云計(jì)算環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)措施分析

依扎提布·艾則孜

摘 要 云計(jì)算是一種新型的計(jì)算機(jī)技術(shù)。云數(shù)據(jù)中心通常由大量物理單元組成。目前，大型企業(yè)、高校和研究機(jī)構(gòu)已經(jīng)開(kāi)始將業(yè)務(wù)轉(zhuǎn)移到云計(jì)算數(shù)據(jù)中心。云數(shù)據(jù)中心最大的特點(diǎn)是服務(wù)的多樣化，其實(shí)現(xiàn)離不開(kāi)虛擬技術(shù)的支持，同時(shí)對(duì)網(wǎng)絡(luò)安全技術(shù)的要求也很高。本文分析了數(shù)據(jù)中心云計(jì)算環(huán)境中存在的主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并提出了相應(yīng)的安全防護(hù)措施，以期為云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)能力的建設(shè)提供參考。

關(guān)鍵詞 云計(jì)算;數(shù)據(jù)中心;風(fēng)險(xiǎn);防護(hù)措施

引言

云數(shù)據(jù)中心離不開(kāi)云計(jì)算和虛擬化技術(shù)，各種技術(shù)相互支持。網(wǎng)絡(luò)云數(shù)據(jù)之所以普及如此之快，主要是因?yàn)樗哂兄悄?、高效、虛擬化和融合等幾個(gè)優(yōu)勢(shì)。目前，服務(wù)器虛擬化在云數(shù)據(jù)中得到了廣泛的應(yīng)用，云數(shù)據(jù)中心的軟硬件安全面臨挑戰(zhàn)，其中比較突出的一個(gè)問(wèn)題是云存儲(chǔ)中大數(shù)據(jù)的數(shù)據(jù)安全問(wèn)題。因此，我們應(yīng)該對(duì)安全突出問(wèn)題提出解決方案。

1云數(shù)據(jù)中心安全面臨的挑戰(zhàn)

1.1 物理網(wǎng)絡(luò)安全問(wèn)題

物理網(wǎng)絡(luò)安全問(wèn)題主要表現(xiàn)在通信過(guò)程中遇到的DDoS攻擊。由于云計(jì)算的處理瓶頸，云計(jì)算服務(wù)器會(huì)收到大量的DDoS請(qǐng)求，導(dǎo)致服務(wù)器超負(fù)荷運(yùn)行，阻礙或延遲正常的訪問(wèn)請(qǐng)求。一些犯罪分子利用這種方式監(jiān)聽(tīng)或竊取用戶數(shù)據(jù)，威脅用戶的個(gè)人信息安全[1]。

1.2 虛擬網(wǎng)絡(luò)安全問(wèn)題

云計(jì)算數(shù)據(jù)中心采用傳統(tǒng)的防火墻模式，是一個(gè)基于虛擬化技術(shù)的環(huán)境，不能有效保障云數(shù)據(jù)的網(wǎng)絡(luò)安全。云計(jì)算環(huán)境中的用戶可以按需調(diào)用資源，并且可以在單個(gè)物理主機(jī)中創(chuàng)建多個(gè)虛擬服務(wù)器。在這樣的多用戶環(huán)境下如果監(jiān)管不到位，用戶的數(shù)據(jù)安全將受到嚴(yán)重威脅。

1.3 虛擬機(jī)防護(hù)和虛擬安全域的隔離

云數(shù)據(jù)中心的網(wǎng)絡(luò)虛擬化將帶來(lái)網(wǎng)絡(luò)邊界的動(dòng)態(tài)性，使得云數(shù)據(jù)中心的網(wǎng)絡(luò)安全更加依賴于網(wǎng)絡(luò)安全系統(tǒng)對(duì)流量的感知和安全策略的動(dòng)態(tài)部署。虛擬交換層是網(wǎng)絡(luò)虛擬化后添加到云數(shù)據(jù)中心的網(wǎng)絡(luò)層。由于虛擬交換層的出現(xiàn)，使得網(wǎng)絡(luò)管理邊界變得模糊，虛擬服務(wù)器難以被原有的網(wǎng)絡(luò)系統(tǒng)感知。因此，數(shù)據(jù)中心很難安全地隔離租戶的虛擬域。

2云計(jì)算環(huán)境下的數(shù)據(jù)安全技術(shù)

2.1 建立數(shù)據(jù)中心安全系統(tǒng)

確保數(shù)據(jù)安全是云計(jì)算的關(guān)鍵。為了保證云中心的數(shù)據(jù)安全，首先要建立一個(gè)安全的數(shù)據(jù)中心系統(tǒng)，通過(guò)云計(jì)算技術(shù)實(shí)現(xiàn)數(shù)據(jù)共享。在保證數(shù)據(jù)安全的前提下，對(duì)數(shù)據(jù)進(jìn)行有效、全面的控制。其次，加密方法的選擇和策略規(guī)則的使用。當(dāng)用戶需要訪問(wèn)或修改數(shù)據(jù)時(shí)，只有在滿足規(guī)則的條件下才能進(jìn)行相關(guān)操作。

2.2 完善認(rèn)證身份管理體系

完善的身份管理系統(tǒng)是提高數(shù)據(jù)安全性和保密性的關(guān)鍵。用戶可以在保證數(shù)據(jù)安全的前提下，適當(dāng)放寬條件，選擇合適的身份，實(shí)現(xiàn)更好的用戶請(qǐng)求。身份管理系統(tǒng)的認(rèn)證可以有效提高管理系統(tǒng)的科學(xué)性，增強(qiáng)云計(jì)算的安全性。

2.3 對(duì)數(shù)據(jù)進(jìn)行加密

數(shù)據(jù)加密有兩種方法。第一種是對(duì)數(shù)據(jù)操作進(jìn)行加密，主要體現(xiàn)在用戶對(duì)數(shù)據(jù)的查詢操作方面。用戶可以通過(guò)匿名身份驗(yàn)證的方式對(duì)服務(wù)器進(jìn)行訪問(wèn)、查詢、解密、查看明文等操作，從而達(dá)到加密的目的。第二種是對(duì)數(shù)據(jù)的存儲(chǔ)進(jìn)行加密。在數(shù)據(jù)加密的過(guò)程，用戶開(kāi)展加密工作時(shí)，必須首先要利用初始算法得到密文，然后通過(guò)匿名身份驗(yàn)證方法，將加密后的數(shù)據(jù)傳輸?shù)皆贫朔?wù)器中，最后利用服務(wù)器對(duì)密文進(jìn)行存儲(chǔ)，從而達(dá)到理想的存儲(chǔ)效果，提高數(shù)據(jù)的安全性[2]。

3云計(jì)算安全防護(hù)策略

3.1 搭建算法可信的云架構(gòu)

目前，從服務(wù)的角度來(lái)看，云計(jì)算可分為公有云、混合云、私有云、移動(dòng)云和行業(yè)云。無(wú)論用戶使用哪種云服務(wù)，超文本傳輸協(xié)議都是必不可少的。以互聯(lián)網(wǎng)交易支付為例，如，為了加強(qiáng)的安全傳輸，在HTTPS添加SSL通道層，使用提供的身份驗(yàn)證和加密通信，分析研究發(fā)現(xiàn)SSL HTTPS私鑰是最重要的數(shù)據(jù)，如果泄露私鑰，通信的整個(gè)過(guò)程可能被劫持，簽名可以偽造，所以HTTPS傳輸過(guò)程是不安全的。傳統(tǒng)的私鑰與應(yīng)用程序綁定在一起，私鑰部署在云端存在較大的安全風(fēng)險(xiǎn)，容易造成信息泄露。在云端通過(guò)無(wú)密鑰加載架構(gòu)，迫使云端接觸不到私鑰，從而保證了用戶私鑰，減少了泄露的風(fēng)險(xiǎn)[3]。

3.2 加強(qiáng)云端安全管理

首先是對(duì)服務(wù)器安防的選擇，必須建立嚴(yán)格的物理訪問(wèn)控制;其次是對(duì)自然災(zāi)害的預(yù)防，要防雷、防水、防火、防靜電;最后要確保通信線路安全，防止云端服務(wù)器遭到內(nèi)部破壞。

3.3 加強(qiáng)威脅發(fā)現(xiàn)管理

互聯(lián)網(wǎng)最常見(jiàn)的安全防護(hù)是通過(guò)防火墻措施，它會(huì)事先制定好規(guī)則，然后對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行一一比對(duì)，比對(duì)成功的則放行通過(guò)，對(duì)比失敗的則認(rèn)為是有害數(shù)據(jù)予以攔截，從而起到安全防護(hù)作用。但是，防火墻只能對(duì)來(lái)自外部的數(shù)據(jù)包進(jìn)行檢測(cè)和分析，對(duì)內(nèi)部數(shù)據(jù)則束手無(wú)策。入侵檢測(cè)系統(tǒng)則可以解決此類問(wèn)題，保護(hù)云端數(shù)據(jù)安全。入侵檢測(cè)系統(tǒng)先收集信息，然后對(duì)其進(jìn)行分析，進(jìn)而發(fā)現(xiàn)是否有惡意攻擊的行為。由于傳統(tǒng)的IDS 對(duì)未知入侵行為檢測(cè)效果不理想，因此在云端部署IDS，讓其與主機(jī)入侵檢測(cè)相結(jié)合，形成一個(gè)新型分布式檢測(cè)結(jié)構(gòu)，以保障云計(jì)算的信息安全[4]。

4結(jié)束語(yǔ)

總之，伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，云計(jì)算能夠給群眾的生活帶來(lái)極大的便利，信息網(wǎng)絡(luò)安全環(huán)境也會(huì)面臨嚴(yán)峻的挑戰(zhàn)。為了能夠盡快解決這些問(wèn)題，必須構(gòu)建起一套更加全面的云計(jì)算網(wǎng)絡(luò)體系，同時(shí)，網(wǎng)絡(luò)安全工作需要不斷檢查、改進(jìn)和優(yōu)化，進(jìn)而使網(wǎng)絡(luò)能夠保持平穩(wěn)的狀態(tài)持續(xù)運(yùn)營(yíng)。

參考文獻(xiàn)

[1] 陳鵬州.對(duì)云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（8）：11.

[2] 楊秀云，王玉軍，劉露. 高校云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全問(wèn)題及防護(hù)措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（7）：81-82.

[3] 孫莉娜. 基于云計(jì)算的大數(shù)據(jù)存儲(chǔ)安全探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（2）：77-78.

[4] 張小梅，馬錚，朱安南，等. 云數(shù)據(jù)中心安全防護(hù)解決方案[J].郵電設(shè)計(jì)技術(shù)，2016（1）：50-54.