運營商云數據中心網絡安全技術研究綜述

張旭輝

【摘要】 隨著云計算和虛擬化技術快速發展，云數據中心面臨更高的安全挑戰。本文首先分析云數據中心內部網絡和外部網絡面臨的網絡安全問題，然后提出了云數據中心網絡安全體系架構，并給出了云數據中心外部網絡安全防護的具體辦法和內部網絡安全與隔離技術。為后續云數據中心網絡安全服務體系建設提供參考。

【關鍵詞】 云計算 虛擬化 云數據中心 隔離

一、引言

數據中心的本質是為了傳遞、處理和存儲信息，所以數據中心必須可靠、安全并能夠根據需要擴容和重新配置。隨著云計算技術的產生及應用，云數據中心已經成為企業信息化的核心，云數據中心將計算和存儲資源從底層基礎設施中抽象出來，極大增強了資源的共享性和靈活性。但同時云數據中心下的網絡安全問題變得更加突出，除了傳統的主機安全、網絡安全外，虛擬化技術引入對網絡安全建設帶來了更高的挑戰。

網絡是云數據中心的基礎，云數據中心面臨的網絡安全威脅包括針對VM（虛擬主機）和Hypervisor的攻擊、侵入攻擊、拒絕服務攻擊、DDoS攻擊（分布式拒絕服務攻擊）、蠕蟲、病毒等。本文分別從網絡安全架構和安全設備部署方面介紹云數據中心的網絡安全技術。

二、云數據中心網絡安全挑戰

云數據中心與傳統數據中心最主要的區別就是通過虛擬化技術建立統一的資源池，提高資源使用率、簡化資源配置和管理、發揮云計算的靈活性和彈性。目前云數據中心面臨的安全問題包括：

出口流量安全：云數據中心出口面臨各種侵入攻擊、DoS、DDoS、worm、botnet等攻擊，主要防止網外人員對云數據中心進行攻擊。

內部流量安全：虛擬機作為云數據中心的最小網元、傳統的安全設備如防火墻、IPS/IDS等無法監控到虛擬機之間的流量，針對VM（虛擬主機）和Hypervisor的攻擊每天都在發生。

高性能要求：較傳統網絡，云數據中心的出口流量和內部虛擬機之間的流量加大，安全防護系統不能成為性能瓶頸。同時云計算數據中心是彈性擴容的，安全系統也要支持靈活擴展。

三、云數據中心網絡安全體系架構

基于云數據中心安全現狀分析，云數據中心安全防護需要統籌考慮網路出口、虛擬化層等，從內到外進行全力位考慮，同時考慮采用高性能、高擴展性的安全設備。云數據中心網絡安全體系架構圖如圖l。

云數據中心出口核心設備側掛防火墻、負載均衡、IPS/IDS、防病毒網關、DDoS流量清洗設備、WEB應用防護等安全設備。同時要保障用戶訪問數據中心過程中的傳輸通道安全，防止信息在傳輸過程中被截取。

對于虛擬化層內部安全問題，現在較為成熟的方法是通過虛擬防火墻隔離技術進行內部數據隔離。通過在虛擬化層部署虛擬防火墻、虛擬負載均衡軟件、IPS/IDS深度包檢測軟件、防病毒軟件等進行安全防護。

運維層面部署虛擬堡壘主機對運維操作進行安全審計和管理。

四、云數據中心外部網絡安全防護方法

云數據中心外部網絡安全防護主要是云數據中心出口核心交換機上側掛安全防護設備，對云數據中心內部數據進行安全防護。

防火墻：通過部署單獨的防火墻設備，可以實現邊界安全，包括過濾外界流量、擴展協議支持以及VPN訪問等功能。通過防火墻可以劃分Trust、Untrust、DMZ和Local四個安全區域，在云數據中心出口核心交換機部署防火墻進行網絡層防御，保證業務平臺免受外部網絡攻擊。

DDoS流量清洗設備：在云數據中心出口核心交換機側掛DDoS設備，對大流量DDoS攻擊進行清洗。DDoS設備由流量檢測和流量清洗兩部分組成，通過在云數據中心出口鏈路部署流量檢測系統，檢測系統檢測到流量攻擊后上報流量清洗系統，由流量清洗系統對攻擊流量進行清洗。

IPS/IDS：在云數據中心出口核心交換機側掛IPS/IDS設備，阻止蠕蟲、病毒、木馬、DoS攻擊、間諜軟件、VOIP攻擊以及點到點應用濫用。

ISP信息安全管理系統：根據工信部要求，運營商云數據中心必須具備信息安全管理系統，在云數據中心出口鏈路部署ISP信息安全監控系統，如浩瀚科技的ISP信息安全監控系統，可以有效保護云數據中心的信息安全。

五、云數據中心內部網絡安全與隔離

云數據中心內部，不同業務之間的網絡必須是相互隔離的。與傳統的安全防護不同，云數據中心在虛擬化環境下，物流服務器被虛成多個虛擬機，虛擬機之間發流量交換基于服務器內部的虛擬交換，該部分流量不可控。不同的虛擬機之間需要劃分到不同的安全域，進行隔離和訪問控制。

對于云數據中心內部網絡的安全和隔離有內部流量引出技術和隔離技術兩種辦法。

5.1 內部流量引出技術

流量外部化技術是對云數據中心內部虛擬機之間的流量通過相應技術引出，對引出的流量進行安全控制。可通過EVB協議（如VEPA協議）將虛擬機內部不同虛擬機之間的網絡流量全部交由與服務器相連的交換機處理，交由外部安全控制模塊進行安全控制。該方法較為簡單，但是將虛擬機內部流量引出會增加額外流量，造成端口浪費。

5.2 隔離技術

目前運營商云數據中心網絡安全模型引入了垂直分層、水平分區的概念。垂直分層是在同一套業務系統內部分為核心層、應用層、隔離層、接入層，各層之間應部署安全控制機制。水平分區是不同業務系統之間的應用隔離機制，避免業務系統相互影響。

隔離技術主要是實現各層之間防護，不同業務系統之間隔離。使用虛擬防火墻技術可以實現云數據中心內部數據分層隔離。

虛擬防火墻技術是指軟件定義的防火墻，對虛擬機之間的流量進行安全訪問控制。通過虛擬防火墻技術主要實現內部安全，包括內部網絡VIAN數據隔離、過濾和基于VLAN的策略執行。如V shield APP是VMware安全套件中的虛擬防火墻，通過部署VMware V shield APP可以實現虛機之間的隔離和訪問控制。V shield end是VMware安全套件中的虛擬機內部安全模塊，通過部署V shield end可以實現虛擬機內部的安全防護。虛擬防火墻的優勢是可以在虛擬主機環境下訪問控制，通過虛擬機上運行軟件防火墻，不會改變VLAN和拓撲的訪問控制，提高網絡的可靠性。在虛擬機下部署虛擬防火墻使數據中心內部安全防護變的相對簡單。而且使用該方法，虛擬機之間的流量管控和安全控制在內部完成，不會增加額外流量，消耗的系統資源少。

六、結束語

云計算時代的到來，云數據中心的網絡和信息安全面臨更大的挑戰，網絡犯罪不再去攻擊用戶的電腦，而是直接攻擊云數據中心。本文提出了云數據中心內部和外部網絡安全隔離的方法。除了在云數據中心進行基礎的網絡安全部署，還需要考慮數據加密、備份、認證授權等技術手段以及政策上的立法和監管。無論是政府還是云服務運營商，只有通過不斷提升網絡安全意識和技術，才能實現云數據中心網絡安全防護的目標。