云數據中心安全防護挑戰與解決方案研究

毛正雄

【摘要】 云數據中心實現了網絡的虛擬化，而傳統的安全防護策略大都建立在固定IP、靜態網絡的基礎之上，這使得傳統安全防護策略很難適應云數據中心安全防護要求，因此，本文在對云數據中心、云數據中心安全防護目標作出論述的基礎上，對云數據中心安全防護技術和解決方案進行了研究與探討。

【關鍵詞】 云數據中心 安全防護 防護挑戰 解決方案

一、云數據中心概述

云計算簡單而言就是一種以互聯網技術為依托的計算方式，借助云計算網絡上共享的各種信息以及軟硬件等其它資源，都可以根據用戶的實際需求被準確的提供給包括計算機在內的其它互聯網終端設備。云計算的出現對于數據中心的發展起到了很好的促進作用，在功能實現方面，迫使其從以往傳統的只是提供存儲設備租用以及機房空間，向著真正的按需分配的資源虛擬云數據中心轉型。就云數據中心的特點來講，其主要是通過對虛擬技術的采用來將網絡當中的各種資源實施虛擬化操作，以為資源用戶之間的資源交互行為提供一種靈活多變的形式。

二、云數據中心安全防護目標

云數據中心安全防護工作的目標為在確保數據安全基礎之上，為數據使用者提供更好的服務。在實現這一目標的過程中，云數據中心中數據的機密性、數據的完整性是十分關鍵的任務。

2.1數據的機密性

在云數據中心安全防護工作中，數據的機密性指的是數據的使用主體為授權用戶，而不能泄露，更不能被非授權用戶所使用。為了讓云數據中心的數據體現出機密性的特征，云數據中心安全防護需要從以下三個方面做出努力：首先，需要提升云數據中心安全防護管理工作隊伍專業素養，這一提升過程可以通過培訓工作與人才引入工作來實現；其次，云數據中心安全防護工作要重視數據加密技術的廣泛應用，如數據安全傳輸專用鏈路、云數據中心數據加密以及云數據中心用戶授權管理技術等。其中，數據安全傳輸專用鏈路主要是采用VPN、SSL、NAT等鏈路技術確保云數據中心數據傳輸鏈路的安全性能。

云數據中心數據加密則可以利用DES系統、ECC系統以及RSA系統等避免云數據中心中的數據被竊取，當然，在加密技術的使用中，服務器內部的攻擊是確保數據機密工作中面臨的重要挑戰，為此，數據加密過程和數據存儲服務之間需要具備一定的分離性，在此過程中，加密工作可以在云數據中心客戶端完成，而云存儲用戶所使用的不對稱密鑰則可以由第三方機構進行管理。

當前云數據中心的用戶授權體現出了粗粒度的特征，授權級別主要包括兩級，即云數據中心管理員以及從管理員受眾得到授權的以及用戶，由于這種訪問控制機制具有著一定的安全問題，因此高安全性的訪問管理技術和身體認證技術是十分必要的。

2.2數據的完整性

在云數據中心安全防護工作中，確保數據不被蓄意或者偶然的重置、修改是重要的工作目標之一，只有實現這一目標，云數據中心的數據才能夠具備完整性。從影響云數據中心數據完整性的因素來看，這些因素包括自然災害、設備故障、計算機病毒、誤碼等。從云數據中心數據完整性的防護手段來看，則主要包括預防數據丟失與恢復數據兩個方面。在云數據中心中，為了能夠保證數據在處理、傳輸以及存儲中具備完整性，管理人員進場會運用到分記處理、奇偶校驗、鏡像以及分級存儲等技術。事實上，在云計算環境中，如果運用IaaS進行存儲，則數據遷移需要承擔的成本較高，另外，數據集具有著明顯的動態化特征，因此，傳統的數據完整性檢驗機制很難得到良好的效果，為此，為了確保云數據中心數據的完整性，云數據中心安全防護工作者需要充分了解云計算環境所具有的特征，并使用復制服務器以及兩階段提交協議等技術，對云數據中心中數據的完整性做出檢驗。

三、面臨的挑戰

在IT技術迅猛發展的背景下，云數據中心體現出了逐步替代傳統數據中心的趨勢，在此過程中，云數據中心需要面臨虛擬安全域隔離以及虛擬機安全防護等諸多問題，這些問題的存在，在一定程度上制約著云數據中心得到更加廣泛的運用并體現出更大的應用價值。云數據中心網絡虛擬化，會讓網絡邊界呈現出動態性的特征，因此，網絡安全系統對安全策略的制定與部署是至關重要的。具體而言，當前云數據中心安全防護工作主要面臨著三個問題：首先，虛擬安全域的隔離問題以及虛擬機的防護問題。虛擬交換層是云數據中心網絡虛擬化中新的網絡層次，這種網絡層次的出現導致了網絡管理邊界具有了模糊化的特點，與此同時，虛擬服務器難以被原有的網絡系統感知，因此，數據中心在安全隔離租戶虛擬域的工作中面臨著較大的挑戰；其次，云數據中心資源難以實現集中管理。在云數據中心中，一個數據流需要經過多重檢測，在使用傳統方法開展這項工作的過程中，一般需要對不同類型的功能與設備進行簡化與堆疊，這一過程需要浪費消耗較多的軟硬件資源。另外，由于安全設備所具有的模型和接口存在著一定的差異，所以云數據中心資源的集中管理也較難實現；最后，安全策略如何實現全局協同，也是需要考慮的重要問題。在云數據中心中，安全控制策略和傳統的網絡安全控制策略具有著一定差異，安全防護工作需要針對應用所具有的特性，對不同安全域進行有效區分，為制定出有效的安全策略，而為了避免產生策略沖突，這些安全策略也需要實現全局協同，這一問題是云數據中心安全防護工作中不得不面臨的挑戰之一。

四、技術

在當前的云數據中心安全防護工作中，軟件定義網絡技術能夠發揮出不容忽視的作用，在這一技術的支撐下，經過云化處理之后的邊界能夠形成良好的網絡結構，并且也能夠確保用戶對存儲資源以及網絡資源做出良好的分割使用。于此同時，在軟件定義網絡基礎上衍生出的軟件定義安全技術以及網絡功能虛擬化技術等，也能夠有效確保云數據中心安全性，并提升云數據中心數據資源的利用效率。

4.1軟件定義網絡技術

2006年，斯坦福大學首次提出了軟件定義網絡，2012年，軟件定義網絡所具有的三層架構也得到了行業內的普遍認可。軟件定義網絡所具有的三層架構包括應用層、控制層以及數據層，其中，控制層對網絡設備中所有的控制功能進行了繼承，并且具備可編程的特征，這讓控制層與數據層實現了分離，并讓數據層實現了簡化，在充分發揮這一優勢特征的基礎上，數據的使用以及開發工作都會變得更加便捷，并且網絡與系統也能夠根據受眾的業務需求做出更加快速的響應。在云數據中心安全防護中，軟件定義網絡技術具有著明顯的優勢，首先在運用軟件定義網絡技術的基礎上，可以制定多租戶安全服務策略。軟件定義網絡控制器能夠對網絡所具有的狀態信息進行感知，并可以對云數據中心安全策略和轉發策略進行聯合編譯，與此同時，軟件定義網絡技術還能夠根據租戶虛擬網絡拓撲以及租戶所提出的需求，將安全策略分布在不同的網絡節點之中，這一優勢讓云數據中心安全策略得到了簡化。另外，基于軟件定義網絡架構，云數據中心安全策略的實施工作與制定工作能夠實現較好的隔離，在此基礎上，云數據中心安全策略的實施能夠體現出更好的靈活性；其次，在運用軟件定義網絡的基礎上，云數據中心能夠構建起可復用的安全服務。軟件功能模塊化以及軟件功能的重構，能夠讓云數據中心對公共處理模塊進行合并，從而對軟硬件性能進行優化。當然，實現不同控制模型以及接口的統一化，是發揮這一優勢的必要前提；最后，在運用軟件定義網絡的基礎上，云數據中心資源可以得到集中的管理與控制。軟件定義網絡技術能夠為云數據中心提供全局網絡視圖，并能夠推動數據調配實現精細化，與此同時，軟件定義網絡技術通過對虛擬化安全設備和虛擬網絡進行協調，也能夠為云數據中心安全防護工作提供便利。

4.2網絡功能虛擬化技術

nfv網絡功能虛擬化技術指的是將電信設備運用于通用服務器，并將各類網元部署在存儲器、服務器、交換機等共同構成的平臺之上，在此基礎上，應用能夠對虛擬資源進行快速的減少和增加，并實現快速縮容與擴容，促使系統具備更好的網絡彈性。

在云數據中心安全防護工作中，網絡功能虛擬化技術體現出兩個明顯優勢，首先，云數據中心租戶能夠利用一個平臺對不同租戶以及不同版本的網絡設備進行登錄，從而實現更好的資源共享；其次，云數據中心可以以租戶具體需求為依據，對自身服務能力進行降低或者特征，從而促使自身服務體現出更好的針對性。

五、解決方案

隨著信息化時代的到來，社會的數據化發展在給人們帶來極大的便利化的同時，信息、數據安全問題的發生也嚴重影響著人們的個人利益。為此，我們提倡大力發展云數據中心，構建完善的云數據中心安全方案的主要目標之一也是為了對用戶的個人信息、相關數據進行保護。但在邁入云計算數據中心時代之后，在云模式構架的影響下，傳統數據安全方法遇到了巨大的挑戰，無論是抽象控制還是在物理邏輯方面都需要全新的數據安全策略。與此同時各種病毒威脅的發生以及計算機網絡在技術、方向方面的發展等也會引發各種網絡信息問題，從而對云數據安全造成極大的挑戰。因此，我們急需針對當今各種網絡信息問題的產生特點，來開發和制定出一套先進的云數據中心安全防御方案，以此來為新時期云數據信息用戶以及云端信息的輸出，提供一個安全的信息流通環境。切實保護雙方安全利益，預防由信息危機而引發的各項社會安全問題的產生。由于云數據中心安全防護涉及范圍較廣，且面臨問題具有一定的復雜、多樣性。因此，我們對云數據中心安全方案的制定也必須從大的模式構建和細小的體系建立兩個方面來做起，具體來講主要包括以下內容：

5.1云計算應用模式構建

云計算英語模式作為云數據中心安全防護的主要構成模式，其構建完善與否在很大程度上將決定著云數據中心安全質量的高低。為此，就云服務終端來講，其安全解決方案的建立首先要在其終端構建起一個獨有的安全評估和防御體系，只有如此才能夠在云端與終端開展信息流動的過程中，將云端信息安全被侵擾的幾率降到最低。為此，我們需要為每一臺終端機選擇并安裝，先進的防病毒、防火墻、惡意軟件查找以及IPS等安全軟件系統。極大的預防各類網絡安全攻擊事件的發生，防止個人計算機信息數據的泄露。與此同時，瀏覽器作為用戶與云端開展信息交流的重要媒介，其瀏覽器的安全與否也在很大程度上決定著云計算安全水平的提升。為此，我們必須必須積極面對，在定期對計算機病毒進行查找的同時，做好瀏覽器的補丁修護工作，極大的保證瀏覽器的安全運行。此外，由于終端當中虛擬軟件通信不在網絡通信監控范圍內，其一旦發生匿名網絡攻擊云端在難以察覺的情況下，很容易受到其攻擊，為此我們還應當加強對虛擬軟件管理工作。通過完善的信息安全預防工作的實施，來從各個方面預防信息數據安全事故的發生，將安全隱患消滅于微。

5.2云數據防御體系建立

云數據防御體系的建立使得各種網絡病毒以及威脅能夠在很大程度上被云防御發現并杜絕，提升了云數據防御體系的安全預防能力。具體而言云數據防御體系的建立主要包括以下幾個方面：首先，構建web信譽服務體系，這是云數據安全防護的關鍵也是重要組成部分之一，其預防措施要趕在web威脅發生之前，防護對象主要包括IP、網頁、網站等；其次，建立電子郵件信任模型，它主要是針對上面web信譽服務來進行優化作業，以將web當中那些包含不良信息的垃圾郵件直接在這一階段過濾掉，以防止這些已經收到污染的不安全數據、信息對云端信息或計算機造成傳染性侵害，真正的將電子郵件的收發控制在合法范圍內。此外還包括，行為關聯分析技術體系、自動反饋機制信任體系、以及威脅信息匯總體系的構建。從功能和內容上來講，無論何種體系的構建起目的都是為了對云安全防御體系進行完善，不斷強化其安全防御能力，幫助計算機肅清其工作、運行環境，使其各方面功能得以良好的發揮。

參 考 文 獻

[1]申晉. 云計算數據中心安全面臨挑戰及防護策略探討[J]. 網絡安全技術與應用，2016，（03）：65+67.

[2]張小梅，馬錚，朱安南，姜楠. 云數據中心安全防護解決方案[J]. 郵電設計技術，2016，（01）：50-54.

[3]黃海峰. 中國云數據中心安全市場茁壯成長 云主機和SDN帶來新挑戰 對話邁克菲北亞區技術總監鄭林[J]. 通信世界，2013，（30）：40.

[4]薛峰，張慶福，張劍. “云”中的數據中心安全防護[J]. 中國教育網絡，2012，（09）：53-55.