迫切需要解決的問題。

1數(shù)據(jù)中心的安全需求

云數(shù)據(jù)安全處理中，需要將安全服務(wù)進(jìn)行虛擬化處理，要求必須遵循數(shù)據(jù)中心的虛擬要求與軟件定義的基本思路，才能有機(jī)將其他安全技術(shù)結(jié)合在一起，為數(shù)據(jù)安全提供服務(wù)。

1.1數(shù)據(jù)中心特性

由于云數(shù)據(jù)中心的安全服務(wù)管理，必須統(tǒng)一到云數(shù)據(jù)中心管理平臺(tái)上，要求在數(shù)據(jù)具有彈性、敏捷性與高效性，才能實(shí)現(xiàn)數(shù)據(jù)安全的統(tǒng)一需求，具有如下的特性：

（1）敏捷性。云數(shù)據(jù)的安全服務(wù)一般都需要部署在云平臺(tái)管理中心，保障整個(gè)云數(shù)據(jù)中心都處在安全服務(wù)保障體系中，并且要求安全保障服務(wù)自動(dòng)地啟動(dòng)與停止不會(huì)影響云數(shù)據(jù)的使用，能夠滿足數(shù)據(jù)安全保護(hù)的敏捷性要求;

（2）彈性。云數(shù)據(jù)的安全保護(hù)能夠?qū)崿F(xiàn)動(dòng)態(tài)的管理，及時(shí)調(diào)整安全策略，以滿足數(shù)據(jù)使用以及業(yè)務(wù)變化的能力，動(dòng)態(tài)調(diào)整的過程需要自動(dòng)進(jìn)行，基于一定的規(guī)則開展安全檢測(cè)，要求安全服務(wù)的彈性非常好，才能滿足要求;

（3）高效性。能夠?qū)崿F(xiàn)多種用戶同時(shí)共享云數(shù)據(jù)資源，采用同一資源能夠反復(fù)利用的方式，實(shí)現(xiàn)云數(shù)據(jù)中的物理資源反復(fù)利用，就需要保障安全服務(wù)能夠?yàn)槎鄠€(gè)用戶分分享，實(shí)現(xiàn)資源統(tǒng)一管理與利用。

1.2數(shù)據(jù)中心的網(wǎng)絡(luò)安全需求

在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)中，網(wǎng)絡(luò)的物理安全設(shè)備結(jié)構(gòu)比較固定，無法對(duì)高度動(dòng)態(tài)的用戶資源提供安全防護(hù)。云數(shù)據(jù)中心采用了動(dòng)態(tài)處理的技術(shù)，要求網(wǎng)絡(luò)實(shí)現(xiàn)安全服務(wù)資源化、資源池化，保證在數(shù)據(jù)處理的過程中，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)拿艚菪?、彈性與高效型，以與計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源的利用以相同的方式提供安全支持服務(wù)。

2分布式云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)性能

云計(jì)算技術(shù)經(jīng)歷計(jì)算虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)傳輸虛擬化等一系列的技術(shù)，以及在數(shù)據(jù)中心的軟件自定義，在技術(shù)演進(jìn)的中，不管是單一的技術(shù)還是采用軟件定義，在數(shù)據(jù)中心需要采用統(tǒng)一的平臺(tái)進(jìn)行管理，才能有效為用戶提供安全的網(wǎng)絡(luò)服務(wù)。

2.1數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)安全服務(wù)的需求

（1）業(yè)務(wù)跟隨。在云數(shù)據(jù)中心需要隨時(shí)保障用戶數(shù)據(jù)的安全，在安全服務(wù)要跟隨虛擬機(jī)中遷移而遷移，以實(shí)現(xiàn)數(shù)據(jù)的安全防護(hù)以及用戶業(yè)務(wù)流量的全過程跟隨，保證數(shù)據(jù)流量不中斷，安全服務(wù)不中斷。

（2）服務(wù)擴(kuò)展。云數(shù)據(jù)中心的安全服務(wù)要能根據(jù)服務(wù)的演變而不斷地調(diào)整策略，以防止惡意的攻擊，實(shí)現(xiàn)在現(xiàn)有的基礎(chǔ)上進(jìn)行服務(wù)更新、拓展，否則會(huì)影響云數(shù)據(jù)中心的安全服務(wù)的發(fā)揮，實(shí)現(xiàn)數(shù)據(jù)安全服務(wù)不斷地拓展。

（3）支持多類型數(shù)據(jù)中心。云數(shù)據(jù)安全中心要能夠滿足不同云數(shù)據(jù)服務(wù)的需求，要求安全控制中心能夠獨(dú)立于系統(tǒng)管理平臺(tái)。為保障安全，在必要時(shí)可以舍棄Hypervisor技術(shù)支持，支持不同跨技術(shù)平臺(tái)的數(shù)據(jù)安全控制，以保障不同云平臺(tái)數(shù)據(jù)安全中心的數(shù)據(jù)安全。

2.2網(wǎng)絡(luò)安全服務(wù)的實(shí)現(xiàn)

云數(shù)據(jù)網(wǎng)絡(luò)安全分為虛擬化安全與軟件定義安全兩種方式，在SDN技術(shù)中，虛擬化安全是常用的技術(shù)，它有兩種網(wǎng)絡(luò)部署方式，一種是采用虛擬網(wǎng)絡(luò)邊界的方式進(jìn)行部署，它的組網(wǎng)方式與物理網(wǎng)絡(luò)組網(wǎng)的方式相同，虛擬安全網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)的保護(hù)采用控制網(wǎng)絡(luò)邊界的流量實(shí)現(xiàn)的，每個(gè)用戶對(duì)虛擬化安全設(shè)備進(jìn)行單獨(dú)管理，這種安全控制方式，在本質(zhì)上是將一臺(tái)物理安全設(shè)備虛擬化處理，實(shí)現(xiàn)網(wǎng)絡(luò)的安全控制，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心的系統(tǒng)服務(wù)敏捷性、彈性以及多用戶支持服務(wù)的要求。軟件定義的部署方式是在需要安全服務(wù)的所有物理設(shè)備上安裝虛擬化安全設(shè)備，并安裝多設(shè)備的管理系統(tǒng)，實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)虛擬設(shè)備安全轉(zhuǎn)發(fā)策略，這種技術(shù)的本質(zhì)上是將多臺(tái)物理網(wǎng)絡(luò)設(shè)備以及多設(shè)備管理服務(wù)器進(jìn)行虛擬化處理，以提高網(wǎng)絡(luò)安全服務(wù)的遷移功能。

2.3分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)

在云數(shù)據(jù)中心采用虛擬化部署與軟件定義部署的方式，實(shí)現(xiàn)云平臺(tái)的控制平面與數(shù)據(jù)平面分離，實(shí)現(xiàn)云數(shù)據(jù)安全中心的虛擬化，能夠?yàn)橛脩籼峁椥浴㈧`活、自適應(yīng)等能力的安全服務(wù)。在具體的設(shè)計(jì)中，一般采用基于SDN技術(shù)的方式來實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)，在系統(tǒng)的引流層采用虛擬機(jī)的方式實(shí)現(xiàn)網(wǎng)絡(luò)安全架構(gòu)部署，結(jié)合分布式網(wǎng)絡(luò)的特征，構(gòu)建了如圖1所示的系統(tǒng)架構(gòu)，其中虛線部分為虛擬化的網(wǎng)絡(luò)安全管理部分。

該數(shù)據(jù)中心的具體架構(gòu)包括云數(shù)據(jù)中心管理平臺(tái)、Hyper-visor和虛擬網(wǎng)絡(luò)三部分，SDN控制器也是云數(shù)據(jù)中的重要組成部分，用戶的虛擬機(jī)接入虛擬網(wǎng)絡(luò)需要通過Hypervisor，云數(shù)據(jù)的安全服務(wù)通過控制平面部署，與數(shù)據(jù)中心進(jìn)行交互，經(jīng)過引流平面與服務(wù)平面進(jìn)行提供安全服務(wù)，并配置二者的安全功能，在系統(tǒng)中，采用虛擬網(wǎng)絡(luò)單元對(duì)網(wǎng)絡(luò)中的虛擬交換機(jī)API或SDN APl對(duì)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行動(dòng)態(tài)化的引流配置，在多個(gè)物理機(jī)上配置了安全服務(wù)平面，為控制平面在控制與服務(wù)部署提供通道。安全控制平面主要部署在多個(gè)虛擬的物理設(shè)備上，控制數(shù)據(jù)中心的業(yè)務(wù)數(shù)編排、引流決策以及安全策略配置，數(shù)據(jù)中心管理平臺(tái)上的業(yè)務(wù)編排器根據(jù)用戶的業(yè)務(wù)需求控制數(shù)據(jù)中心的安全，并通過控制平面的NBI來配置數(shù)據(jù)中心的安全服務(wù)，管理員可以通過安全控制管理界面，設(shè)置控制平臺(tái)的服務(wù)功能。系統(tǒng)的安全服務(wù)平面采用分布式的方式部署，根據(jù)數(shù)據(jù)中心T作的需求，可以在物理機(jī)上部署多個(gè)安全服務(wù)模塊，它對(duì)網(wǎng)絡(luò)安全的控制主要是通過連接虛擬機(jī)或者Hypervisor實(shí)現(xiàn)的。

3系統(tǒng)架構(gòu)可提供的安全服務(wù)

3.1流量可視化

經(jīng)過控制平面，網(wǎng)絡(luò)中的用戶虛擬機(jī)數(shù)據(jù)流量可以鏡像到或穿過安全服務(wù)虛擬機(jī)，使得控制平面能夠達(dá)到對(duì)虛擬機(jī)上的流量進(jìn)行控制，管理員通過控制平面就可以了解用戶虛擬機(jī)的流量，采用分布式安全虛擬架構(gòu)具有兩個(gè)優(yōu)勢(shì)，第一是數(shù)據(jù)的細(xì)粒度控制，可以有效地保證數(shù)據(jù)流量的細(xì)粒度，利用網(wǎng)絡(luò)的安全模塊，可以在虛擬機(jī)的任意一個(gè)端口上對(duì)用戶的流量進(jìn)行檢測(cè)，而系統(tǒng)的流量監(jiān)控可以精確地監(jiān)測(cè)到任意一個(gè)虛擬機(jī)的任何業(yè)務(wù);二是全局性，在系統(tǒng)的控制平面，都可以監(jiān)測(cè)到每一個(gè)虛擬機(jī)模塊局部流量，為系統(tǒng)的數(shù)據(jù)中心安全提供給全局控制景象，細(xì)粒度與全局視角為數(shù)據(jù)安全中心的管理員運(yùn)維提供了日常安全維護(hù)的依據(jù)。

3.2微隔離功能

采用微隔離功能可以實(shí)現(xiàn)對(duì)虛擬網(wǎng)絡(luò)中的部分用戶行為進(jìn)行安全檢測(cè)，如果安全服務(wù)發(fā)現(xiàn)在同一個(gè)虛擬網(wǎng)絡(luò)中的某一個(gè)虛擬機(jī)上出現(xiàn)被攻擊行為時(shí)，可以采用微隔離技術(shù)將虛擬機(jī)受到攻擊的部分進(jìn)行分割隔離，并對(duì)其進(jìn)行檢測(cè)并遏制源于內(nèi)部的攻擊，就不用對(duì)整個(gè)虛擬網(wǎng)絡(luò)進(jìn)行隔離，而達(dá)到安全控制點(diǎn)目標(biāo)。采用分布式安全架構(gòu)可以對(duì)虛擬網(wǎng)絡(luò)中任何用戶虛擬機(jī)的任一端口實(shí)施微隔離控制，提高虛擬網(wǎng)絡(luò)的安全控制。微隔離控制的粒度可以從虛擬機(jī)端口到整個(gè)用戶虛擬網(wǎng)絡(luò)，利用在控制平面配置安全控制策略，可以通過某個(gè)端口的部分對(duì)某一個(gè)虛擬網(wǎng)絡(luò)中的網(wǎng)絡(luò)用戶行為進(jìn)行檢測(cè)，還可以針對(duì)用戶的單一業(yè)務(wù)行為或者某一組爺爺?shù)奶摂M機(jī)安全防護(hù)進(jìn)行配置，從而能夠擴(kuò)大整個(gè)系統(tǒng)的安全性。

3.3提供安全服務(wù)

微隔離是為虛擬網(wǎng)絡(luò)提供安全服務(wù)的基礎(chǔ)，也是對(duì)用戶業(yè)務(wù)安全保護(hù)的重要措施，采用分布式安全架構(gòu)的方式，可以在安全部署在所有的虛擬機(jī)上，從而能夠?yàn)樗械奶摂M機(jī)提供安全檢測(cè)服務(wù)，利用安全服務(wù)模塊可以針對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)的某一個(gè)報(bào)文、單一數(shù)據(jù)或者用戶行為進(jìn)行檢測(cè)，例如防火墻的運(yùn)行、系統(tǒng)的攻擊防護(hù)、用戶的安全識(shí)別、IPS、AV和URL過濾等。同時(shí)還可以對(duì)多網(wǎng)絡(luò)、非實(shí)時(shí)性的網(wǎng)絡(luò)安全，采用擴(kuò)展模塊的方式，對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。

3.4支持業(yè)務(wù)遷移

在數(shù)據(jù)安全控制中，利用安全控制平面可以對(duì)虛擬網(wǎng)絡(luò)中任何一個(gè)虛擬機(jī)的事件遷移、安全進(jìn)行定位，如圖2所示服務(wù)虛擬機(jī)1和目標(biāo)安全服務(wù)虛擬機(jī)2之間的業(yè)務(wù)遷移，安全控制技術(shù)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的安全，在用戶業(yè)務(wù)遷移完成后，網(wǎng)絡(luò)的安全狀態(tài)也發(fā)生遷移，保障整個(gè)網(wǎng)絡(luò)的安全監(jiān)控功能不會(huì)中斷。

3.5網(wǎng)絡(luò)全網(wǎng)行為分析

分布式虛擬網(wǎng)絡(luò)架構(gòu)的控制平面可以將整個(gè)虛擬網(wǎng)絡(luò)中的每一個(gè)虛擬機(jī)端的安全信息、局部流量、業(yè)務(wù)信息、攻擊行為等進(jìn)行匯總，定期對(duì)網(wǎng)絡(luò)的安全行為事件進(jìn)行分析，在數(shù)據(jù)的匯聚點(diǎn)能夠控制某一個(gè)虛擬機(jī)，對(duì)其數(shù)據(jù)進(jìn)行分析，在系統(tǒng)的分析層面，可以對(duì)單臺(tái)虛擬機(jī)或者一個(gè)集群進(jìn)行分析，還可以對(duì)某一個(gè)端口、網(wǎng)絡(luò)、用戶行為等全局信息進(jìn)行匯總分析，從而能夠在整個(gè)數(shù)據(jù)中心視角下對(duì)虛擬網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)全面分析，從而能實(shí)時(shí)對(duì)網(wǎng)絡(luò)安全進(jìn)行保護(hù)。

4結(jié)束語

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，采用云計(jì)算技術(shù)能夠?yàn)榫W(wǎng)絡(luò)用戶提供了極大的便利，但是網(wǎng)絡(luò)的信息安全問題也給人們帶來了極大的困擾，構(gòu)建云數(shù)據(jù)中心的安全服務(wù)控制系統(tǒng)，成為網(wǎng)絡(luò)信息安全管理的重要手段。分布式虛擬網(wǎng)絡(luò)架構(gòu)系統(tǒng)，能夠滿足數(shù)據(jù)中心對(duì)虛擬服務(wù)運(yùn)行控制的需求，在強(qiáng)調(diào)網(wǎng)絡(luò)安全控制的前提下，采用Hypervisor和數(shù)據(jù)中心的輕藕合方式，對(duì)虛擬網(wǎng)絡(luò)中的任一虛擬機(jī)進(jìn)行安全控制，并采用虛擬交換機(jī)與SDN技術(shù)進(jìn)行引流分析與微隔離控制，并具有動(dòng)態(tài)遷移與安全控制分析的功能。

參考文獻(xiàn)：

[1]程思嘉，張昌宏，潘帥卿.基于CP-ABE算法的云存儲(chǔ)數(shù)據(jù)訪問控制方案設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全，2016（2）：1-6.

[2]裘曉峰，趙糧，高騰.VSA和SDS：兩種SDN網(wǎng)絡(luò)安全架構(gòu)的研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2013，34（10）：2298-2303.

[3]王剛.一種基于SDN技術(shù)的多區(qū)域安全云計(jì)算架構(gòu)研究[J].信息網(wǎng)絡(luò)安全，2015（9）：20-24.

[4]劉文懋.軟件定義的企業(yè)級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)安全研究[J].電信科學(xué)，2014，30（11）：140-144.

[5]劉文懋，裘曉峰，陳鵬程，等.面向SDN環(huán)境的軟件定義安全架構(gòu)[J].計(jì)算機(jī)科學(xué)與探索，2015，9（1）：63-70.

【通聯(lián)編輯：唐一東】