云環境下數據中心網絡安全部署

劉曉軍

（大慶油田信息技術公司 規劃設計所，黑龍江 大慶 163453）

云環境下數據中心網絡安全部署

劉曉軍

（大慶油田信息技術公司 規劃設計所，黑龍江 大慶 163453）

云環境之下的網絡安全，呈現出與既往環境不同的新型特征，橫縱向數據流量的陡然增加，成為該種體系之下的新型挑戰。文章首先就云環境下數據中心安全需求相關特征展開了必要的分析，而后進一步對安全部署體系之下的幾種主要技術加以討論。

云；安全；數據；網絡

1　云環境下數據中心安全需求分析

網絡環境的發展，在云概念出現之后呈現出了諸多新型特征。傳統的數據中心安全部署通常遵從分區分層的總體概念，這種思路在網絡相對有限的情況之下能夠很好地發揮作用，并且層級工作方式能夠實現面向信息的逐級過濾。

所謂分區規劃，就是面向不同的網絡細分來實現安全保護。不同的網絡細分會在其自身安全價值和受攻擊程度傾向水平上表現出差異，因此可以依據不同的策略來對整個網絡進行區分，并且展開對應的網絡安全部署。常見的網絡分區依據有業務需求、數據流、應用以及邏輯功能、安全需求水平或數據敏感程度等幾個方面。通常來說，數據中心網絡在安全思想的指導之下分為核心區、外聯業務區、Internet區、測試區、運營管理區、集成區、存儲區以及容災備份區幾個方面，不同的分區承擔不同職責，共同實現整個網絡環境中的安全部署體系。而對于分層部署而言，則是在實現有效有序分區的基礎之上，依據安全防護部署需求在不同的區域邊界處，依據實際情況展開對應的安全部署，包括防DDoS攻擊、流量分析與控制，異構多重防火墻、VPN、入侵防御以及負載均衡等。

但是在云計算環境之下，雖然其基礎數據中心與傳統環境并不存在太大差別，但是如何在云網絡環境下實現資源的有效配給和利用，意味著數據中心虛擬機必然會成為主要提供服務的計算資源，相應的數據中心建設也呈現出新的特征。首先是性能方面，云網絡流量模型呈現出從外部到內部的縱向流量增加，以及云環境內部虛擬機之間的橫向流量增加兩個層面特征，進一步在存儲能力和數據處理分析能力兩個方面的需求得到提升。而當數據吞吐量增加的時候，尤其是橫縱向兩個方面的流量增加，直接導致了數據的傳輸總量呈現出指數級增長，而傳統環境中的分區分層的數據安全部署，在這樣的數據總量的背景之下必然會局限于整體的安全運算能力，從而無法有效展開安全保護。

2　云環境下的安全部署核心技術

在云環境下，大數據以及資源共享是其最為顯著的特征，因此侵入供給、拒絕服務攻擊DoS以及分布式拒絕服務攻擊DDoS，蠕蟲病毒成為最為典型的安全問題。這幾個方面的安全問題，主要攻擊點在于廣泛傳播，或者對網絡資源的非法占用，通過這兩種方式，來阻礙網絡環境中的安全設備正常工作。

為了保障云環境中的數據中心安全，抵制來自于多個方面的攻擊，相應的安全技術也在不斷研發并且層出不窮。不同的安全技術之間相互配合形成一個統一有效的整體，共同構建起完整的安全防御體系。在這個體系之中，有如下幾個方面的核心技術，對于云環境下的數據中心安全意義重大。

2.1虛擬網絡

對虛擬網絡這一方面，主要得到應用的技術包括虛擬專用網（Virtual Private Network，VPN）以及虛擬局域網（Virtual Local Area Network，VLAN）。其中前者通過相關的協議，在公共數據網環境中建立起一個安全穩定的虛擬邏輯網絡。VPN在網絡環境中的應用，首先能夠提供防火墻到防火墻的應用，實現地處不同位置的同一個組織之間的安全通信；此外還能夠提供移動用戶與VPN防火墻之間的連通，支持企業環境中移動用戶的訪問。當前該領域的主要發展趨勢在于引入網絡控制與應用控制，通過VPN與身份控制以及訪問控制技術的有機結合，為網絡用戶提供有效的安全隔離。而對于后者而言，主要是考慮到當前數據中心中多業務運營的需求，會造成服務器與用戶之間的縱向數據流向比重增加，因此該項技術能夠將不同客戶的不同業務從第二層隔離開，分配一個VLAN和IP子網，并且不同的VLAN具有不同的安全級別端口，有利于展開更具有針對性的安全保護部署。

2.2防火墻

防火墻是網絡環境中安全部署的基礎環節，用于實現數據中心網絡邊界的安全，同時能夠提供良好的擴展能力。當前網絡環境中的Dos以及DDos攻擊手段繁多，因此對應的防火墻的建設也不容忽視。常見的防火墻技術有基于狀態以及基于流的兩類，前者將狀態檢測技術應用在ACL技術之上，用以來對通過防火墻的數據包進行動態的分析和判斷；而后者則基于流分析，來提供更好的轉發性能，同時發現網絡環境中的異常數據傳輸狀況。

2.3入侵檢測

在實際的應用過程中，入侵檢測常常會與流量分析和清洗一同配合展開。入侵檢測是一種相對主動的安全技術，能夠面向蠕蟲、網絡釣魚、后門木馬、間諜軟件等應用層攻擊展開檢測，目前多用于網絡節點上以及網絡內部環境，可以通過在數據中心出口以及內部安全區的網絡匯聚層采用旁掛或與網絡設備融合進行部署。在當前云環境之下，入侵檢測能提供較好的針對性特征，從而對優化網絡環境下的安全運算能力有著重要意義。

3　結 語

云環境之下的數據中心網絡安全部署，應當是一個綜合化的有機整體，其中包括諸多組件協同工作。在該領域之下，除了需要密切關注相關技術的發展以外，還應當加強管理，密切關注包括用戶授權以及數據生命周期識別等在內的安全思想，切實打造高效穩定的安全網絡，支撐起組織的未來。

主要參考文獻

［1］戚麗，蔣東興，武海平，等.校園數據中心建設與管理方法的探索［J］.中國教育信息化，2002（z1）.

［2］WW Lin. Survey of Resource Scheduling in Cloud Computing［J］. Computer Science，2012（10）.

10.3969/j.issn.1673 - 0194.2016.20.110

TP393.08

A

1673-0194（2016）20-0162-01

2016-09-20