淺談數據中心的網絡安全建設

張軼

天津市城市道路設施巡查中心 天津 300190

引言

當代社會各類信息化應用和系統已逐步滲透到我們生活的方方面面，為生產生活的發展提供著強勁的動力。隨之而來的就是數據資源的總量變得越來越龐大，特別是移動互聯網時代的到來，對各種數據資源的需求更是呈現爆發式的增長，數字化經濟、數字化生活在日常生活中顯得必不可少，作為承載用戶核心業務和重要數據主體的數據中心在其中發揮著樞紐的作用，儼然成為支撐互聯網這個復雜整體的一個個中心節點，其重要性顯而易見，對數據中心的安全性和穩定性也就提出了更高的要求，如何保證它的安全運行也就顯得至關重要。由于數據中心本身的特性，在其上運行的系統離不開網絡的支持，同時也只有在網絡環境中才能發揮它處理和存儲的優勢，因此做好網絡安全是進行數據中心安全建設的關鍵。

1 數據中心面臨的網絡安全問題

一是由于數據中心上系統進行數據存儲、處理需要與互聯網時刻保持高強度的信息交互，所以網絡中常見的病毒、蠕蟲、DDoS攻擊等惡意攻擊手段也同樣對數據中心造成威脅，不法分子可以通過這些手段竊取用戶的隱私數據，繼而使用這些數據從事詐騙、賬戶盜刷、內部信息買賣等違法活動，從而達到非法牟利的目的。

二是隨著互聯網技術的發展，移動互聯網帶來了爆發增長的用戶數量和多種多樣的應用表現形式，同時也增加了安全防護工作的復雜性，同時惡意攻擊的頻度和技術含量也相應提升，攻擊的強度不斷提高，手段不斷翻新，不法分子時刻在尋找著數據中心可能存在的漏洞，給安全防護帶來困難。

三是由于數據中心中信息資源的價值往往較高，在利益或其他目的的驅使下，也就成為重點攻擊的目標，特別是黑客或網絡恐怖組織可能通過攻擊數據中心，破壞涉及政府、軍事、金融、公共管理等領域的重點網站或信息系統，這甚至成為現代社會國家間競爭的一種表現形式，這種攻擊一旦成功對國民生活、國家安全造成的影響和破壞也十分巨大[1]。 四是由于數據中心在網絡中所處的重要位置，對信息處理的時效性要求相對較高，對數據中心的攻擊很可能對它的處理、存儲性能造成影響，更有甚者會拖慢其上運行系統的整體速度，造成響應延遲、運行錯誤等問題，嚴重影響系統的平衡和穩定。

2 數據中心網絡安全架構

目前，國際上使用較為廣泛的安全體系結構是由美國國家安全局（NSA）開發的《信息保障技術框架》（IATF：Information Assurance Technical Framework）安全體系結構，我國自2002年引進國內以來，廣泛地適用于各個領域，對信息安全保障體系建設發揮了指導和參考作用。

IATF的前身是《網絡安全框架》（NSF：Network Security Framework），于1998年發布第一版；1999年，NSA將NSF更名為IATF，并發布IATF2.0。隨著信息安全技術的不斷發展，IAFT也在不斷修補和完善，內容的深度和廣度也在不斷深化。

IATF的核心思想就是縱深防御戰略，也稱深層防護戰略（Defense-in-Depth），即通過多層次、層疊的防御措施為信息提供深層的安全保障。整個防御過程，需要人、技術和操作做到三位一體，共同組織實現信息系統的管理，這三點也是IAFT規劃的信息保障體系的核心因素。其中，人作為主體，包含培訓和意識、組織管理、人員安全、設施對策等方面；操作也叫運行，是主動防御的體現，包含備用評估、安全監控、安全策略、響應恢復等方面，這兩個要素都可以通過加強安全管理來予以強化，而作為安全的基礎保障的技術因素則是實現信息保障的重要手段，各項安全服務都是通過技術手段來實現的，也是我們在安全建設過程需要重點考慮的問題。

在技術層面，IATF提出了4層的通用技術框架，分為：本地計算環境、區域邊界、網絡及基礎設施、支撐性基礎設施區域，區域間形成逐層遞進的縱深防御體系，確保了信息資源的安全可靠。如果考慮網絡安全的話，主要還是聚焦在區域邊界和網絡及基礎設施兩個方面。

區域邊界保護是指在當業務、系統依據功能和重要性等因素劃分為不同區域時，對進出這些區域的信息、數據進行有效的控制和監視，在保障可用性的前提下，保護區域邊界設施的安全，典型的技術和應用主要包括防火墻、VPN、邊界共享交換、遠程訪問、多域方案、移動代碼、安全隔離等。

網絡及基礎設施保護是信息系統安全的基礎，網絡及其基礎設施作為保障用戶數據傳輸和信息系統運行的中樞，必須保障在無故障、不受外界影響的條件下穩定可靠地運行，保證信息不會泄露給未授權的訪問者，防御拒絕服務攻擊，避免信息傳輸時發生更改、延時或發送失敗等，典型的技術和應用主要包括交換機和路由器安全、無線網絡安全等[2]。

3 數據中心網絡安全的具體實施

為達到縱深防御的效果，可以從網絡、設備、主動防御三個方面提供相應的安全防護手段，保障數據中心的網絡安全，下面將就幾種常見的防護方式或類型進行介紹。

3.1 訪問控制與隔離

訪問控制與隔離一般指通過安全策略，管理對受保護資源的訪問行為，繼而隔絕非法的訪問請求，保障數據資源的合法使用和安全的技術。為達到控制目的，需要先識別和確認訪問的用戶、并決定該用戶可以對哪些資源進行何種類型的訪問。訪問控制是保障系統保密性、完整性、可用性及合法性的重要基礎，是網絡安全和資源保護的關鍵策略。按照區域邊界防護的要求，需要針對不同安全級別的網絡進行訪問控制和隔離，一般通過防火墻技術進行隔離。

3.1.1 劃分安全域。既然要進行隔離，就要在對業務資源進行分析的基礎上，合理地設定安全域。劃分的主要原則是同一業務或同一系統中具有相同的安全需求，互相信任，并具有相同的安全訪問控制和邊界控制策略的部分應劃分為一個安全域，域內共享相同的安全策略，從而保障業務運行順暢。對敏感的網絡區域或者需要進行訪問控制的區域應用單獨的安全域進行劃分，方便進行安全控制；大型的網絡還可在一個安全域的基礎上劃分小的子域，但劃分不應過細。一般常見的幾種劃分方式有：OA區、應用服務區、數據區；遠程網絡、公共網絡、內部網絡；互聯網接入區、外聯網接入區、內部網絡區等等。

劃分安全域時，需要明確各個區域的安全定義，如果劃分邏輯模糊，劃分形成的各個安全域也就無法形成層次清晰的縱深防御體系。傳統的劃分方法多數是通過將不同的安全需求和所處的物理區域綜合進行考慮，劃分出合適的安全域，在中小型的網絡環境中，這種方法得到了廣泛的應用；而在大型的企業或數據中心中，這種方法忽視了同一系統中不同網絡層次服務所需安全等級的差別，由于不同層次服務間安全級別差異較大而且重要性也不盡相同，面臨的風險更是千差萬別，因此須將這些因素也考慮進去，進一步劃分安全域，才能滿足實際需要。

3.1.2 部署防火墻。各個安全域既要進行互訪，又要進行隔離，這一切的控制管理多數是通過防火墻來進行的。防火墻是設置在不同網絡或網絡安全域之間的唯一出入口，能根據安全策略控制進入網絡的數據流，并且本身具有抗攻擊能力。由于同一安全域的安全需求相同，所以可以在安全域的邊界區域對防火墻設置統一的進出策略，就可以達到對不同區域間通信進行管理的目的。

3.2 DoS攻擊的防御

DoS攻擊，即拒絕服務攻擊，包括它的進化型DDoS、DRDoS攻擊，是現在網絡上十分常見的攻擊類型，通過利用網絡協議的漏洞或野蠻的發送大量請求等形式，惡意耗盡被攻擊對象的資源，造成設備或網絡無法正常提供服務或訪問資源，進而使網絡或服務器崩潰。由于DoS攻擊是基于TCP/IP協議的攻擊模式下，無論計算機的處理速度多快、內存容量多大、網絡帶寬的多高，只要使用該協議的網絡就難以避免被攻擊所影響。常見的DoS攻擊有以下幾種：SYN Flood攻擊、Smurf攻擊、Ping of Death、淚滴攻擊、DRDOS等。

至于DoS攻擊的防護，我們可以從以下幾個方面著手：①對網絡設備定期進行檢查，掃描安全漏洞，更新系統補丁，升級軟件版本，關閉不必要的服務；②合理配置網絡設備，目前防火墻等設備多數支持DoS的防御，正確啟用相關功能，充分利用IDS設備、系統日志，了解設備狀態，對可疑的IP予以限制；③通過uRPF（Unicast Reverse Path Forwarding，單播反向路由查找）技術，對轉發包的源地址進行檢查，如果發現為假IP，則予以屏蔽；④通過核心路由器等網絡設備實現硬件層面的流量控制功能，限制SYN數據包流量速率，設置管制閾值，防止對資源的占用。

3.3 DHCP攻擊的防御

DHCP攻擊是針對網絡中存在的DHCP服務器的攻擊行為，原理就是通過耗盡DHCP服務器所掌握的地址池內的IP地址資源，使DHCP服務器無法正常提供服務，然后以私自架設的虛假DHCP服務器頂替原服務器的作用，進行地址分配，達到攻擊目的。由于DHCP服務器的特性，它不具備相關的認證機制，所以在使用DHCP進行地址分配時會面臨幾種與DHCP服務相關的攻擊方式，主要包括：冒用DHCP服務器：當惡意用戶在同一網段內私自架設一臺DHCP 服務器時，根據位置PC可能會先得到由這個DHCP服務器分配的IP地址，導致地址錯誤不能上網。大量DHCP請求的DDos攻擊：惡意客戶端發起大量DHCP請求，大量的DHCP Discover報文形成的DDos 攻擊會將DHCP服務器的性能耗盡，導致CPU利用率不斷升高，甚至癱瘓DHCP服務器。偽造MAC地址耗盡IP地址池：惡意客戶端偽造大量的MAC地址，并用來請求IP地址，導致DHCP服務器中地址池內的IP地址被耗盡。

可采用如下技術應對以上常見攻擊：

防DHCP服務器冒用：接入交換機使用DHCP Snooping技術，只允許指定DHCP服務器的報文通過，其它的DHCP報文不能通過交換機。

防御大量DHCP請求的DDos攻擊：接入交換機對DHCP請求進行流量限速，防止惡意客戶端發起大量DHCP請求的DDos 攻擊，防止DHCP服務器的CPU利用率升高。

防御偽造MAC地址耗盡IP地址池：接入交換機可以截斷客戶端的DHCP請求，插入交換機的標識、接口的標識等發送給DHCP服務器；另外DHCP服務軟件應支持針對此標識來的請求進行限量的IP地址分配，或者其它附加的安全分配策略和條件。

3.4 智能主動防御

前面說到，隨著互聯網技術的發展，惡意攻擊的復雜性也在不斷提高，傳統的通過特征碼對病毒進行判斷、通過補丁對系統進行防護的方式，越來越難滿足安全防御的需求，此時就需要系統能在病毒入侵造成影響前，通過對行為的智能分析，主動進行預警或通過安全設備予以處理，控制或減小可能造成的危害。智能主動防御主要包括以下幾方面的功能：基于用戶行為的自主感知和分析；基于網絡安全形勢的動態感知以及態勢分析；基于攻擊特性的攔截處理；基于系統各類信息的綜合分析；基于防御規則的主動恢復等。為實現這些功能，大型數據中心往往采用安全監控、分析和威脅響應系統（MARS），作為控制系統對各類安全設備的信息進行匯總分析，識別攻擊方式，隔離被攻擊組件，進行智能修復；規模較小的數據中心考慮成本等因素，可以使用智能防火墻和IPS/IDS相互配合的解決方案，但管理成本也就相應提高。