云計算環境下數據中心的網絡安全問題分析及防護

臺州市城市建設投資發展集團有限公司 陳國京

云計算技術作為信息時代的重要產物，其與數據中心的融合對增強數據平臺計算、數據信息處理能力意義重大。但在云數據中心建設與應用過程中，云計算環境同樣會帶來較為復雜的安全風險問題，使數據中心安全防御力度不足。因此，文章通過分析數據中心在云計算環境下的常見網絡安全問題，對如何加強網絡安全防護展開討論。旨在完善云數據中心網絡安全保障機制，確保數據中心網絡安全。

隨著云計算技術在各領域的滲透，數據平臺功能框架更為完善。云數據中心在運行期間，可憑借虛擬化的數據處理，提升數據存儲量，保障數據處理質量。但由于云計算技術實踐中云平臺網絡環境的復雜性，相關人員在構建云數據中心時，仍應具有較強的安全意識，引進各類成熟的安全技術，建立系統的云數據中心安全防御體系。

1 云計算環境下數據中心安全需求

云計算環境下，云數據安全處理需求明顯增加，要求在數據中心運行過程中，虛擬化處理該平臺的內部數據，增加數據存儲與管控與安全技術的銜接性，提升數據中心網絡安全服務水平。具體來說，云數據中心安全服務管理過程中，其數據處理應具有較強的高效性、敏捷性、彈性才能滿足數據中心網絡安全保護需求。首先，部署云數據安全網絡裝置時，應將其滲透在健全的云安全服務機制內，預防木馬攻擊、病毒侵犯等網絡安全問題。其次，云數據中心在網絡安全保護過程中，需借助動態化安全管理平臺，安全使用數據中心內部信息，適應其業務轉換中各類復雜網絡環境。最后，基于云計算技術，數據中心在網絡安全問題處理中，應保證各安全資源的反復利用，統一管控各數據終端，確保數據中心內信息利用的有效性。

2 基于云計算的數據中心網絡安全問題分析

現階段，數據中心在云計算環境下所面臨的安全問題主要集中在三方面，分別為木馬攻擊、APT攻擊、數據外泄。其一，數據中心運行過程中，部分不法分子、黑客在利益驅使下，借助網絡木馬工藝數據中心，企圖竊取數據中心內部信息，繼而誘發用戶經濟、精神損失。不僅如此，數據中心被木馬攻擊后，其訪問帶資源則會流失，甚至會導致網絡通信帶寬癱瘓。其二，APT攻擊是云數據中心面臨的“高級持續性”的網絡安全威脅，具有攻擊目標明確、安全風險大、攻擊手段高級、時間長等特點。不法分子會利用數據中心網絡結構中的漏洞，制造安全問題，給予數據中心毀滅性打擊。其三，數據外泄屬于網絡安全問題中的嚴重惡性事件，各組織單位數據中心內的機密數據會被使用、剽竊。不法組織會在“數據外泄”這一網絡安全問題產生后，泄露用戶信息、企業機密、個人知識產權信息，造成難以控制的經濟損失。

3 云計算環境下數據中心網絡安全問題防護策略

3.1 靈活應用安全防御技術

為有效解決云計算環境下數據中心網絡安全問題，需靈活選用可對數據中心進行安全防御的技術。一方面，技術人員可借助態勢感知技術，及時發現云數據中心系統內安全風險，保障數據中心網絡安全。態勢感知技術的基本原理是通過實時采集網絡數據包，分析網絡動態等方式，從全局角度判斷數據中心內的網絡安全威脅。具體技術流程可包括“網絡態勢檢測”、“數據分析”、“網絡安全問題預測”、“網絡安全防御”等步驟，該技術在云數據中心運行中，可有效監控網絡數據流，篩查數據中心網絡中的異常數據包，繼而分析網絡安全問題，及時處理內部網絡風險，控制網絡安全威脅的損害范圍。

另一方面，網絡安全威脅預測技術。該技術對云數據中心安全問題的處理方法，是通過構建風險通報機制，為云數據中心打造可靠的預警體系，使管理人員在木馬攻擊、APT攻擊等安全問題產生后，快速明確攻擊者目標、攻擊方法等信息，為安全風險處理采集完整的信息。隨后技術人員可借助“神經免疫網絡技術”，隔離云數據中心網絡結構中的病毒、木馬，且通過網絡架構本身的防御資源、免疫機制，抑制木馬病毒，降低云數據中心安全風險。

3.2 優化數據中心網絡安全設計

云計算環境下，數據中心網絡安全問題尤為突出，需要及時優化數據中心網絡安全設計，強化其安全風險防御能力。首先，技術人員應在內部網絡布局中，采用“網絡準入”、“身份驗證”、“終端控制”等方式，加強網絡區域邊界的安全性。在此期間，云數據中心操作人員應在網絡服務過程中，避免穿越數據中心業務邊界，改變傳統通用型的網絡服務。其次，云計算環境下，不法分子對數據中心網絡的攻擊方法多為DOS攻擊、DDOS攻擊，要求相關人員布設對應的網絡安全裝置，針對性的抵抗DDos/Dos攻擊。

最后，網絡工程師可通過網絡安全設備，防護惡意代碼，抵御蠕蟲、植入病毒造成的網絡安全問題。而在布設網絡安全設備時，想法人員應及時關閉設備終端接口，同時借助“ssH v2”協議，建立可遠程管理的安全防御終端機制。在此期間，為確保安全問題處理的及時性，應根據云數據中心網絡安全管理組織結構，給予管理者權限差異明顯的管理賬號，制定精細化的安全訪問控制方案，保障網絡設備本身的安全性能。而在處理惡意代碼時，技術人員可在云數據中心網絡出口處，設置防護機制，分別將網絡防御軟件設置在DMz邊界、網絡終端出口商，全面抵御病毒、木馬及蠕蟲對云數據中心網絡的破壞。

3.3 完善網絡安全虛擬化結構

在云計算環境下，處理云數據中心網絡安全問題時，還應及時數據中心內的網絡安全虛擬化結構。具體來說，在數據中心內部署實施虛擬化部署時，應及時分離數據平面、云平臺功能，以為用戶提供自適應安全服務、彈性安全服務為目標，構建分布式虛擬化結構。該虛擬化結構的核心技術為SDN技術，相關人員可在該技術支撐下，將虛擬機設置在網絡引流層內，科學不適網絡安全架構。

具體來說。相關人員可基于分布式網絡安全架構特點，針對性的部署網絡安全管理設置，將Hypervisor、SDN控制器設置在云數據中心內的虛擬系統中，建立虛擬化網絡安全系統。在該系統中，SDN控制器為關鍵組成部分，云數據中心終端用戶操作系統后，可由虛擬機、SDN控制器進入該網絡單元。隨后虛擬化網絡安全架構中的服務層、引流層可自動為用戶提供安全服務，且在虛擬網絡、虛擬信息交換終端交互過程中，借助SDN控制器對網絡數據實施引流裝置，打造系統的安全服務平面控制層，為用戶安全的采集、處理數據信息提供安全通道。除此之外，網絡安全虛擬化結構中，相關人員還應在安全服務平面呈中，設置多個虛擬化物流裝置，支撐數據中心內業務編排，加強數據中心網絡安全層內的安全服務，完善數據中心控制平臺內的安全服務功能。但是在根據網絡安全虛擬化結構設計需求，部署分布式安全服務網絡過程中，相關人員仍需按照云數據中心業務需求，對應布設Hypervisor 可連接的虛擬機，強化安全服務模塊運行效果。

3.4 提升數據中心安全服務水平

云計算環境下云數據中心安全服務水平，直接影響著其對木馬攻擊等網絡安全問題的防控效率，所以為解決云數據中心的網絡安全問題，還應提升數據中心安全服務水平。為此，相關人員可借助“微隔離”網絡安全技術，優化虛擬網絡設計，加強用戶業務安全保護力度。首先，在分布式虛擬化網絡安全架構基礎上，為虛擬網絡層的虛擬機實施安全檢測，使網絡安全服務功能板塊在使用過程中，在線監測數據中心內單一數據、報文、用戶行為。同時在用戶安全行為識別、防火墻、IPS過濾、URL過濾等方式，檢測云數據中心運行中的網絡安全風險。必要時可通過實時性網絡安全部署，拓展安全服務模塊，不定期對云數據中心實時全面的安全檢測。而在監測虛擬網絡層內用戶行為時，安全服務版塊可根據虛擬機攻擊行為，及時借助微隔離技術，遏制內部攻擊，定位安全控制點。隨后在分布式安全架構作用下，隔離控制某網絡終端的非法用戶，若安全風險點分布較廣，技術人員可借助微隔離技術粒度的改變，將隔離控制安全服務擴展至整個數據網絡層內，逐一排查網絡用戶行為，保障云數據中心的安全性。

3.5 客災備份

客災備份的應用目的是為避免由于操作人員在操作期間出現失誤，造成系統出現故障或者問題，出現數據信息流失的情況。在對這種客觀原因產生的風險進行備份就是客災備份。為避免云計算數據信息流失而造成損失，就可以通過客災備份對該問題進行有效處理。當受到客觀因素影響之后，可以立即啟動客災備份，確保云計算數據中心的正常運行。有條件的也與使用混合云容災備份，實現阿里云、騰訊云等多種云備份的混合，提供災備中心級的解決方案，不影響用戶的現有系統框架。

結語：綜上所述，云計算環境下，數據中心網絡安全問題尤為突出，且安全風險防控復雜程度較高。為此，相關人員應基于系統性防護理念，應用各類新興的安全技術構建網絡安全防御機制。根據網絡安全技術發展可知，入侵防御軟件、態勢感知設備等網絡安全技術載體，均可在云數據中心應用中，利用安全漏洞的及時修復，防范網絡安全風險，降低數據泄露、木馬攻擊風險，強化云數據中心安全性能，保障用戶、平臺方的核心利益。