云數(shù)據(jù)中心安全防護(hù)挑戰(zhàn)與解決方案研究

毛正雄

【摘要】 云數(shù)據(jù)中心實(shí)現(xiàn)了網(wǎng)絡(luò)的虛擬化，而傳統(tǒng)的安全防護(hù)策略大都建立在固定IP、靜態(tài)網(wǎng)絡(luò)的基礎(chǔ)之上，這使得傳統(tǒng)安全防護(hù)策略很難適應(yīng)云數(shù)據(jù)中心安全防護(hù)要求，因此，本文在對(duì)云數(shù)據(jù)中心、云數(shù)據(jù)中心安全防護(hù)目標(biāo)作出論述的基礎(chǔ)上，對(duì)云數(shù)據(jù)中心安全防護(hù)技術(shù)和解決方案進(jìn)行了研究與探討。

【關(guān)鍵詞】 云數(shù)據(jù)中心 安全防護(hù) 防護(hù)挑戰(zhàn) 解決方案

一、云數(shù)據(jù)中心概述

云計(jì)算簡(jiǎn)單而言就是一種以互聯(lián)網(wǎng)技術(shù)為依托的計(jì)算方式，借助云計(jì)算網(wǎng)絡(luò)上共享的各種信息以及軟硬件等其它資源，都可以根據(jù)用戶的實(shí)際需求被準(zhǔn)確的提供給包括計(jì)算機(jī)在內(nèi)的其它互聯(lián)網(wǎng)終端設(shè)備。云計(jì)算的出現(xiàn)對(duì)于數(shù)據(jù)中心的發(fā)展起到了很好的促進(jìn)作用，在功能實(shí)現(xiàn)方面，迫使其從以往傳統(tǒng)的只是提供存儲(chǔ)設(shè)備租用以及機(jī)房空間，向著真正的按需分配的資源虛擬云數(shù)據(jù)中心轉(zhuǎn)型。就云數(shù)據(jù)中心的特點(diǎn)來(lái)講，其主要是通過(guò)對(duì)虛擬技術(shù)的采用來(lái)將網(wǎng)絡(luò)當(dāng)中的各種資源實(shí)施虛擬化操作，以為資源用戶之間的資源交互行為提供一種靈活多變的形式。

二、云數(shù)據(jù)中心安全防護(hù)目標(biāo)

云數(shù)據(jù)中心安全防護(hù)工作的目標(biāo)為在確保數(shù)據(jù)安全基礎(chǔ)之上，為數(shù)據(jù)使用者提供更好的服務(wù)。在實(shí)現(xiàn)這一目標(biāo)的過(guò)程中，云數(shù)據(jù)中心中數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性是十分關(guān)鍵的任務(wù)。

2.1數(shù)據(jù)的機(jī)密性

在云數(shù)據(jù)中心安全防護(hù)工作中，數(shù)據(jù)的機(jī)密性指的是數(shù)據(jù)的使用主體為授權(quán)用戶，而不能泄露，更不能被非授權(quán)用戶所使用。為了讓云數(shù)據(jù)中心的數(shù)據(jù)體現(xiàn)出機(jī)密性的特征，云數(shù)據(jù)中心安全防護(hù)需要從以下三個(gè)方面做出努力：首先，需要提升云數(shù)據(jù)中心安全防護(hù)管理工作隊(duì)伍專業(yè)素養(yǎng)，這一提升過(guò)程可以通過(guò)培訓(xùn)工作與人才引入工作來(lái)實(shí)現(xiàn)；其次，云數(shù)據(jù)中心安全防護(hù)工作要重視數(shù)據(jù)加密技術(shù)的廣泛應(yīng)用，如數(shù)據(jù)安全傳輸專用鏈路、云數(shù)據(jù)中心數(shù)據(jù)加密以及云數(shù)據(jù)中心用戶授權(quán)管理技術(shù)等。其中，數(shù)據(jù)安全傳輸專用鏈路主要是采用VPN、SSL、NAT等鏈路技術(shù)確保云數(shù)據(jù)中心數(shù)據(jù)傳輸鏈路的安全性能。

云數(shù)據(jù)中心數(shù)據(jù)加密則可以利用DES系統(tǒng)、ECC系統(tǒng)以及RSA系統(tǒng)等避免云數(shù)據(jù)中心中的數(shù)據(jù)被竊取，當(dāng)然，在加密技術(shù)的使用中，服務(wù)器內(nèi)部的攻擊是確保數(shù)據(jù)機(jī)密工作中面臨的重要挑戰(zhàn)，為此，數(shù)據(jù)加密過(guò)程和數(shù)據(jù)存儲(chǔ)服務(wù)之間需要具備一定的分離性，在此過(guò)程中，加密工作可以在云數(shù)據(jù)中心客戶端完成，而云存儲(chǔ)用戶所使用的不對(duì)稱密鑰則可以由第三方機(jī)構(gòu)進(jìn)行管理。

當(dāng)前云數(shù)據(jù)中心的用戶授權(quán)體現(xiàn)出了粗粒度的特征，授權(quán)級(jí)別主要包括兩級(jí)，即云數(shù)據(jù)中心管理員以及從管理員受眾得到授權(quán)的以及用戶，由于這種訪問(wèn)控制機(jī)制具有著一定的安全問(wèn)題，因此高安全性的訪問(wèn)管理技術(shù)和身體認(rèn)證技術(shù)是十分必要的。

2.2數(shù)據(jù)的完整性

在云數(shù)據(jù)中心安全防護(hù)工作中，確保數(shù)據(jù)不被蓄意或者偶然的重置、修改是重要的工作目標(biāo)之一，只有實(shí)現(xiàn)這一目標(biāo)，云數(shù)據(jù)中心的數(shù)據(jù)才能夠具備完整性。從影響云數(shù)據(jù)中心數(shù)據(jù)完整性的因素來(lái)看，這些因素包括自然災(zāi)害、設(shè)備故障、計(jì)算機(jī)病毒、誤碼等。從云數(shù)據(jù)中心數(shù)據(jù)完整性的防護(hù)手段來(lái)看，則主要包括預(yù)防數(shù)據(jù)丟失與恢復(fù)數(shù)據(jù)兩個(gè)方面。在云數(shù)據(jù)中心中，為了能夠保證數(shù)據(jù)在處理、傳輸以及存儲(chǔ)中具備完整性，管理人員進(jìn)場(chǎng)會(huì)運(yùn)用到分記處理、奇偶校驗(yàn)、鏡像以及分級(jí)存儲(chǔ)等技術(shù)。事實(shí)上，在云計(jì)算環(huán)境中，如果運(yùn)用IaaS進(jìn)行存儲(chǔ)，則數(shù)據(jù)遷移需要承擔(dān)的成本較高，另外，數(shù)據(jù)集具有著明顯的動(dòng)態(tài)化特征，因此，傳統(tǒng)的數(shù)據(jù)完整性檢驗(yàn)機(jī)制很難得到良好的效果，為此，為了確保云數(shù)據(jù)中心數(shù)據(jù)的完整性，云數(shù)據(jù)中心安全防護(hù)工作者需要充分了解云計(jì)算環(huán)境所具有的特征，并使用復(fù)制服務(wù)器以及兩階段提交協(xié)議等技術(shù)，對(duì)云數(shù)據(jù)中心中數(shù)據(jù)的完整性做出檢驗(yàn)。

三、面臨的挑戰(zhàn)

在IT技術(shù)迅猛發(fā)展的背景下，云數(shù)據(jù)中心體現(xiàn)出了逐步替代傳統(tǒng)數(shù)據(jù)中心的趨勢(shì)，在此過(guò)程中，云數(shù)據(jù)中心需要面臨虛擬安全域隔離以及虛擬機(jī)安全防護(hù)等諸多問(wèn)題，這些問(wèn)題的存在，在一定程度上制約著云數(shù)據(jù)中心得到更加廣泛的運(yùn)用并體現(xiàn)出更大的應(yīng)用價(jià)值。云數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化，會(huì)讓網(wǎng)絡(luò)邊界呈現(xiàn)出動(dòng)態(tài)性的特征，因此，網(wǎng)絡(luò)安全系統(tǒng)對(duì)安全策略的制定與部署是至關(guān)重要的。具體而言，當(dāng)前云數(shù)據(jù)中心安全防護(hù)工作主要面臨著三個(gè)問(wèn)題：首先，虛擬安全域的隔離問(wèn)題以及虛擬機(jī)的防護(hù)問(wèn)題。虛擬交換層是云數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化中新的網(wǎng)絡(luò)層次，這種網(wǎng)絡(luò)層次的出現(xiàn)導(dǎo)致了網(wǎng)絡(luò)管理邊界具有了模糊化的特點(diǎn)，與此同時(shí)，虛擬服務(wù)器難以被原有的網(wǎng)絡(luò)系統(tǒng)感知，因此，數(shù)據(jù)中心在安全隔離租戶虛擬域的工作中面臨著較大的挑戰(zhàn)；其次，云數(shù)據(jù)中心資源難以實(shí)現(xiàn)集中管理。在云數(shù)據(jù)中心中，一個(gè)數(shù)據(jù)流需要經(jīng)過(guò)多重檢測(cè)，在使用傳統(tǒng)方法開(kāi)展這項(xiàng)工作的過(guò)程中，一般需要對(duì)不同類型的功能與設(shè)備進(jìn)行簡(jiǎn)化與堆疊，這一過(guò)程需要浪費(fèi)消耗較多的軟硬件資源。另外，由于安全設(shè)備所具有的模型和接口存在著一定的差異，所以云數(shù)據(jù)中心資源的集中管理也較難實(shí)現(xiàn)；最后，安全策略如何實(shí)現(xiàn)全局協(xié)同，也是需要考慮的重要問(wèn)題。在云數(shù)據(jù)中心中，安全控制策略和傳統(tǒng)的網(wǎng)絡(luò)安全控制策略具有著一定差異，安全防護(hù)工作需要針對(duì)應(yīng)用所具有的特性，對(duì)不同安全域進(jìn)行有效區(qū)分，為制定出有效的安全策略，而為了避免產(chǎn)生策略沖突，這些安全策略也需要實(shí)現(xiàn)全局協(xié)同，這一問(wèn)題是云數(shù)據(jù)中心安全防護(hù)工作中不得不面臨的挑戰(zhàn)之一。

四、技術(shù)

在當(dāng)前的云數(shù)據(jù)中心安全防護(hù)工作中，軟件定義網(wǎng)絡(luò)技術(shù)能夠發(fā)揮出不容忽視的作用，在這一技術(shù)的支撐下，經(jīng)過(guò)云化處理之后的邊界能夠形成良好的網(wǎng)絡(luò)結(jié)構(gòu)，并且也能夠確保用戶對(duì)存儲(chǔ)資源以及網(wǎng)絡(luò)資源做出良好的分割使用。于此同時(shí)，在軟件定義網(wǎng)絡(luò)基礎(chǔ)上衍生出的軟件定義安全技術(shù)以及網(wǎng)絡(luò)功能虛擬化技術(shù)等，也能夠有效確保云數(shù)據(jù)中心安全性，并提升云數(shù)據(jù)中心數(shù)據(jù)資源的利用效率。

4.1軟件定義網(wǎng)絡(luò)技術(shù)

2006年，斯坦福大學(xué)首次提出了軟件定義網(wǎng)絡(luò)，2012年，軟件定義網(wǎng)絡(luò)所具有的三層架構(gòu)也得到了行業(yè)內(nèi)的普遍認(rèn)可。軟件定義網(wǎng)絡(luò)所具有的三層架構(gòu)包括應(yīng)用層、控制層以及數(shù)據(jù)層，其中，控制層對(duì)網(wǎng)絡(luò)設(shè)備中所有的控制功能進(jìn)行了繼承，并且具備可編程的特征，這讓控制層與數(shù)據(jù)層實(shí)現(xiàn)了分離，并讓數(shù)據(jù)層實(shí)現(xiàn)了簡(jiǎn)化，在充分發(fā)揮這一優(yōu)勢(shì)特征的基礎(chǔ)上，數(shù)據(jù)的使用以及開(kāi)發(fā)工作都會(huì)變得更加便捷，并且網(wǎng)絡(luò)與系統(tǒng)也能夠根據(jù)受眾的業(yè)務(wù)需求做出更加快速的響應(yīng)。在云數(shù)據(jù)中心安全防護(hù)中，軟件定義網(wǎng)絡(luò)技術(shù)具有著明顯的優(yōu)勢(shì)，首先在運(yùn)用軟件定義網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，可以制定多租戶安全服務(wù)策略。軟件定義網(wǎng)絡(luò)控制器能夠?qū)W(wǎng)絡(luò)所具有的狀態(tài)信息進(jìn)行感知，并可以對(duì)云數(shù)據(jù)中心安全策略和轉(zhuǎn)發(fā)策略進(jìn)行聯(lián)合編譯，與此同時(shí)，軟件定義網(wǎng)絡(luò)技術(shù)還能夠根據(jù)租戶虛擬網(wǎng)絡(luò)拓?fù)湟约白鈶羲岢龅男枨?，將安全策略分布在不同的網(wǎng)絡(luò)節(jié)點(diǎn)之中，這一優(yōu)勢(shì)讓云數(shù)據(jù)中心安全策略得到了簡(jiǎn)化。另外，基于軟件定義網(wǎng)絡(luò)架構(gòu)，云數(shù)據(jù)中心安全策略的實(shí)施工作與制定工作能夠?qū)崿F(xiàn)較好的隔離，在此基礎(chǔ)上，云數(shù)據(jù)中心安全策略的實(shí)施能夠體現(xiàn)出更好的靈活性；其次，在運(yùn)用軟件定義網(wǎng)絡(luò)的基礎(chǔ)上，云數(shù)據(jù)中心能夠構(gòu)建起可復(fù)用的安全服務(wù)。軟件功能模塊化以及軟件功能的重構(gòu)，能夠讓云數(shù)據(jù)中心對(duì)公共處理模塊進(jìn)行合并，從而對(duì)軟硬件性能進(jìn)行優(yōu)化。當(dāng)然，實(shí)現(xiàn)不同控制模型以及接口的統(tǒng)一化，是發(fā)揮這一優(yōu)勢(shì)的必要前提；最后，在運(yùn)用軟件定義網(wǎng)絡(luò)的基礎(chǔ)上，云數(shù)據(jù)中心資源可以得到集中的管理與控制。軟件定義網(wǎng)絡(luò)技術(shù)能夠?yàn)樵茢?shù)據(jù)中心提供全局網(wǎng)絡(luò)視圖，并能夠推動(dòng)數(shù)據(jù)調(diào)配實(shí)現(xiàn)精細(xì)化，與此同時(shí)，軟件定義網(wǎng)絡(luò)技術(shù)通過(guò)對(duì)虛擬化安全設(shè)備和虛擬網(wǎng)絡(luò)進(jìn)行協(xié)調(diào)，也能夠?yàn)樵茢?shù)據(jù)中心安全防護(hù)工作提供便利。

4.2網(wǎng)絡(luò)功能虛擬化技術(shù)

nfv網(wǎng)絡(luò)功能虛擬化技術(shù)指的是將電信設(shè)備運(yùn)用于通用服務(wù)器，并將各類網(wǎng)元部署在存儲(chǔ)器、服務(wù)器、交換機(jī)等共同構(gòu)成的平臺(tái)之上，在此基礎(chǔ)上，應(yīng)用能夠?qū)μ摂M資源進(jìn)行快速的減少和增加，并實(shí)現(xiàn)快速縮容與擴(kuò)容，促使系統(tǒng)具備更好的網(wǎng)絡(luò)彈性。

在云數(shù)據(jù)中心安全防護(hù)工作中，網(wǎng)絡(luò)功能虛擬化技術(shù)體現(xiàn)出兩個(gè)明顯優(yōu)勢(shì)，首先，云數(shù)據(jù)中心租戶能夠利用一個(gè)平臺(tái)對(duì)不同租戶以及不同版本的網(wǎng)絡(luò)設(shè)備進(jìn)行登錄，從而實(shí)現(xiàn)更好的資源共享；其次，云數(shù)據(jù)中心可以以租戶具體需求為依據(jù)，對(duì)自身服務(wù)能力進(jìn)行降低或者特征，從而促使自身服務(wù)體現(xiàn)出更好的針對(duì)性。

五、解決方案

隨著信息化時(shí)代的到來(lái)，社會(huì)的數(shù)據(jù)化發(fā)展在給人們帶來(lái)極大的便利化的同時(shí)，信息、數(shù)據(jù)安全問(wèn)題的發(fā)生也嚴(yán)重影響著人們的個(gè)人利益。為此，我們提倡大力發(fā)展云數(shù)據(jù)中心，構(gòu)建完善的云數(shù)據(jù)中心安全方案的主要目標(biāo)之一也是為了對(duì)用戶的個(gè)人信息、相關(guān)數(shù)據(jù)進(jìn)行保護(hù)。但在邁入云計(jì)算數(shù)據(jù)中心時(shí)代之后，在云模式構(gòu)架的影響下，傳統(tǒng)數(shù)據(jù)安全方法遇到了巨大的挑戰(zhàn)，無(wú)論是抽象控制還是在物理邏輯方面都需要全新的數(shù)據(jù)安全策略。與此同時(shí)各種病毒威脅的發(fā)生以及計(jì)算機(jī)網(wǎng)絡(luò)在技術(shù)、方向方面的發(fā)展等也會(huì)引發(fā)各種網(wǎng)絡(luò)信息問(wèn)題，從而對(duì)云數(shù)據(jù)安全造成極大的挑戰(zhàn)。因此，我們急需針對(duì)當(dāng)今各種網(wǎng)絡(luò)信息問(wèn)題的產(chǎn)生特點(diǎn)，來(lái)開(kāi)發(fā)和制定出一套先進(jìn)的云數(shù)據(jù)中心安全防御方案，以此來(lái)為新時(shí)期云數(shù)據(jù)信息用戶以及云端信息的輸出，提供一個(gè)安全的信息流通環(huán)境。切實(shí)保護(hù)雙方安全利益，預(yù)防由信息危機(jī)而引發(fā)的各項(xiàng)社會(huì)安全問(wèn)題的產(chǎn)生。由于云數(shù)據(jù)中心安全防護(hù)涉及范圍較廣，且面臨問(wèn)題具有一定的復(fù)雜、多樣性。因此，我們對(duì)云數(shù)據(jù)中心安全方案的制定也必須從大的模式構(gòu)建和細(xì)小的體系建立兩個(gè)方面來(lái)做起，具體來(lái)講主要包括以下內(nèi)容：

5.1云計(jì)算應(yīng)用模式構(gòu)建

云計(jì)算英語(yǔ)模式作為云數(shù)據(jù)中心安全防護(hù)的主要構(gòu)成模式，其構(gòu)建完善與否在很大程度上將決定著云數(shù)據(jù)中心安全質(zhì)量的高低。為此，就云服務(wù)終端來(lái)講，其安全解決方案的建立首先要在其終端構(gòu)建起一個(gè)獨(dú)有的安全評(píng)估和防御體系，只有如此才能夠在云端與終端開(kāi)展信息流動(dòng)的過(guò)程中，將云端信息安全被侵?jǐn)_的幾率降到最低。為此，我們需要為每一臺(tái)終端機(jī)選擇并安裝，先進(jìn)的防病毒、防火墻、惡意軟件查找以及IPS等安全軟件系統(tǒng)。極大的預(yù)防各類網(wǎng)絡(luò)安全攻擊事件的發(fā)生，防止個(gè)人計(jì)算機(jī)信息數(shù)據(jù)的泄露。與此同時(shí)，瀏覽器作為用戶與云端開(kāi)展信息交流的重要媒介，其瀏覽器的安全與否也在很大程度上決定著云計(jì)算安全水平的提升。為此，我們必須必須積極面對(duì)，在定期對(duì)計(jì)算機(jī)病毒進(jìn)行查找的同時(shí)，做好瀏覽器的補(bǔ)丁修護(hù)工作，極大的保證瀏覽器的安全運(yùn)行。此外，由于終端當(dāng)中虛擬軟件通信不在網(wǎng)絡(luò)通信監(jiān)控范圍內(nèi)，其一旦發(fā)生匿名網(wǎng)絡(luò)攻擊云端在難以察覺(jué)的情況下，很容易受到其攻擊，為此我們還應(yīng)當(dāng)加強(qiáng)對(duì)虛擬軟件管理工作。通過(guò)完善的信息安全預(yù)防工作的實(shí)施，來(lái)從各個(gè)方面預(yù)防信息數(shù)據(jù)安全事故的發(fā)生，將安全隱患消滅于微。

5.2云數(shù)據(jù)防御體系建立

云數(shù)據(jù)防御體系的建立使得各種網(wǎng)絡(luò)病毒以及威脅能夠在很大程度上被云防御發(fā)現(xiàn)并杜絕，提升了云數(shù)據(jù)防御體系的安全預(yù)防能力。具體而言云數(shù)據(jù)防御體系的建立主要包括以下幾個(gè)方面：首先，構(gòu)建web信譽(yù)服務(wù)體系，這是云數(shù)據(jù)安全防護(hù)的關(guān)鍵也是重要組成部分之一，其預(yù)防措施要趕在web威脅發(fā)生之前，防護(hù)對(duì)象主要包括IP、網(wǎng)頁(yè)、網(wǎng)站等；其次，建立電子郵件信任模型，它主要是針對(duì)上面web信譽(yù)服務(wù)來(lái)進(jìn)行優(yōu)化作業(yè)，以將web當(dāng)中那些包含不良信息的垃圾郵件直接在這一階段過(guò)濾掉，以防止這些已經(jīng)收到污染的不安全數(shù)據(jù)、信息對(duì)云端信息或計(jì)算機(jī)造成傳染性侵害，真正的將電子郵件的收發(fā)控制在合法范圍內(nèi)。此外還包括，行為關(guān)聯(lián)分析技術(shù)體系、自動(dòng)反饋機(jī)制信任體系、以及威脅信息匯總體系的構(gòu)建。從功能和內(nèi)容上來(lái)講，無(wú)論何種體系的構(gòu)建起目的都是為了對(duì)云安全防御體系進(jìn)行完善，不斷強(qiáng)化其安全防御能力，幫助計(jì)算機(jī)肅清其工作、運(yùn)行環(huán)境，使其各方面功能得以良好的發(fā)揮。

參 考 文 獻(xiàn)

[1]申晉. 云計(jì)算數(shù)據(jù)中心安全面臨挑戰(zhàn)及防護(hù)策略探討[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（03）：65+67.

[2]張小梅，馬錚，朱安南，姜楠. 云數(shù)據(jù)中心安全防護(hù)解決方案[J]. 郵電設(shè)計(jì)技術(shù)，2016，（01）：50-54.

[3]黃海峰. 中國(guó)云數(shù)據(jù)中心安全市場(chǎng)茁壯成長(zhǎng) 云主機(jī)和SDN帶來(lái)新挑戰(zhàn) 對(duì)話邁克菲北亞區(qū)技術(shù)總監(jiān)鄭林[J]. 通信世界，2013，（30）：40.

[4]薛峰，張慶福，張劍. “云”中的數(shù)據(jù)中心安全防護(hù)[J]. 中國(guó)教育網(wǎng)絡(luò)，2012，（09）：53-55.