云計算數據中心網絡安全的實現原理探析

肖小兵

摘 要：隨著時代的進步和計算機技術的飛速發展，網絡信息技術應用范圍越來越廣。在給人們的生活和工作帶來極大便利的同時，也出現了一些安全隱患，這樣就需要重視網絡安全。本文主要分析了云計算數據中心網絡安全的實現原理，希望可以提供一些有價值的參考意見。

關鍵詞：云計算數據中心；網絡安全；實現原理

1 基本概念

云計算：云計算融合了一系列傳統計算機技術和網絡技術，比如網格計算、并行計算、網絡存儲、效用計算、虛擬、負載均衡、分布式計算等等。它主要是利用網絡的功能有效的整合這些有著較低成本的計算實體，從而形成一個計算能力超強的系統，然后利用一些先進的商業模式，比如SaaS、PaaS、IaaS、MSP等等，讓所有的終端用戶都能夠擁有這些強大的計算能力。

云服務：云服務指的是云服務提供商利用自己的基礎設置直接將服務提供給外部用戶。在通常情況下，可以將提供的服務分為兩種，一種是向用戶租用自己的設備，給用戶提供的機房和局域網絡都是相對獨立的；另一種是在自己的服務器集群上部署一些軟件或者應用，然后通過因特網的方式，讓用戶對其進行訪問。

VLAN：VLAN是英文Virtuai Local Area Network的簡稱，我們將其翻譯為虛擬局域網。VLAN指的是從邏輯上來劃分局域網設備，使其成為單個的網段，這樣虛擬工作組就可以有效的交換新興數據。目前，主要是在交換機和路由器中應用這一新興技術，但是交換機的應用范圍更廣一些。需要注意的是，有些交換機是不具備這項功能的，具有這項功能的交換機都是擁有VLAN協議的第三層以上的，我們要想對其了解，只需要查看交換機的說明書就好。

VSX：VSX是英文Virtual System Extension的簡稱，它主要是一種網絡安全和VPN的解決方案，是在有著比較大規模的場景下保證網絡的安全。VSX提供保護的對象主要是多重網絡或者混合的基礎架構中的VLAN。VSX技術主要是安全的連接他們，然后對互聯網和DMZ分區共享資源，并且互相連接的它們也可以有效的進行信息交互。

2 網絡實現原理

傳統數據中心的網絡拓撲：我們都知道，在傳統的網絡環境中，數據中心分配給用戶的網絡都是單獨存在的，也就是每人一個，每一個網絡自然需要單獨的設備和技術，比如防火墻、交換機、網絡安全設備等。在一個單獨的物理網絡中，部署同一個用戶的所有服務器，從而實現安全隔離數據的目的。

云服務數據中心的網絡拓撲：新的數據中心架構將傳統的VPN和網絡安全設備替換成了VSX Gateway，并且將VLAN啟用在核心交換機和二級交換機中，利用Trunk來有效地連接二級交換機和核心交換機。

VSX系統的通信流：主要可以通過這些步驟來執行VSX系統網關，一是ContextID的定義，每一個Virtual System都可以對一個ContextID進行定義，從而將其作為唯一的標識符。二是實施安全策略，每一個虛擬系統的功能都可以作為一個獨立的安全網關，在對整個網絡進行保護的時候，主要利用的是獨特的安全政策。可以指定虛擬系統允許或者組織所有交通等，并且自己獨立的安全政策里都包含著基本規則。三是轉發到目的地，每臺虛擬系統為了能夠達到目的地，就有著自己獨特的結構處理和轉發通信原則，并且，這個配置規則還包括了其他很多方面的內容，比如VPN、定義NAT以及其他的高級特性。

VSX系統有著很多的組成部分，比如Virtual Switch、Virtual Firewall和Virtual Route的虛擬設備。數據中心中的每一個VLAN在與外網進行通信時，利用的都是獨立的Virtual Firewall。

3 安全分析

和傳統的網絡結構進行比較：在傳統的數據中心網絡結構中，每一臺服務器的網絡是由機柜的物理位置所決定的。舉個例子來說，用戶要想建立自己的企業局域網，就需要訂購服務器，訂單中包括了很多的信息，比如試用日期、結束日期、服務器的型號、服務器的配置等等，傳統的數據中心工作人員依據訂單上的內容，在一個特定的機房和機柜中，放置這種型號的服務器，然后向用戶進行網絡安全設備的組裝，用戶要想正常使用，必須要等到完成了配置網絡和安全策略之后。工作人員在進行這些工作時，需要耗費大量的時間，這是因為需要去機房中移動設備；當然，也可以不移動設備，但是可能會出現三種問題，一是因為服務器所在的機房和機柜是不同的，這樣接入的網絡也可能存在著不同，這樣就會影響到互相的正常訪問；二是如果在同一個機房或者機柜中，接入的設備是不同的用戶，那么可能網絡是相同的，并且相互訪問也不會出現問題，但是，容易造成一些安全隱患；三是防火墻如果沒有獨立出各個用戶，那么正常的規則就容易遭到破壞，給維護增加了難度，并且，用戶也不能直接的使用防火墻的管理權限。

而上文所講的VSX和VLAN構成的網絡結構，設備所處的物理位置是不會影響到用戶使用的服務器，所以，在任何一個機房，任何一個機柜中存放這臺服務器，都不會出現問題，只需要在這個用戶的VLAN中劃分與這臺服務器連接的Switch端口，用戶就可以有效的使用這個機器；如果經過一段時間之后，用戶不想要這臺服務器，只需要在預備的VLAN中劃分與這臺設備連接的Switch端口即可。并且，這些步驟是不需要人工來進行的，云計算中心的自動化部署程序可以自動實時的完成這些工作。

網絡結構的優勢：在數據安全方面，每一個用戶的網絡都是安全的；從商業角度上來看，每一個用戶都需要訂購VLAN和網絡設備，在配置網絡設備的過程中，可以在VLAN中指定需要運行哪一個設備，當然，從用戶的角度上來看，用戶只能在自己訂購的VLAN中劃分自己訂購的網絡設備。每一個VLAN都十分的安全，這是因為它擁有著獨立的Security Gateway，這個網絡安全保障包括了很多個方面的內容，比如日志監控、VPN、入侵檢測流量控制以及ACL和NAT等等。從某個角度上來講，就是將一個獨立的機房分配給了這個用戶，然后在這個機房中放置用戶訂購的設備，從而向用戶提供安全的服務。如果用戶不想接受這些服務，只需要利用自動化部署程序在當前的VLAN中移除它就可以了。

在服務質量方面得到了提高：這種網絡結構具有較好的彈性，它可以依據用戶的需求來對設備進行靈活的增減。有著較快的相應速度，設備的到位只需要幾分鐘即可，并且操作系統、軟件以及應用程序也可以自動化進行部署，在很短的時間內將服務提供給用戶。如果用戶不需要這些服務，只需要進行退訂，然后初始化這些設備，將其放回資源池，就可以等待下一個用戶的使用。

4 云計算數據中心網絡安全防護方法

云計算數據中心內部安全與隔離：要互相隔離云數據中心內部的不同業務之間的網絡，也需要在邏輯上隔離多租戶之間的虛擬網絡；利用云計算技術中的虛擬化方法提供出來的運算平臺雖然比較獨立，但是在同一個網絡中、同一宿主機的多樣化計算任務之間，還存在著數據通道可以互相進行交流。

在設計云計算數據中心網絡時，需要嚴格的遵循三個主要設計原則，分別是靈活簡單、虛擬化以及開放等。

靈活簡單指的是安全設備所具備的能力必須有著較高的性能、部署比較方便以及可以靈活進行操作等特點；開放性指的是安全設備的功能必須要有這些方面，分別是訪問控制、識別用戶和應用、合理授權以及基于身份運維等等；虛擬化指的是安全設備應該具有虛擬訪問層、虛擬網絡可見性以及混合的物理和虛擬操作等等。

從網絡安全模型的角度上來講，垂直分層以及水平分區的概念都被引入到了數據中心網絡安全模型中。垂直分層指的是在一套業務系統中，擁有的服務是屬于不同層次的，比如應用層、接入層以及隔離層等等；安全控制機制需要部署在各個層次之間；水平分區指的是將隔離機制應用在不同的業務系統之間，這樣各個業務系統就是獨立的，不會互相影響。

隔離技術主要是為了安全防護各層，同時，隔離不同的業務系統。目前，防護墻技術依然是數據中心內部安全虛擬化的主要技術；隨著云計算技術的不斷發展，安全虛擬化逐漸的成熟，它指的是安全設備虛擬化。虛擬防火墻可以利用不同的安全策略，來有效的實現相互隔離，每一個防火墻都有著獨立的資源和策略，但是物理資源卻是可以共享的。

訪問云數據中心的安全數據傳輸通道：在這個方面，主要有兩個安全范疇需要考慮，一是未授權的訪客無法獲取用戶存儲的信息；二是授權訪問時是否可以將數據傳輸通道上的信息進行獲取，安全數據通道防護就是為了維護用戶訪問時數據通道上信息是安全的。

通常情況下，可以利用內部和外部兩個部分來實現通道安全防護；內部防護依據的是媒體訪問控制安全系列安全協議，來加密數據通道，加密傳輸通道中的每一跳路由，保證流量信息的安全，在路由設備內部都是明文傳輸信息。通過實踐研究表明，基于安全分組的媒體訪問控制技術可以有效的保證重要敏感流量加密傳輸，避免數據遭到竊取和破壞。在外部數據防護方面，采用的大多是VPN方式，主要的技術有SSL VPN技術、IPSec等等，這些技術都是理想的安全解決方案，可以在移動過程中解決遠程訪問；高速局域網和廣域網中需要的安全解決方案需要擁有比較高的性能、延遲比較低并且管理功能比較簡單等優點。

5 結語

計算機網絡技術發展的趨勢就是云計算，越來越多的傳統硬件設備生產商都注意到了這個問題，并且利用自己的一些優勢逐漸的轉換為云計算的服務商。不管是企業用戶還是私人用戶，在接受云計算、云服務的過程中，難免會擔心它的安全；本文首先概述了它的基本概念，然后分析了云計算數據中心網絡安全的實現原理，最后又探討了云計算數據中心網絡安全防護方法，希望可以提供一些有價值的參考意見。

[參考文獻]

[1]李知杰.云計算數據中心網絡安全的實現原理[J].軟件導刊，2011，2（12）：123-125.

[2]夏雷，鐘青峰.云計算數據中心網絡安全探討[J].2012全國無線及移動通信學術大會論文集，2012，1（1）：87-89.

[3]黃大川.云計算數據中心網絡的關鍵技術[J].郵電設計技術，2011，2（10）：34-37.

[4]劉朝，薛凱，楊樹國.云環境數據庫安全問題探究[J].電腦與電信，2011，2（1）：56-57.

[5]柯亮亮，鄭傳行.淺析現階段云計算發展中的瓶頸問題[J].電腦知識與技術，2009，2（20）：78-80.

[6]宮達偉.云計算技術在中小企業信息化建設中的應用[J].科技咨詢，2012，2（18）：23-27.

[7]續曉燕，叢雪.淺談云計算與物聯網的融合發展[J].電腦知識與技術，2012，2（24）：45-48.