互聯網數據中心安全管理

汪芳 陳清金 房秉毅

中圖分類號：TN915.1文獻標志碼：A 文章編號：1009-6868 (2012) 04-0023-004

摘要：文章認為互聯網數據中心面臨的主要安全威脅包括侵入攻擊、拒絕服務攻擊和分布式拒絕服務攻擊、蠕蟲病毒等。在數據中心網絡安全建設和管理中，文章建議從網絡架構、安全設備、安全管理多方面保障互聯網數據中心安全。具體手段上建議采取網絡多層多區域設計原則，建立安全邊界，實施不同等級的安全措施和防護辦法，以形成多層次的網絡架構；部署多方面的網絡安全設備，形成全方位一體化安全防護體系；制訂健全的安全管理和運維制度，建設系統的安全管理體系。

關鍵詞：互聯網數據中心；網絡架構；安全威脅；安全技術；安全管理

Abstract:Security threats for data centers include intrusion, denial of service, distributed denial of service, and worms. In this paper, we suggest that research into data center security should focus on network architecture, security equipment, and security management. We suggest ways of securing a data center, including building an architecture based on multilayers and multizones, establishing secure borders, and using different levels of security and different protective measures. We also suggest deploying a wide range of network security devices and formulating security management and operation and maintenance rules.

Key words:Internet data center; network architecture; security threats; security management.

互聯網數據中心是企業數據、應用大集中以及企業IT應用對互聯網服務提供模式的依賴的集中體現，是以機房和網絡資源為依托，以專業化技術支撐隊伍為基礎，為各類用戶提供各種資源出租以及相關增值服務，并定期向用戶收取相應服務費用的一種電信級服務。互聯網數據中心提供的主要業務包括主機托管、資源出租、系統維護、管理服務，以及其他支撐、運行服務等，需要具有完善的設備、專業化的管理和完善的應用級服務能力。

近十年來，隨著互聯網的高速發展和企業用戶對數據中心依賴的增長，互聯網數據中心的需求向著更大容量、更高能力、超大規模、多種業務模式和運營模式同時存在的方向升級。就近年來多次大型互聯網數據中心服務中斷事故的社會影響來看，構建具有更高可靠性和服務能力的互聯網數據中心，成為其發展的一個重要訴求。

網絡作為連接數據中心IT組件、實現外部訪問的唯一實體，構建堅實的網絡基礎設施、構建網絡與安全相融合的互聯網數據中心平臺將為互聯網數據中心業務提供非常重要的保障。

本文介紹互聯網數據中心網絡架構主要特征和多層設計原則，分析互聯網數據中心面臨的主要安全威脅，對其安全規劃和部署實施提出方案建議[1-8]。

1 互聯網數據中心網絡

多層設計原則

從本質上說，互聯網數據中心網絡多層設計原則是劃分區域、劃分層次、各自負責安全防御任務，即將復雜的數據中心內部網絡和主機元素按一定的原則分為多個層次多個部分，形成良好的邏輯層次和分區。

數據中心用戶的業務可分為多個子系統，彼此之間會有數據共享、業務互訪、數據訪問控制與隔離的需求，根據業務相關性和流程需要，需要采用模塊化設計，實現低耦合、高內聚，保證系統和數據的安全性、可靠性、靈活擴展性、易于管理，把用戶的整個IT系統按照關聯性、管理等方面的需求劃分為多個業務板塊系統，而每個系統有自己單獨的核心交換，服務器，安全邊界設備等，逐級訪問控制，并采用不同等級的安全措施和防護手段。

互聯網數據中心網絡可同時從3個方面劃分層次和區域：

(1)根據內外部分流原則分層。

(2)根據業務模塊隔離原則分區。

(3)根據應用分層次訪問原則來分級。

1.1 分層

根據內外部分流原則，數據中心網絡可分為4層：互聯網接入層、匯聚層、業務接入層和運維管理層。

最常見的數據中心網絡分層如圖1所示。

互聯網接入層配置核心路由器實現與互聯網的互聯，對互聯網數據中心內網和外網的路由信息進行轉換和維護，并連接匯聚層的各匯聚交換機，形成數據中心的網絡核心。

匯聚層配置匯聚交換機實現向下匯聚業務接入層各業務區的接入交換機，向上與核心路由器互聯。部分流量管理設備、安全設備部署在該層。大客戶或重點業務可直接接入匯聚層交換機。

業務接入層通過接入交換機接入各業務區內部的各種服務器設備、網絡設備等。

運維管理層一般獨立成網，與業務網絡進行隔離，通過運維管理層的接入及匯聚交換機連接管理子系統各種設備。

1.2 分區

按照關聯性、管理、安全防護等方面的不同需求，可將數據中心網絡劃分為不同的區域：互聯網域、接入域、服務域、管理域、計算域等，各安全域之間經過防火墻隔離，確保相應的訪問控制策略。

互聯網域包括實施自助管理的管理用戶和訪問應用的最終用戶。接入域為用戶接入數據中心提供統一的界面和借口，又稱為非軍事化隔離區(DMZ)。服務域提供域名解析、身份認證授權、IP地址轉換等網絡服務功能。計算域提供計算服務，可以根據安全需求再劃分安全子域。管理域提供安全管理、運營管理、業務管理等。

相對來說，計算域和管理域的安全級別最高，服務域和接入域次之，用戶域最低。

1.3 分級

服務器資源是數據中心的核心，按服務器服務功能將其分為可管理的層次，打破將所有功能都駐留在單一服務器時帶來的安全隱患，增強了擴展性和可用性。

Web服務器層直接與接入設備相連，提供面向客戶的應用，如IIS、Apache服務器等等。

應用層用來粘合面向用戶的應用程序、后端的數據庫服務器或存儲服務器，如WebLogic、J2EE等中間件技術。

數據庫層包含了所有的數據庫、存儲和被不同應用程序共享的原始數據，如MS SQL Server、Oracle 9i、IBM DB2等。

在以上3種的分層分區域的設計下，不同網絡區域之間的安全關系明確，可對每個區域進行安全實施，而對其他區域不會干擾；最大限度地隔離故障區域，加快故障收斂時間，提高可用性；可根據不同的區域和層次的功能分別建設，業務部署靈活；網絡結構清晰，易管理。

2 互聯網數據中心安全威脅

侵入攻擊、拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)、蠕蟲病毒是互聯網數據中心面臨的最主要的3類安全威脅。

數據中心網絡安全防護部件眾多，各網絡層次上不同的安全設備相互合作，形成整個安全防護體系。對數據中心網絡基礎設備的非法侵入和危害使侵入攻擊具有強大的破壞能力和隱蔽性，對某一個網絡設備的侵入可能影響到整個數據中心安全防衛體系。

在DoS和DDoS中，攻擊者通過惡意搶占網絡資源，使數據中心無法正常運營。此類攻擊是互聯網數據中心最常預見的攻擊，同時也需要防范利用數據中心內部僵尸主機對互聯網上其他主機進行攻擊。

利用軟件系統設計的漏洞對應用的攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，攻擊者獲取存在漏洞的主機的控制權后對病毒進行復制和轉播，在已感染的主機中設置后門或者執行惡意代碼，導致用戶帶寬資源被占用，或者數據中心增值業務受到威脅。因其傳播都基于現有的業務端口，傳統的防火墻對此類攻擊缺乏足夠的檢測能力。更為嚴峻的是數據中心抵抗飛速增長的應用的“零日攻擊”問題。

3 互聯網數據中心安全

防護措施

為保障互聯網數據中心的安全，抵御各種威脅和攻擊，需要聯合使用安全體系中各個層次的安全技術，形成一個完善的安全防預體系。

3.1 虛擬專用網

為了在不安全的互聯網中實現企業應用的安全訪問和數據的安全傳輸，虛擬專用網(VPN)技術無疑是互聯網數據中心必不可少的安全技術。VPN通過互聯網建立一個臨時的、安全的連接，形成一個穿越公網的安全穩定的虛擬私有廣域網。網絡的VPN應用有兩種：除了提供防火墻到防火墻的VPN應用，支持應用在企業分支機構之間互通信息外，還提供移動用戶到VPN防火墻/網關設備的VPN應用，支持移動辦公的IP地址不固定的企業員工從互聯網上對企業內部資源的訪問。隨著互聯網數據中心業務的不斷擴大，還需要保障在有限的網絡帶寬下實現VPN，并提供業務質量(QoS)保證。目前的趨勢是采用網絡控制和應用控制，即VPN和身份和訪問管理(IAM)技術結合，提供更靈活的訪問控制和安全隔離服務。

3.2 虛擬局域網

數據中心多業務運營的需求，使得數據中心網絡中服務器和客戶端之間的縱向流量大于服務器之間的橫向流量，需要使用虛擬局域網(VLAN)將不同客戶的不同業務從第二層隔離開，分配一個VLAN和IP子網。專用VLAN可以有不同安全級別的端口：專用端口與服務器連接，只能與混雜端口通信；混雜端口與路由器或交換機接口相連，也可以和共有端口通信；共有端口之間也可以相互通信，主要用于需要相互通信的客戶之間。

3.3 防火墻

防火墻是數據中心網絡最基本的安全設備，可以對不同的信任級別的安全區域進行隔離，保護數據中心邊界安全，同時提供靈活的部署和擴展能力。DoS攻擊和DDoS攻擊的手段繁多、攻擊時流量突然增大，因此防DoS攻擊對防火墻的功能要求和性能要求比較大。目前互聯網數據中心對防火墻的重點需求是基于狀態的包檢測功能和虛擬防火墻。狀態防火墻設備將狀態檢測技術應用在ACL技術上，動態的決定哪些數據包可以通過防火墻，而基于流的狀態檢測技術可以提供更高的轉發性能。在物理防火墻無法滿足實際網絡環境的情況下，可以實施虛擬防火墻，將物理防火墻邏輯劃分出多個相互無干擾的虛擬防火墻，并依據業務需求設置合理的細粒度的訪問控制措施。另外，具有QoS機制的防火墻能夠提供流量控制功能，針對不同的應用做出合理的帶寬分配和流量控制，防止某個應用如FTP、Telnet在某個的時間內獨占帶寬資源而導致關鍵業務流量丟失和實時性業務流量中斷。

目前大多數據中心實施雙機部署、或者部署異構防火墻，以滿足高可用性的要求。

3.4 流量清洗

為監控、告警、防護對應用服務器發起的DOS/DDOS攻擊，可在互聯網數據中心出口處部署流量清洗設備，監測異常流量，當發現攻擊時，開啟防御，將異常流量牽引出來進行清洗，將正常的流量回注到服務器進行業務處理。

3.5 入侵防御

入侵防御系統檢測蠕蟲、網絡釣魚、后門木馬、間諜軟件等應用層攻擊，可在互聯網數據中心出口和內部各安全區的網絡匯聚層采用旁掛或者與網絡設備融合的部署方式進行部署，主動提供防護，預先對入侵流量進行攔截，配合防火墻和安全網關設備形成從鏈路層到應用層的全面防護。互聯網數據中心的應用流量對入侵防御系統的性能提出了挑戰，需要具備高精度、高效率的入侵檢測引擎和全面及時的攻擊特征庫。

3.6 安全管理

為達到互聯網數據中心的運營要求，除了部署健全的網絡安全基礎設施外，還需建設的系統的、多層次的、可運營的安全管理系統，確保安全策略的集中部署、安全部件的統一管理，安全事件的高度關聯，從安全管理上提升數據中心的整體安全防御能力。

首先應制訂正式、有效、全面的安全管理制度，在安全管理機構與崗位設置上嚴格把關。加強系統安全運維管理，定期進行設備檢查、安全監察、漏洞掃描，并采取及時地安全事件處置措施，還可利用輔助性管理工具，實現安全配置的自動管理。

在安全信息和事件管理方面，應對網絡設備、主機服務器、數據庫、應用系統、云平臺自身管理節點的安全信息與事件進行管理，進行安全日志管理，針對操作日志、運行日志、故障日志等進行管理，提供設備、主機、應用系統、漏洞、網絡流量、主機資產等報告。

在用戶身份認證與訪問管理方面，應按照不同用戶等級，設計相應的數據中心資源訪問用戶的訪問權限。用戶訪問等級權限應區分管理員用戶、普通用戶的不同權限。

在故障管理方面，應進行故障預防管理，通過對高危操作的預防以達到將隱患消除在萌芽狀態的目的。可根據不同高危類別，設定不同級別的高危動作。應進行故障管理，如告警處理、故障處理、應急處理、部件更換等方面。

4 結束語

由于互聯網數據中心設備的集中、數據的集中、應用的集中以及通過互聯網的訪問模式的特點，為提供企業級的優質的業務服務能力，互聯網數據中心安全成為其建設和運營最需要關注的問題，需要在安全設備部署和安全管理兩方面共同配合，搭建一個立體無縫的安全平臺，形成全方位一體化的安全防御系統。同時，互聯網數據中心的網絡安全的建設是一個不斷發展更新的過程，需要及時的調整已有的安全策略，設計新的網絡安全方案、技術和服務，進行更全面和完善的網絡安全規劃和建設。

5 參考文獻

[1] HARE C, SIYAN K. Internet firewalls and network security [M]. 2nd Edition. Indianapolis, IA, USA: New Riders Publishing, 1996.

[2] GREENBERG A, LAHIRI P, MALTZ D, et al. Towards a next generation data center architecture: Scalability and commoditization [C]//Proceedings of the ACM Workshop on Programmable Routers for Extensible Services of Tomorrow(PRESTO08), Aug 17-22,2008, Seattle, WA,USA. New York, NY,USA: ACM, 2008:57-62.

[3] Government data center network reference architecture.Sunnyvale [R]. Sunnyvale, CA,USA: Juniper Networks Inc, 2010.

[4] 房秉毅, 張云勇, 陳清金, 等. 云計算網絡虛擬化技術 [J]. 信息通信技術, 2011,9(1):50-53.

[5] 華三通信技術有限公司. 新一代網絡建設理論與實踐 [M]. 北京: 電子工業出版社, 2011.

[6] 中國電信網絡安全實驗室. 云計算安全技術與應用 [M]. 北京: 電子工業出版社, 2012.

[7] 劉佳, 杜雪濤, 朱文濤, 等. 互聯網數據中心安全解決方案 [J]. 電信工程技術與標準化, 2010 (2):25-29.

[8] 黃達文. 防火墻集中式管控在數據中心內的應用 [J]. 計算機安全, 2010(10):70-72.

收稿日期：2012-05-07

作者簡介

汪芳，中國科學院軟件研究所博士畢業；中國聯通研究院工程師；主要從事云計算安全、數據中心網絡安全的研究。

陳清金，北京郵電大學博士畢業；中國聯通研究院高級工程師；主要從事云計算、分布式計算的研究。

房秉毅，北京理工大學博士畢業，中國聯通研究院高級工程師；主要從事云計算、核心網新技術的研究。