高校云計算數據中心安全的設計與實現

龐金香, 隋萌萌

(中國石油大學(華東) 1. 網絡及教育技術中心; 2. 計算機與通訊工程學院， 青島 266580)

?

高校云計算數據中心安全的設計與實現

龐金香1, 隋萌萌2

(中國石油大學(華東) 1. 網絡及教育技術中心; 2. 計算機與通訊工程學院， 青島 266580)

高校可以利用云計算中心整合現有的數據中心，實現對IT資源的充分利用，提高信息系統的效率和性能，縮短投產使用的周期。由于云計算也可以看做信息系統的一種，因而它也有著一些與其它信息系統相似的安全問題。從傳統意義上的數據中心建設出發，結合云計算數據中心建設和安全的建議原則，探討數據中心的安全。

云計算； 數據中心； 安全； 災備中心

0 引言

云計算通過以太網連接的方式將大量計算資源進行統一調度和管理，從而構成一個可以按需服務的計算資源池。為了更好地提供高效、高性能、可管理的云服務，可搭建以EMC、Cisco和VMware等為平臺的云計算數據中心并提供各種服務。但是，云數據中心也會面臨新的安全威脅，特別是高校云數據中心的安全問題尤為重要。

1 高校云計算數據中心安全建設

高校云計算數據中心安全建設主要從以下幾點著手：

1.1 服務可用性

云計算數據中心的可用性對于高校而言是至關重要的。硬件或軟件故障都會影響系統高可用性。由于云計算需要為應用提供高質量和高效的服務，這就要求云計算必須具備容錯和容災能力。

網絡方面：采取雙鏈路接入，避免單點故障的發生。在一臺網絡設備或者某條鏈路出現故障的情況下，通過網絡高可用性技術，虛擬網關可以遷移到另一臺并行網絡設備。

服務器方面：針對承載虛擬計算資源的服務器，可以在專網云和外網云均配置集群系統，為兩臺并機做高可用性集群。使用虛擬化軟件的HA功能，在單臺虛擬機或物理機出現故障的情況下，虛擬機可以無縫遷移至集群中的其他物理機器上。

存儲方面：采用RAID技術保證硬盤層面的數據安全，同時采用雙控制器以及存儲自身的硬件模塊冗余技術，在單一模塊出現故障的情況下，能夠保證業務系統無中斷。對主機的連接采用多通道技術，保證鏈路安全。

容災機制方面：在單一的機房環境中，受到電力設施、制冷設施以及其他不可抗拒因素(例如火災，地震等)的制約，會發生整個數據中心癱瘓的情況。可以考慮在災備中心構建災備機房，即可有效防止一般災難情況的發生。在主數據中心發生故障的情況下，可以啟動災備中心的備用計算資源，保證服務的持續性以及數據的高可用性。

軟件方面：將業務系統遷移至云計算數據中心后，可以很方便地對操作系統執行快照并對存儲數據進行備份。在線備份不會影響業務的正常運行。部署詳細的規劃來對云計算數據中心的數據進行備份。在出現系統紊亂癱瘓的情況下，通過備份還原機制，能夠很快恢復到某個時間點上。對重要的系統應用(例如數據庫)制定合理的數據庫備份策略。

1.2 隱私保護

隱私保護是云計算另外一個重要的問題。要確保高校用戶的身份信息、訪問歷史、訪問方式受到保護，并且數據的存儲處理也要能保護用戶的個人隱私；要能防止數據挖掘獲得隱私，阻擋通過各種攻擊來獲取別人的隱私[1]。

1.3 數據和服務安全隔離

云計算是設備和數據池共有化的模式，所有的數據、服務都在云內進行。各單位的數據需要同其他單位的數據執行隔離。為達到這一目的，可以部署虛擬化安全加固產品，在云計算基礎架構上劃分不同的資源組，針對不同的邏輯資源組定制訪問策略，對不允許互相訪問的對象可以制定嚴格的訪問策略，還可以針對源地址和目的地址，或根據資源組、文件夾劃分安全組。

對外部的業務用戶來說，只能訪問到虛擬機層面。虛擬軟件的底層在網絡上是不可達的或者不可訪問的。

1.4 訪問控制和審計

云計算管理中心使用獨立的網段，外部無法通過網絡訪問云計算數據中心的設備。各個物理服務器的管理端口通過單獨的物理網卡連接到管理VLAN或物理獨立的網絡，這樣可以有效地避免外部非授權用戶通過業務網絡對云計算平臺的底層架構進行破壞。

此外，在業務接入層，我們采用傳統的訪問控制措施，通過鑒定權限、證書身份認證、網絡準入等對外來用戶訪問的合法性進行鑒定，并授予其應有的權限角色，確保外來用戶對云計算平臺中的資源進行安全訪問。

在云計算管理中心，我們可以在管理平臺上為不同的管理賬號授予不同的控制權限。可以限制某個用戶只有針對某個資源組、某臺虛擬機或某個網絡端口組的控制權限，并對登錄者的操作執行日志記錄。除云系統管理員外，一般管理員是無法刪除該記錄的。歷史日志記錄可以導出并歸檔保存。在管理平臺上，我們也可以同AD集成，使用域中的賬號，并為賬號賦予不同的權限。

在VCD資源分配平臺中，也可以根據用戶身份的不同或使用業務特點的不同制定不同的訪問控制策略，為其分配不同性能的資源池，對重要的業務分配可用性強的資源，對次要的業務可以分配可用性差一些的資源。

1.5 惡意代碼與防護，入侵檢測與應急響應

1.6 基于云計算的安全保障體系建設

云計算管理中心采用分權分級管理。可以采取分級控制和流程化管理的方法來防止出現“偷窺”各部門程序和數據的情況。例如：可以將管理人員的權限劃分為兩個層面，第一個權限層面為普通的運維人員，只負責普通的日常維護工作，無法接觸到核心數據和業務；第二個權限層面為核心管理人員，雖然可以接觸到核心數據和業務，但是受到一系列的流程限制。

云計算改變了傳統的服務方式，但并沒有改變傳統的安全模式。云計算環境中所不同的地方是其安全設備和措施的部署在不同的位置，因而安全責任的主體也發生了變化。原來各接入云的二級單位要自己保證自身服務的安全，而現在由數據中心保證服務提供的安全性。

2 高校云計算數據中心安全設計

2.1 安全域的劃分

安全域的劃分需要建立在對云上應用業務的分析基礎之上。因而與前述的虛擬服務區的劃分原則一致，每一個虛擬服務區應當對應唯一的虛擬防火墻，即對應唯一的一個安全域。具體原則如下：

1) 同一業務一定要在同一個安全域內，同一個業務系統應在同一個安全域內；

2) 有必要進行安全審計和訪問控制的區域必須使用安全域劃分；

再如，以敘事起句。如黃公度“薄宦各東西，往事隨風雨。”這首詞是黃公度寄給其弟黃童之作。全篇起句“薄宦”“東西”“隨風雨”，寫出了詩人這輩子的羈旅漂泊生涯，以家書的形式寄予了深厚的“后會知何處”之情。又如曹冠《夢仙》中“午枕”交代了時間，“游仙”交代了事件，“蓬萊境”交代了“游仙”之地。再如黃機的作品，首句以一個“憶”字點出女主人公所處時間點是現在時。緊接著“數到郎歸日”，又以一個時間段的形式從側面突出了女主人公對男子的深切思念。再一句“及至郎歸郎又行”，詩人先讓我們跳躍到男子歸來時的那天，又再把我們拉回男子再次出行的這天。三句，看似平常無奇，實則情景切換，時間跳躍，有極強的蒙太奇效果。

3) 需要進行虛擬機遷移的虛擬主機要在同一個安全域內。

2.2 防火墻部署設計

各個安全區域的網絡流量既需要互相訪問、又要經過嚴格的訪問控制和區域隔離。如果按照傳統的網絡設計，需要在每個網絡應用以及交換平臺之間的邊緣部署防火墻設備來進行安全保護，這樣需要大量的防火墻，性能也受限于外部連接接口的帶寬，還增加了網絡管理的復雜度，未來也難以擴展。因此我們應當使用內置于交換機的高性能防火墻模塊，不必考慮復雜的連線從而可以方便地進行安全域劃分，易于擴展和管理，提高整體性能。

每個安全域都分配有防火墻，所以每一個安全域只需要考慮自己的一套出入策略即可。安全域復雜的相互關系變成了每個安全域各自的一出一進的關系，這樣整個防火墻的策略就變得模塊化、清晰化和簡單化。在診斷策略的問題時，只要到相關的安全域去看其專用的虛擬防火墻所配置的策略，就容易找到問題所在。

防火墻設計中將充分使用虛擬防火墻技術。每個虛擬防火墻可以獨立執行策略配置、策略執行、策略顯示等等，所有操作就像在一個單獨的防火墻上那樣。而且虛擬防火墻還應當具有獨立的可由管理員分配的資源，比如連接數、內存數、策略數、帶寬等等，防止一個虛擬防火墻由于病毒或其它原因而過多占用資源。僅僅用VLAN一類的技術劃分防火墻無法起到策略獨立性和資源獨立性的目的，不屬于這里所指的虛擬防火墻。

虛擬防火墻還應當配合虛擬三層交換機來使用。每一個安全域內部可能存在多個IP子網，它們之間需要有三層交換機進行路由。但不同安全域之間這樣的路由不應當被混同在一個路由表中，而應當是每個安全域有自己的路由表，可以配置自己的靜態和動態路由協議，就好像有自己獨立使用的一個路由器一樣。不同安全域相互之間僅通過虛擬防火墻互相連接，因此各個安全域的互連邏輯結構如圖1所示：

圖1 各個安全域的互連邏輯結構圖

最終應當達到虛擬化數據交換中心的使用效果，即交換機的任何物理端口或VLAN端口都能夠充當防火墻端口，同時每個安全域可以有自己獨立虛擬路由器、獨立的路由表和獨立的動態路由協議。每個安全域對應有一個自己專用的虛擬防火墻，每個虛擬防火墻擁有獨立的管理員權限定義安全策略和所用資源。不同安全域的管理員只負責本區域虛擬防火墻的策略控制管理，而不用關心其它虛擬防火墻的配置工作，避免了單一區域安全策略配置錯誤對其它區域可能造成的影響，從根本上簡化大型數據中心管理維護的難度。

2.3 防火墻策略設計

由于采用虛擬化設計，不同安全區域之間的訪問控制策略只需考慮各個安全區域內的出方向策略和入方向策略即可。初始策略依據如下原則設定，然后根據業務需求不斷調整：

出方向上不進行策略限制，全部打開。

入方向上按“最小授權原則”打開必要的服務。

允許發自內部地址的雙方向的ICMP，但對ICMP進行應用檢查(Inspect)。

允許發自內部地址的Trace Route，便于網絡診斷。

關閉雙方向的TCP Seq Randomization，在數據中心內的防火墻可以去除該功能以提高轉發效率。

減少或者不進行NAT，保證數據中心內的地址透明性，便于提供服務

關閉nat-control(此為默認)，關閉xlate記錄，以保證并發連接數。

對每個虛擬防火墻的如下資源進行最大限定：總連接數，策略數，吞吐量。

基于每個虛擬防火墻設定最大未完成連接數(Embryonic Connection)，將來升級到定義每個客戶端的最大未完成連接數。

2.4 虛擬化的安全

數據中心可劃分為不同的層面，包括網絡接入層、匯聚層、核心層、業務接入層和運維管理層[2]。因此需要在不同層面考慮數據中心的安全。每個層面都有不同的安全問題，所以采用的安全策略也不同，如表1所示。

表1 虛擬化不同層面的安全保護

對于接入層而言，主要的威脅是來自互聯網的DDoS和SYN攻擊。此類攻擊是將帶寬耗盡，使得服務器無法響應，難以對外提供服務。解決該問題的辦法就是對數據中心的流量進行清洗，并過濾掉這些攻擊。

對于業務接入層而言，主要是對主機進行防護。一方面通過安裝殺毒軟件，對系統定期查殺病毒和木馬；另一方面定期進行掃描，做出適當的安全評估，有針對性地實施防護手段，從而對主機本身進行安全防護。

對于匯聚層及核心層而言，一是進行訪問控制，將網絡分為可信區域和不可信區域，并進行有效的隔離防護；另一方面加強網絡的入侵防護，對網絡設備也要進行嚴格的訪問控制，明確哪些人員可以管理，哪些人員不可以管理。

對于用戶終端接入而言，要對終端進行準入控制，對接入的用戶進行審計。

對于數據中心的保護，不僅僅要考慮環境安全和技術安全，還要考慮管理安全。對于管理人員而言，主要分為兩個方面。一方面是對遠程接入管理的安全防護，要嚴格控制遠程接入管理人員的管理權限，可以允許其通過VPN等方式接入；另一個方面是針對本地運維人員的安全防護，明確哪些人員可以進入機房，嚴格落實機房管理制度。

2.4.1 專網私有云安全

一般高校數據中心內會有多套不同的應用系統，分屬不同的業務部門管理。將系統遷移到私有云中以后，借助本安全解決方案系列中支持虛擬化的虛擬數據中心和云計算環境保護解決方案，能夠在整個組織范圍內加強應用程序和數據的安全性，了解、控制并加快IT遵從性工作的發展進程。

1) 由于在私有云中，無法確定不同的業務部門運行在哪臺物理主機上，因此所需的解決方案應當能夠增強對虛擬機之間網絡通信的控制，能夠針對應用分域，并且可以創建基于業務的安全策略。

2) 對私有云，針對不同的二級單位，需要針對不同資源池、虛擬機等劃分組，并可以針對該邏輯分組制定防護策略。

3) 在虛擬機遷移時提供動態保護。

4) 連接控制可以基于網絡、應用程序端口、協議類型(TCP/UDP)和應用程序類型進行。

5) 通過分析虛擬機與虛擬機間產生的流量，來優化或重新制定防火墻策略，防止僵尸網絡的產生，并通過詳細報告應用程序流量(應用程序、會話、字節數)來保護業務流程的安全。

6) 采用基于IP的有狀態防火墻和應用程序層網關，可支持包括Oracle、Sun遠程過程調用(RPC)、Microsoft RPC、LDAP和SMTP在內的眾多協議。

7) 有日志審核與記錄功能。

2.4.2 外網私有云安全

對外網私有云，除了在數據中心內滿足專網私有云安全的要求之外，還需要在網絡邊界部署安全設備，實現針對虛擬數據中心的全方位外圍網絡安全保護。網絡邊緣的安全設備應該具備如下功能：

1) 帶狀態檢測防護。

能夠基于以下內容的規則進行入站和出站連接控制：

IP地址——源/目標IP地址

端口——源/目標端口

協議——按類型(TCP或UDP)

2) 具有NAT功能，能夠針對不受信任的地址偽裝云數據中心的IP地址。

3) 能夠保護虛擬數據中心之間的通信。

4) 支持站點間VPN。

5) 針對所有流量的入站負載均衡。

6) 端口組隔離。

7) 邊緣流量統計信息。

3 總結

云計算數據中心安全部署是云基礎架構中的重要建設環節。安全的云計算數據中心需要考慮環境安全、技術安全和管理安全；使用防火墻、入侵檢測等設備來提供靜態的保護能力；通過備份和容災等方式，防止故障并降低損害；同時需要具備主動防御的能力，能夠及時發現攻擊，并能夠從破壞中恢復。通過種種策略部署，從而建立一個完備的、多層面的體系來對云計算數據中心進行防護。隨著云計算技術的發展，只有全面規劃，才能建立健全完備的云數據中心防御體系。

[1] 張艾斌. 云計算模式與云安全問題研究[J]. 科協論壇, 2010(6): 58-59.

[2] 高忠新, 戰也非. 淺談高校校園網建設[J]. 牡丹江師范學院學報(自然科學版), 2007，(3): 8-9.

[3] 吳吉義, 沈千里, 章劍林, 等. 云計算：從云安全到可信云[C]∥2010年第16屆全國信息存儲技術大會(IST2010)論文集, 2010: 229-233.

[4] 吳旭東. 云計算數據安全研究[C]∥第26次全國計算機安全學術交流會論文集, 2011: 38-40.

[5] 萬利平, 陳燕. 云計算在教育信息化中的應用探究[J]. 中國教育信息化, 2009(9): 74-77.

Design and Implementation of Cloud Computing Data Center Security at Colleges and Universities

Pang Jinxiang1, Sui Mengmeng2

(1. Internet and Education Technology Center; 2. College of Computer & Communication Engineering, China University of Petroleum (East China), Qingdao 266580, China)

Colleges and Universities can integrate the existing data center by using the cloud computing center in order to take full advantage of available IT resources, so that the efficiency and performance of the information system can be improved, and the cycle of the applications being put into practice can be shortened. As the cloud platform can also be viewed as a kind of information system, it has some security problems like those of other information systems. Based on the traditional construction of data center, this paper discusses data center security combined with recommended principles of construction and security of cloud computing data center.

Cloud computing; Data center; Security; Disaster recovery center

2015 年賽爾網絡下一代互聯網技術創新項目(項目編號：NGII20150115)

龐金香(1978-)，女，工程師，研究方向：網絡信息管理、一卡通。 隋萌萌(1992-)，女，碩士研究生，研究方向：軟件定義網絡(SDN)、計算機網絡及應用。

1007-757X(2017)07-0023-03

TP393

A

2017.02.17)