云數據中心安全防護解決方案分析

李太平

【摘要】? ? 由于傳統的安全措施均是基于固定的位置或是靜態的網絡而無法應對好虛擬化帶來的網絡安全問題，故使得云數據中心亦始終面臨著較高的安全威脅。基于云計算的特點與思想，所以采用SDN與NFV等技術來為運輸局中心的安全防護供支撐，不僅能有效促進網絡安全服務全程自動化交付的順利實現，而且還能夠保證云數據中心安全，切實維護云數據中心的穩定發展。

【關鍵詞】? ? 云數據中心? ? 安全防護? ? 解決方案

所謂的云計算數據中心，即一種以云計算的架構、存儲及網絡資源整合為基礎，并在各類TI設備的支撐下而具有較高模塊化和自動化程度的新型數據中心。因此，為切實促進云計算數據中心的普及運用，關鍵仍是要對虛擬安全域隔離、虛擬機安全防護等安全方面的問題給予高度重視。

一、云數據中心安全防護面臨的挑戰

由于云數據中心的網絡虛擬化會導致網絡邊界呈現出動態化的特征，這便需要制定并部署網絡安全系統方能抵御網絡中的各種安全問題。一是虛擬安全與的隔離和虛擬機本身的防護問題。由于虛擬技術的加入使得原本的網絡層次中多了一層虛擬交換層，而鑒于該網絡層次是在云數據中心網絡虛擬化后方才出現，所以這個層次的出現反而讓網絡管理便捷具有了模糊化的特征，加之原本的網絡系統又難以感知到的新的虛擬服務器，故也使得數據中心在實際運行過程中將面臨租戶的虛擬域安全阻隔問題。二是當前的云數據計算中心上難以實現的對眾多復雜資源的集中化管理。由于云數據中心在處理數據流時會盡力多重監測，但因此項工作的開展過程目前仍是基于傳統的監測手段，這便使得數據處理過程無法對不同類型的功能及設備予以簡化和堆疊，這便為云數據中心實現資源的集中管理帶來了極大的困難。

二、云數據中心安全防護方案設計

2.1云數據中心安全防護系統功能架構

由于云數據中心網絡的安全虛擬化是在虛擬化整合的基礎上進行，故其安全虛擬化的具體過程除了要將部署的專用設備全部遷移到通用服務器外，尚需根據不同的業務特征來為其匹配是以的安全策略，如此方能在實現安全虛擬化后，讓各種也業務特征相匹配的安全策略亦隨之發生動態遷移，繼而掃清因數據中心服務器虛擬化而造成的安全策略部署問題。就云數據中心系統而言，其主要由4層服務層組成，分別為云服務層、控制層、數據轉發層以及安全資源層。其中，云服務層主要功能在于向用戶提供安全的網絡資源服務。而控制層則主要負責控制各大網路鏈、流標以及資源彈性的管理;數據轉發層主要負責的內容包括收集、轉發并處理業務流表。至于安全服務資源層，因其主要組成部分為承載了安全服務虛擬機的通用服務器，故其所具有的功能亦主要包含了防火墻、入侵檢測以及過濾垃圾郵件等。

2.2云數據中心網絡安全防護系統部署

數據中心的網絡出口也便是虛擬化安全防護池的部署地，至于實際的管理則是基于云管理平臺中加入的SDN控制器。當前，安全防護池也在虛擬化技術的促進下而突破了原本的性能瓶頸，并得到了與云數據中心需求最佳匹配的效果。云數據中心的安全防護池還能充分利用池內防火墻來滿足政府及金融行業租戶的具體需求，且在防火墻虛擬機的保護作用下，還不會對其他租戶的業務流量產生任何影響。由于安全防護池在云數據中心出口處的部署主要是以旁路的形式為主，故該部署不僅具有較高的靈活性，且能實時根據業務狀況來進行分流，如此變更最大先帝減少數據對核心網絡的影響。至于安全防護池的旁路部署則主要遵循著如下技術原理：流量牽引：安全防護池在牽引目標流數據時會基于SND控制器下發的流表來合理跳動云數據中心及邊界的各項網絡設備。流量檢測或過濾：在安全防護池需要牽引目標流量時，SDN控制器會發出相應的指令并對目標IP的流量予以檢測和過濾操作。流量回注：SDN控制器會將監測合格的合法流量重新注回網絡，并確保流量順利達到目的地而不會對其形成任何阻礙。

2.3云數據中心網絡安全防護系統運營流程

就Web對安全防護池的資源調度而言，首先需要云數據中心租戶提出具體需求，而云數據中心管理員在接收到租戶需求后會根據其要求來設置相應的安全策略。后在數據中心控制器的調度下，將為申請需求的租戶提供相應的IP地址。與此同時，基于控制器本社便掌握了云數據中心的組裝狀況，故尋找連接交換機的過程亦十分輕松。止嘔，在控制器引流策略的牽引下，將能在更新接入交換機的轉發流表同時將相關流量轉移到安全的防護池內，之后便借助防護池內各項安全防護設備來對Web流量進行過濾。最終，用戶將從虛擬機中接收到經過過濾的Web流量，并可借由指令來予以控制。經過上述一系列流程，將最大限度確保租戶的流量數據安全。

總之，基于云計算與虛擬化技術的快速發展，雖是讓云數據中心亦有了明顯進步，但安全仍是困擾云數據中心發展的主要問題。因此，為切實維護云數據中心的穩定發展，則研究人員仍需加大對云數據中心安全防護系統架構、物理部署、運營流程以及安全服務監控等諸多方面工作安全防護方案的研究，以此方能賦予云數據中心更好的擴展性，繼而為云數據中心的穩定發展提供保障。

參? 考? 文? 獻

[1] 張小梅，馬錚，朱安南.云數據中心安全防護解決方案[J].郵電設計技術， 2016（1）：50-54.

[2] 毛正雄.云數據中心安全防護挑戰與解決方案研究[J].中國新通信，2017（8）：78-79.