“云”中的數據中心安全防護

文/薛峰 張慶福 張劍

隨著云計算技術在數據中心建設的應用，數據存儲在哪里？誰可以訪問？數據安全嗎？作者從云計算環境下的數據中心安全風險分析著手，提出了四點安全建設思路，并根據云計算數據中心防護新需求，提出了一個可參考的安全防護部署基本模式。

伴隨云計算服務應用的快速推廣，人們曾樂觀的認為，今后計算機無須大容量硬盤。因為所有的應用和個人數據都將被存儲在遠程服務器中，用戶只要很少的投入就可以得到按需分配的存儲資源。但是，隨著亞馬遜、Google和微軟等云計算服務安全事件的發生，加深了人們對云計算安全的擔憂。那么，構筑以云計算技術為核心的新一代數據中心，在大量計算資源以動態、按需的服務方式供應和部署的同時，如何進行安全防護，使得存儲的海量數據和個人信息得以安全控制，是網絡建設者值得去思考和研究的。

風險分析

從“云計算”的概念提出以來，關于其數據安全性的質疑就一直不曾平息。這里的安全性主要包括兩個方面：一是用戶的信息不會被泄露，避免造成不必要的損失；二是在需要的時候能夠保證用戶準確無誤地獲取這些信息。總結起來，建立在云計算環境下的數據中心安全風險存在于三個方面。

1. 數據傳輸安全風險

通常，數據中心保存有大量的重要數據，這些數據往往是核心和私密的，如用戶、財務和關鍵業務等信息。在云計算環境下，將數據通過網絡傳遞到云計算服務進行處理時，面臨著幾個方面的問題：一是如何確保數據在網絡傳遞過程中嚴格加密不被竊取；二是如何保證數據不被泄露出去；三是如何保證用戶經過嚴格的權限認證且合法訪問數據，并保證任何時候都能安全訪問自身數據。

2. 數據存儲安全風險

數據中心的數據存儲是非常重要的環節，包括數據的存儲位置、相互隔離和災難恢復等。在云計算環境下，云計算服務提供者在高度整合的大容量存儲空間上，開辟出一部分存儲空間提供給用戶使用，但用戶并不清楚自己的數據被放置在哪臺服務器上，甚至根本不了解這臺服務器放置的位置，云計算服務提供者在存儲資源所在位置是否會存在信息安全等問題，能否確保用戶數據不被泄露。同時，在這種數據存儲資源共享的環境下，即使采用加密方式，云計算服務提供者是否能保證數據之間的有效隔離。另外，即使用戶了解數據存放服務器的準確位置，也必須要求云計算服務提供者作出承諾，對所托管數據進行備份，以防止出現重大事故時數據無法得到恢復。

3. 數據審計安全風險

用戶進行數據管理時，為了保證數據的準確性，往往會引入第三方的認證機構進行審計或認證。但在云計算環境下，云計算提供者如何確保不給其用戶數據計算帶來風險的同時，又能提供必要的信息支持，以便協助第三方機構對數據的產生進行安全性和準確性審計，實現用戶的合規性要求。另外，用戶在對云計算服務提供者的可持續性發展進行認證的過程中，如何確保云計算服務提供者既能提供有效的數據，又不損害其他已有用戶的利益，使得本身能夠選擇一家可以長期存在的、有技術實力的云計算服務商進行業務交付，也是安全方面的潛在風險。

防護思路

現實中的云計算服務具有不同的安全風險特征與安全控制職責和范圍。因此，需要從安全控制的角度建立云計算的參考模型，描述不同屬性組合的云服務架構,并實現云服務架構到安全架構之間的映射,為風險識別、安全控制和決策提供依據。云計算環境下的數據中心安全防護必須針對不同的云安全模式，考慮具體解決方案，但應該遵循以下四個方面的建設思路。

圖1 以虛擬化為基數支撐的安全防護體系

1. 應該建設高性能，高可靠的網絡安全一體化防護體系

為應對云計算環境下的流量模型變化，新一代數據中心安全防護部署需要朝著高性能的方向調整。在云計算技術應用的數據中心建設過程中，多條高速鏈路匯聚成的大流量已經比較普遍，在這種情況下，安全設備必然要具備對高密度的10GE，甚至100GE接口的處理能力。無論是獨立的機架式安全設備，還是配合數據中心高端交換機的各種安全業務引擎，都可以根據用戶的云規模和建設思路進行合理配置。同時，考慮到云計算環境的業務永續性，設備的部署必須考慮到高可靠的支持。如雙機熱備、配置同步、電源風扇的冗余、鏈路捆綁聚合和硬件BYPASS等特性，真正實現大流量匯聚情況下的基礎安全防護。

2. 應該建設以虛擬化為技術支撐的安全防護體系

目前，虛擬化已經成為云計算服務的關鍵技術手段，包括基礎網絡架構、存儲資源、計算資源及應用資源都已經在支持虛擬化方面向前邁進了一大步。只有基于這種虛擬化技術，才可能根據不同用戶的需求，提供個性化的存儲計算及應用資源的合理分配，并利用虛擬化實例間的邏輯隔離，實現不同用戶之間的數據安全。安全無論是作為基礎的網絡架構，還是基于安全即服務的理念，都需要支持虛擬化，這樣才能實現端到端的虛擬化計算。典型的如圖1所示。

從網絡基礎架構的角度（如狀態防火墻的安全隔離和訪問控制）看，需要考慮支持虛擬化的防火墻，不同用戶可以基于VLAN AN等映射到不同的虛擬化實例中，每個虛擬化實例具備獨立的安全控制策略及獨立的管理職能。從安全服務的角度，云計算服務提供者聯合內容安全提供者，提供類似防病毒和反垃圾郵件等服務，同時也必須考慮配合VMware等中間件實現操作系統層面的虛擬化實例。同一服務器運行多個相互獨立的操作系統及應用軟件，每個用戶的保密數據在運行防病毒和反垃圾郵件檢查的時候，數據不被其他虛擬化系統引擎所訪問，只有這樣才能保證用戶數據的安全。

3. 應該以集中的安全服務中心應對無邊界的安全防護

和傳統的數據中心安全防護建設強調邊界防護不同，存儲計算等資源的高度整合，使得不同的用戶在申請云計算服務時，只能實現基于邏輯的劃分隔離，不在物理上的安全邊界。在這種情況下，已經不可能基于每個或每個類型用戶進行流量的匯聚并部署獨立的安全系統。因此安全服務部署應該從原來的基于各子系統的安全防護，轉移到基于整個云計算網絡的安全防護，建設集中的安全服務中心，以適應這種邏輯隔離的物理模型。如圖2集中云安全服務中心部署示意圖所示，云管理員可以將需要進行安全服務的用戶流量，通過合理的技術手段引入安全服務中心，完成安全服務后再返回到原有的轉發路徑。這種集中的安全服務中心，既可以實現用戶安全服務的單獨配置提供，又能有效地節約建設投資，考慮在一定收斂比的基礎上提供安全服務能力。

4. 應該充分利用云安全模式加強云端和客戶端的關聯耦合

在安全建設中，充分利用云端的超強計算能力實現云模式的安全檢測和防護，是后續的一個重要方向。與傳統的安全防護模型相比，新的云安全模型除了要求掛在云端的海量本地用戶端具備基礎的威脅檢測和防護功能外，更強調其對未知安全威脅或可疑安全威脅的傳感檢測能力。任何一個用戶端對于本地不能識別的可疑流量都要第一時間送到后臺的云檢測中心。利用云端的檢測計算能力快速定位解析安全威脅，并將安全威脅的協議特征推送到全部用戶端或安全網關，從而使得整個云中的客戶端和安全網關都具備對這種未知威脅的檢測能力，用戶端和云端的耦合進一步得到加強。基于該模式建立的安全防護體系將真正實現PDRP（防護Protection，檢測Dtection，響應Reaction，還原Restore）的安全閉環，這也是云檢測模式的精髓所在。

防護部署基本模式

1. 防護需求

云計算環境下的數據中心，其最大需求是實現計算、存儲等IT資源靈活調度，讓資源得到最充分利用。而實現這一需求的基礎，是以數據中心的虛擬機作為主要的計算資源為客戶提供服務。在這種模式下，數據中心安全防護部署建設必須滿足三個防護新需求：

圖2 集中的云安全服務中心部署示意圖

圖3 云計算環境下數據中心的業務部署模型

第一是高性能的需求。較傳統方式而言，云計算環境下從外部到內部的縱向流量加大，內部虛擬機之間的橫向流量加大，整個云計算數據中心必須具有高的吞吐能力和處理能力，在數據轉發和控制的各個節點上不能存在阻塞。同時具備突發流量的承受能力。因此，安全設備接入數據中心，必須以萬兆級接入、萬兆級性能處理為基礎，并且要具備根據業務需求靈活擴展的能力。同時，考慮云計算環境下的網絡流量無序突發沖擊性較大，安全設備必須具備突發流量時的處理能力。

第二是虛擬化要求。虛擬化是云計算數據中心發展的重要趨勢，對應的云計算數據中心的防火墻、負載均衡等安全控制設備也必須支持虛擬化能力，像計算和存儲、網絡一樣能按需提供服務。

第三是VM之間安全防護要求。虛擬機環境下，同臺物理服務器虛擬成多臺VM以后，VM之間的流量交換基于服務器內部的虛擬交換，對于該部分流量既不可控也不可見。但實際上根據需要，可將不同的VM劃分到不同的安全域進行隔離和訪問控制。可通過EVB協議(如VEPA協議)將虛擬機內部不同VM之間的網絡流量全部交由與服務器相連的物理交換機進行處理。

云計算環境下數據中心安全防護部署，僅僅是云基礎架構中基本的建設環節，要保證云計算中心的安全，還要考慮數據加密、備份，信息的認證授權訪問，以及法律、法規合規性要求。只有全面地進行規劃，才能建立全面、完善的云數據中心安全綜合防御體系。

2. 基本模式

傳統安全防護很重要的一個原則就是基于邊界的安全隔離和訪問控制，并且強調針對不同的安全區域設置有差異化的安全防護策略，這在很大程度上依賴各區域之間明顯清晰的區域邊界。較傳統數據中心而言，云計算環境下數據中心安全防護建設無明顯差別，同樣需要分區標準化、模塊化部署。業務部署基本模式如圖3所示。

在這種模式下，云計算環境下數據中心安防設備一般采用旁掛核心或者匯聚交換機的部署方式。通過虛擬化實現核心、匯聚、安防設備和業務云分區、分級防護，充分利用交換機和防火墻上的功能，通過虛擬防護墻、云計算數據中心內服務器/虛擬機的網關等設置，實現虛擬設備的管理權限，最終滿足業務分級防護和用戶訪問需求防護。同時，通過將安全服務引入集中云安全服務中心，進而全方位避免數據中心傳輸、存儲和審計的安全風險存在。

另外，從數據中心的網絡安全和業務訪問應用的角度分析，實際部署時可將業務分為高級別、中級別和低級別，然后將服務器的網關設在不同的設備上。從業務訪問的模式來看，可分為縱向訪問和橫向訪問，其中縱向訪問是指同一種應用在不同區的訪問（如同一種低級別應用的Web-AP-DB訪問），橫向訪問是指同一級別中不同應用之間的訪問（如低級別1訪問低級別2）。一般，不同級別之間不允許訪問。具體做法如下：

低級別應用服務器：網關設置在匯聚交換機上，縱向和橫向訪問通過交換機ACL來控制；

中級別應用服務器：網關設置在匯聚交換機上，縱向訪問通過防火墻控制，橫向訪問通過交換機ACL控制；

高級別應用服務器：網關設置在匯聚交換機上，縱向和橫向訪問均需要通過防火墻控制。

盡管基于云計算環境下數據中心安全建設思路和模式還需要繼續實踐和探索，但是將安全內嵌到云計算環境下數據中心的虛擬基礎網絡架構中，并通過安全服務的方式進行交互，不僅可以增強云計算中心的安全防護能力和安全服務的可視化，還可以根據風險預警進行實時的策略控制，這將使得云計算環境下的數據中心的服務更加安全可靠。